Datenschutz und IT

Zu den Betroffenenrechten, die durch die DSGVO gestärkt werden, gehört auch das Recht auf Auskunft. Unternehmen werden damit verpflichtet, Betroffenen mitzuteilen, welche Daten sie über sie gespeichert haben. Doch gerade kleine Unternehmen müssen noch oft die Prozesse zum korrekten Ablauf der Auskunftserteilung, der folgendermaßen aussieht, optimieren.

Inhaltsverzeichnis

Auskunftspflicht des Verantwortlichen nach Art. 15 DSGVO – Was bedeutet das?
          Wer muss Auskunft erteilen?
Wer hat einen Auskunftsanspruch? 
          Identität der Auskunft suchenden Person prüfen
          Auskunftserteilung an Nichtkunden?
Auskunftspflicht: Inhalte der Auskunft gem. Art 15 DSGVO
          Was ist eine Datenkopie?
Frist zur Auskunftserteilung: Wie schnell müssen Verantwortliche antworten? 
In dieser Form kommen Verantwortliche ihrer Auskunftspflicht nach
Löschung statt Auskunft 
Kosten für eine Auskunftserteilung gem. Art 15 DSGVO 
Ausnahmen von der Auskunftspflicht
          Einschränkung des Auskunftsrechts
Verletzung des Auskunftsrechts

Auskunftspflicht des Verantwortlichen nach Art. 15 DSGVO – Was bedeutet das? 

Vor dem Hintergrund, dass die europäische Datenschutzgrundverordnung (DSGVO) die Rechte der Bürger (Betroffenenrechte) hinsichtlich ihrer personenbezogenen Daten stärken will, spricht Art. 15 DSGVO jedem Betroffenen ein Recht auf Auskunft zu. Kommt also ein Kunde oder Geschäftspartner mit einem Auskunftsersuchen auf das Unternehmen zu, ist der Verantwortliche nach dem neuen Datenschutzrecht verpflichtet, Auskunft über die zu ihm im Unternehmen gespeicherten personenbezogenen Daten zu erteilen.  

Der für die Datenverarbeitung Verantwortliche im Sinne der DSGVO hat dann sicherzustellen, dass die angeforderten Daten umfassend, unverzüglich und i. d. R. auch kostenfrei zur betroffenen Person gelangen. Die Auskunft kann Stammdaten, detailliertere Daten zur Person sowie eine Datenkopie enthalten.

Wer muss Auskunft erteilen?

Nur der Verantwortliche ist zur Auskunftserteilung verpflichtet. Gehen Anträge irrtümlicherweise an den Auftragsverarbeiter, sollte dieser im Rahmen seiner Unterstützungspflicht gegenüber dem Verantwortlichen den Antrag an diesen weiterleiten. 

Wer hat Anspruch auf Auskunft? 

Jede betroffene Person hat ein Auskunftsrecht. Nachdem die DSGVO die Konkretisierungspflicht abgeschafft hat, muss die betroffene Person außerdem nicht mehr die konkrete Verarbeitungstätigkeit angeben, auf die sich ihr Auskunftsbegehren bezieht. Der Verantwortliche kann die Auskunft also nicht mehr aus diesem Grund ablehnen. 

Identität der Auskunft ersuchenden Person prüfen 

Die Identität der Antrag stellenden Person muss der Verantwortliche dann explizit prüfen, wenn er berechtigte Zweifel an deren Richtigkeit hat – z. B. bei telefonischen Anfragen oder bei Fantasie-E-Mail-Adressen ohne elektronische Signatur. Dann sollte der Verantwortliche „alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden Person zu überprüfen [...]“ (Erwägungsgrund 64, DSGVO). Er kann also weitere Informationen wie Geburtsdatum oder eine Ausweiskopie vom Betroffenen anfordern. 

Hinweis: Im Erwägungsgrund 64 der DSGVO wird betont, dass der Verantwortliche personenbezogene Daten nicht alleine zum Zweck der Auskunft speichern sollte.

Auskunftserteilung an Nichtkunden? – Negativauskunft 

Es kann durchaus passieren, dass ein Unternehmen eine Anfrage von einer Person bekommt, über die gar keine Daten gespeichert sind, weil sie kein Kunde ist oder mit ihr keine Geschäftsbeziehung zum Unternehmen besteht. Auch diese Anfrage dürfen Verantwortliche nicht ignorieren. Sie müssen dieser Person die Auskunft darüber erteilen, dass keine personenbezogenen Daten von ihr verarbeitet worden sind (sog. Negativauskunft). 

Auskunftspflicht: Inhalte der Auskunft gem. Art 15 DSGVO

Um der Auskunftspflicht nachzukommen, muss der Verantwortliche im Rahmen der Auskunftserteilung folgende Pflichtinformationen an die betroffene Person weiterleiten: 

  • die konkret verarbeiteten Daten 
  • Verarbeitungszwecke 
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • Empfänger und Kategorien von Empfängern, einschließlich Auftragsverarbeiter 
  • (geplante) Speicherdauer bzw. Kriterien für die Festlegung dieser Dauer 
  • Herkunft der Daten 
  • ggf. Informationen über Logik, Tragweite und angestrebte Auswirkungen bei einer automatisierten Entscheidungsfindung (inkl. Profiling)
  • ggf. geeignete Garantien, wenn personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt werden
  • Betroffenenrechte (Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsrechte inkl. Recht auf Datenübertragbarkeit)
  • Beschwerderecht bei einer Aufsichtsbehörde 

Hinweis: Die Auskunftspflicht kann zudem die Übermittlung einer Kopie der konkret betroffenen personenbezogenen Daten umfassen.

Was ist eine Datenkopie?

Die „Datenkopie“ sollte nicht mit der normalen Auskunftserteilung verwechselt werden. Bei der Kopie werden die Daten so herausgegeben, wie sie im System des Unternehmens gespeichert sind – inkl. der Bezeichnung der verwendeten Datenfelder. Dem können Verantwortliche in Form von E-Mails, Briefen oder Auszügen aus einer Datenbank nachkommen. Sind auf dieser Kopie Informationen enthalten, die nicht für den Antragsteller bestimmt sind, müssen sie in der Kopie geschwärzt oder aus der Kopie entfernt werden. 

Frist zur Auskunftserteilung: Wie schnell müssen Verantwortliche antworten? 

Verantwortliche müssen dem Betroffenen auf Auskunftsersuchen unverzüglich, spätestens jedoch binnen eines Monats nach Eingang des Antrags Auskunft erteilen. Ist die Anfrage komplex oder die Anzahl der Anträge sehr hoch, kann diese Frist um zwei Monate verlängert werden. Das Unternehmen ist dann verpflichtet, die betroffene Person binnen eines Monats über die Fristverlängerung inkl. Angabe von Gründen zu informieren.  

Praxistipp: Jedes Unternehmen muss ein geeignetes System finden, wie es Auskunftsbegehren fristgerecht und rechtskonform nachkommt. Dies kann durchaus auch die Personalplanung umfassen. Denn bei wiederholter nicht fristgerechter Auskunft können auch Geldbußen drohen. Um die bestehenden Prozesse zu optimieren, können Unternehmen außerdem mit Checklisten und Mustervorlagen aus der „Dokumentenmappe: Datenschutz im Unternehmen“ arbeiten. 

Erfüllen Sie Ihre Datenschutz-Pflichten einfach, schnell und rechtskonform mit den Vorlagen aus der

Dokumentenmappe: Datenschutz im Unternehmen

mehr erfahren

In dieser Form kommen Verantwortliche ihrer Auskunftspflicht nach

Verantwortliche können ihrer Auskunftspflicht in unterschiedlicher Form nachkommen: 

  • schriftlich 
  • elektronisch – Vor allem dann, wenn der Auskunftsantrag in digitaler Form eingegangen ist, räumt Art. 15 DSGVO Unternehmen die Möglichkeit ein, die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen (z. B. PDF, RTF, TXT, ODT, DOC, DOCX). 
  • mündlich – Dies setzt voraus, dass die Identität des Antragstellers in anderer Form nachgewiesen wurde. 

Grundsätzlich muss der Verantwortliche beachten, dass die Auskunft klar, einfach und verständlich formuliert ist. 

Löschung statt Auskunft 

Neben dem Auskunftsrecht hat der Kunde ein Recht auf Löschung. Er kann also verlangen, dass die über ihn gespeicherten Daten gelöscht werden. Dann sind die Daten datenschutzkonform zu löschen. 

Hinweis: Unternehmen dürfen nicht vergessen, auch die Stellen über den Löschungs-Antrag zu informieren, an die die Daten weitergeleitet wurden. 

Kosten für eine Auskunftserteilung gem. Art 15 DSGVO 

Die DSGVO sieht in Art. 12 vor, dass die Auskunftserteilung grundsätzlich kostenlos zu erfolgen hat. Allerdings gibt es zwei Fälle, in denen der Verantwortliche doch ein angemessenes Entgelt verlangen kann: 

  1. wenn der Betroffene weitere Datenkopien anfordert;
  2. wenn es sich um offenkundig unbegründete oder exzessive Anträge handelt. Das Risiko, ob es sich wirklich „offenkundig“ um einen unbegründeten bzw. exzessiven Antrag handelt, trägt allerdings der Verantwortliche. 

Ausnahmen von der Auskunftspflicht 

Der Verantwortliche kann die Auskunft auch ausnahmsweise verweigern, wenn 

  • er glaubhaft nachweisen kann, dass er den Betroffenen nicht identifizieren konnte; 
  • es sich um offenkundig unbegründete oder exzessive Anträge handelt. Wie bei der Kostenfrage trägt auch hier der Verantwortliche das Risiko. 

Hinweis: Der Verantwortliche muss die Auskunft ersuchende Person binnen eines Monats inkl. Angabe von Gründen darüber informieren, dass er ihr keine Auskunft geben wird. Zudem muss er den Betroffenen über die Möglichkeit aufklären, sich an die Aufsichtsbehörde bzw. an ein Gericht zu wenden.  

Einschränkung des Auskunftsrechts 

Auch das Auskunftsrecht der Betroffenen ist nicht grenzenlos. Art 15 DSGVO schränkt es insoweit ein, dass durch die Auskunftserteilung die Rechte und Freiheiten Dritter nicht betroffen werden dürfen. Zu den schutzwürdigen Interessen zählen auch Geschäfts- und Betriebsgeheimnisse (des Verantwortlichen) sowie das Recht am geistigen Eigentum – insbesondere das Urheberrecht

Verletzung des Auskunftsrechts 

Ist der Betroffene der Meinung, dass sein Recht auf Auskunftserteilung verletzt worden ist, kann er binnen eines Jahres eine Beschwerde bei der Aufsichtsbehörde einreichen.  

Stellt sich heraus, dass der Verantwortliche seiner Auskunftspflicht tatsächlich nicht nachgekommen ist, drohen dem Unternehmen Geldbußen von bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Umsatzes des vergangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist. 

Quelle: „Dokumentenmappe: Datenschutz im Unternehmen“ (Online-Ausgabe)

War der Artikel hilfreich?
finde ich gut 0