Das Recht auf Auskunft

Schritt für Schritt zur Auskunftserteilung nach Art. 15 DSGVO

Das Auskunftsrecht des Art. 15 DSGVO ist eines der wichtigsten Betroffenenrechte der DSGVO. Es legt häufig den Grundstein für Berichtigungs- und Löschansprüche.  Die Bearbeitung von Auskunftsanfragen durch den Verantwortlichen muss daher mit besonderer Sorgfalt erfolgen. Wir erläutern Ihnen in zehn Schritten, wie Ihnen eine erfolgreiche Auskunftserteilung gelingt. Weiterführende Informationen zum Auskunftsanspruch finden Sie zudem in unserem Bogbeitrag 

Anleitung für die Bearbeitung einer DSGVO-Auskunft

Check

1. Eingangsbestätigung

Regelmäßig werden dem Verantwortlichen mit dem Auskunftsverlangen personenbezogene Daten über die anfragende Person mitgeteilt. Verwendet nun der Verantwortliche diese Informationen, um das Auskunftsverlangen zu beantworten, löst diese Verarbeitung wiederum die Informationspflichten des Art. 13 DSGVO aus. Der Antragssteller muss daher jedenfalls über den Zweck der Verarbeitung, deren Rechtsgrundlage und die Speicherdauer der Verarbeitung informiert werden. Die Informationen können zweckdienlich durch eine Eingangsbestätigung mitgeteilt werden. Sofern die Hinweise in allgemeinen umfassenden Datenschutzhinweisen enthalten sind, kann auf diese verwiesen werden.

Frist

2. In welcher Frist muss die Auskunft erteilt werden?

Sie müssen die DSGVO-Auskunft unverzüglich erteilen. Länger als einen Monat darf die Auskunftserteilung nur dauern, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist (Krankheit oder Urlaub von Beschäftigten werden nicht als Ausnahmefall akzeptiert ). Die Frist kann dann um zwei Monate auf insgesamt maximal drei Monate verlängert werden. In diesem Fall muss die betroffene Person aber innerhalb der Monatsfrist über die Verlängerung und die Gründe für diese informiert werden. Die Frist läuft ab dem Zugang des Auskunftsantrags.

Mann mit Fragezeichen über dem Kopf

3. Besteht eine Pflicht zur Auskunft?

Am Anfang steht immer die Frage nach der eigenen Zuständigkeit. Wenn beispielsweise ein Dienstleister Daten im Auftrag verarbeitet, ist dieser in der Regel verpflichtet, den Auftraggeber über das Auskunftsersuchen zu benachrichtigen. Zur eigenständigen Auskunftserteilung ist ein Auftragsverarbeiter in aller Regel gar nicht berechtigt. Wenn ein Konzern nach außen einheitlich auftritt, muss der Auskunftsantrag bei derjenigen Gesellschaft gestellt werden, welche die Daten der anfragenden Person verarbeitet. Anders ist es aber bei einer Verarbeitung durch gemeinsam Verantwortliche. In diesem Fall kann die betroffene Person ihr Auskunftsverlangen gegenüber jedem Verantwortlichen geltend machen.

Pass

4. Identität klären

Die Auskunft über die Verarbeitung von personenbezogenen Daten darf nur gegenüber der tatsächlich betroffenen Person erfolgen.  Wenn im Einzelfall begründete Zweifel an der Identität der anfragenden Person bestehen, kann dieser zur Übermittlung weiterer Informationen aufgefordert werden, die eine eindeutige Bestätigung der Identität sicherstellen. Es sollten Informationen abgefragt werden, über die vernünftigerweise nur die betroffene Person verfügen kann (z.B. Kundennummern). Ausweiskopien können nur in Ausnahmefällen verlangt werden, wenn andere Mittel nicht zur Verfügung stehen.

Hand die Stop zeigt

5. Auskunftsverlangen missbräuchlich?

Der Verantwortliche kann sich weigern, aufgrund eines Auskunftsantrags tätig zu werden, wenn dieser offenkundig unbegründet ist oder die Antragstellung– insbesondere im Fall von häufiger Wiederholung – als exzessiv zu bewerten ist. Verfolgt die anfragende Person mit der Auskunft missbräuchliche Zwecke, kann die Auskunft als offensichtlich unbegründet bewertet werden. Aber auch wenn der Verantwortliche einem Auskunftsantrag nicht nachkommt, muss die anfragende Person über die Nichtbeantwortung der Auskunft sowie die Gründe für die Ablehnung binnen Monatsfrist unterrichtet werden.

Datenbündel

6. Welche Daten werden verarbeitet?

Die Auskunft beschränkt sich allein auf die personenbezogenen Daten der betroffenen Person. Das sind alle Informationen, die mit der anfragenden Person in Beziehung stehen. Diese Beziehung wird regelmäßig über eine Zusatzinformation zu einer Person (z.B. Kennung oder besonderes Merkmal) hergestellt. Grundlegend erfolgt diese Verknüpfung über den Namen. Aber auch die IP-Adresse oder eine E-Mail-Adresse stellen solche Kennungen dar. Sollten Sie Informationen pseudonymisiert verarbeiten (bspw. durch Vergabe einer individuellen ID), müssen Sie grundsätzlich auch über diese Information Auskunft erteilen. Der Auskunftsanspruch umfasst auch diejenigen Informationen, die in analogen oder elektronischen Akten zu der betroffenen Person gespeichert sind. Selbst Kommentare zu Angaben der betroffenen Person, beispielsweise im Rahmen einer Prüfungsbewertung, können personenbezogene Daten darstellen.

Ein Muster für eine Auskunft finden Sie weiter unten auf dieser Website. Wenn Sie zur antragstellenden Person noch nie Daten gespeichert, Daten bereits gelöscht oder Daten unumkehrbar anonymisiert haben, verarbeiten Sie keine Daten dieser Person. Sie können hierüber folglich auch keine Auskunft erteilen. Allerdings müssen Sie ihr im Wege einer sog. Negativauskunft mitteilen, dass Sie keine Daten zu ihr verarbeiten. Beachten Sie aber, dass durch die Anfrage nunmehr personenbezogene Daten der antragstellenden Person bei Ihnen vorliegen, die zum Zweck des Nachweises der Anfragebearbeitung auch gespeichert werden müssen. Dies löst wiederum eine Informationspflicht aus (s. Punkt 1)

Sehr geehrte/r (Ansprache der anfragenden Person)

auf Ihr Auskunftsverlangen vom xx/xx/xxxx teilen wir Ihnen mit, dass wir als Verantwortlicher keine personenbezogenen Daten über Sie verarbeiten.

Grußformel

XY GmbH

Lautsprecher

7. Auskunftsrecht ausgeschlossen?

Grundsätzlich steht jedem Betroffenen das Auskunftsrecht zu. Es gibt jedoch gesetzliche Ausnahmen. Von praktischer Relevanz ist insbesondere die Einschränkung des § 34 Abs. 1 Nr. 2 BDSG. Dieser nimmt Daten von der Auskunftspflicht aus, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Die Ausnahme erstreckt sich weiter auf Daten, die bloß zu Zwecken der Datensicherung (z.B. Backup-Dateien oder Log-Files) gespeichert sind.

Brief

8. Was gehört noch in das Auskunftsschreiben?

Zusätzlich zu der Aufstellung der personenbezogenen Daten, müssen auch die in Art. 15 DSGVO aufgezählten allgemeinen Informationen mitgeteilt werden. Hinsichtlich der Betroffenenrechte können diese in der Regel der datenschutzrechtlichen Informationsübersicht (bei Websites: die Datenschutzerklärung ) entnommen werden. Die übrigen Informationen (Zweck und Rechtsgrundlage) bezüglich der Verarbeitung können dem Verarbeitungsverzeichnis nach Art. 30 DSGVO entnommen werden (wie Sie ein Verarbeitungsverzeichnis erstellen, erfahren Sie hier). Im Hinblick auf die Nennung der Empfänger ist das Urteil des EuGH (Rs. C-154/21) zu beachten, welches klargestellt hat, dass – sofern bekannt – stets die konkreten Empfänger benannt werden müssen. Der Rückgriff auf die Nennung von Empfängerkategorien ist nur in bestimmten Ausnahmefällen möglich, z.B. wenn die antragstellende Person konkret die Nennung von Empfängerkategorien verlang hat. 

Muster für positive Auskunft

Sehr geehrte/r (Ansprache der anfragenden Person)

auf Ihr Auskunftsverlangen vom xx/xx/xxxx bestätigen wir Ihnen, dass wir als Verantwortlicher personenbezogenen Daten über Sie verarbeiten.

Wir verarbeiten dabei die folgenden Informationen über Sie:

(hier alle verarbeiteten Informationen über die betroffene Person aufführen/sofern die Daten nicht beim Betroffenen erhoben wurden, müssen außerdem alle verfügbaren Informationen über die Herkunft der Informationen angegeben werden)

Wir verarbeiten diese personenbezogenen Daten zu den folgenden Verarbeitungszwecken:

(hier die relevanten Zwecke aus dem Verarbeitungsverzeichnis aufführen)

Wir verarbeiten diese personenbezogenen Daten unter den folgenden Kategorien:

(hier die relevanten Kategorien aus dem Verarbeitungsverzeichnis aufführen)

Eine Offenlegung dieser personenbezogenen Daten erfolgt gegenüber den folgenden Empfängern:

(hier die relevanten Empfänger oder, sofern nicht möglich, die Kategorien von Empfängern aufführen)

Der Zeitraum, für den wir diese personenbezogenen Daten speichern, bemisst sich hinsichtlich der Erreichung des Verarbeitungszwecks und gesetzlichen Aufbewahrungspflichten.

(sofern hinsichtlich bestimmter Kategorien ein Löschkonzept vorliegt, sind außerdem die relevanten Löschfristen aufzuführen)

Eine automatisierte Entscheidungsfindung gem. Art. 22 DSGVO findet nicht statt.

(bei Bestehen einer automatisierten Entscheidungsfindung Art. 15 Abs. 1 Buchst. b) DSGVO beachten)

Als betroffene Person haben Sie das Recht, uns gegenüber nach Maßgabe des Art. 16 DSGVO eine Berichtigung und nach Maßgabe des Art. 17 DSGVO und § 35 BDSG die Löschung Ihrer personenbezogenen Daten zu verlangen. Sie haben außerdem das Recht, nach Maßgabe des Art. 18 DSGVO die Verarbeitung Ihrer personenbezogenen Daten einschränken zu lassen.

Nach Maßgabe des Art. 21 Abs. 1 DSGVO haben Sie das Recht, gegen die Verarbeitung Widerspruch einzulegen. Sofern durch uns personenbezogene Daten über Sie zum Zweck der Direktwerbung verarbeitet werden, können Sie gegen diese Verarbeitung gem. Art. 21 Abs. 2 und Abs. 3 DSGVO Widerspruch einlegen.

Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs nach Maßgabe des Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Grußformel

XY GmbH

Zettel und Stift

9. In welcher Form muss die Auskunft erteilt werden?

Die DSGVO enthält kein Formular zur Auskunftserteilung. Jedes Unternehmen kann das Auskunftsschreiben selbst gestalten. Zu beachten ist, dass die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgt. Die Auskunft muss also für einen Laien ohne Weiteres nachvollziehbar sein. Die Auskunft kann schriftlich oder elektronisch erteilt werden. Wenn der Antrag elektronisch gestellt wurde (z.B. im internen Bereich eines Online-Shops), muss in der Regel auch die Auskunftserteilung elektronisch erfolgen – außer die anfragende Person verlangt die Zusendung per Post. Wenn die anfragende Person die Auskunft mündlich verlangt, muss diese mündlich erteilt werden – in diesem Fall muss aber sichergestellt werden, dass der Kontakt tatsächlich mit der Person stattfindet, über deren Daten die Auskunft erteilt wird.

Datenkopie

10. Das Recht auf Datenkopie beachten

Verlangt die anfragende Person eine „Datenkopie“, müssen die Daten so herausgegeben werden, wie Sie bei dem Verantwortlichen vorliegen. Da eine solche Datenkopie in der Regel Informationen enthält, die sich nicht auf die betroffene Person beziehen, dürfen diese unkenntlich gemacht werden. Ferner dürfen Informationen zu anderen Personen geschwärzt werden, wenn ansonsten deren Rechte und Freiheiten beeinträchtigt würden. Die erste Datenkopie müssen Sie unentgeltlich zur Verfügung stellen. Für jede weitere Kopie können Sie ein angemessenes Entgelt verlangen. Bei der Übermittlung sollten Sie darauf achten, dass angemessene technische Sicherheitsmaßnahmen eingehalten werden. Dazu kann ein Fernzugang zu einem sicheren System bereitgestellt werden, welcher der anfragenden Person direkten Zugang zu seinen personenbezogenen Daten ermöglicht.
Falls Sie Unterstützung bei einer Auskunftsanfrage oder der Etablierung eines internen Prozesses für Betroffenenrechte benötigen, unterstützen wir Sie gerne mit unserem Team. Melden Sie sich dazu bitte über unser Kontaktformular bei uns.