Das Recht auf Auskunft

Das Auskunftsrecht des Art. 15 DSGVO ist eines der wichtigsten Betroffenenrechte der DSGVO. Da Auskunftsanfragen regelmäßig den ersten direkten Kontakt zwischen einer betroffenen Person und dem Verantwortlichen darstellen, sollte die Beantwortung von Auskunftsanfragen immer mit besonderer Sorgfalt erfolgen. Wir erläutern Ihnen in zehn Schritten, wie Ihnen eine erfolgreiche Bearbeitung eines Auskunftsverlangens gelingt.

Bearbeitung einer Auskunftsanfrage: Schritt für Schritt

I

1. Eingangsbestätigung

Regelmäßig werden dem Verantwortlichen mit dem Auskunftsverlangen personenbezogene Daten über den Antragsteller mitgeteilt. Verwendet nun der Verantwortliche diese Informationen, um das Auskunftsverlangen zu beantworten, löst diese Verarbeitung wiederum die Informationspflichten des Art. 13 DSGVO aus. Der Antragssteller muss daher jedenfalls über den Zweck der Verarbeitung, deren Rechtsgrundlage und die Speicherdauer der Verarbeitung informiert werden. Die Informationen können zweckdienlich durch eine Eingangsbestätigung mitgeteilt werden. Sofern die Hinweise in allgemeinen umfassenden Datenschutzhinweisen enthalten sind, kann auf diese verwiesen werden.

2. In welcher Frist muss die Auskunft erteilt werden?

Sie müssen die Auskunft unverzüglich erteilen. Länger als einen Monat darf die Auskunftserteilung nur dauern, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist (Krankheit oder Urlaub von Mitarbeitern werden nicht als Ausnahmefall akzeptiert ). Die Frist kann dann um zwei Monate auf maximal drei Monate verlängert werden. In diesem Fall muss der Antragsteller aber innerhalb der Monatsfrist über die Verlängerung und die Gründe für diese informiert werden. Die Frist läuft ab dem Zugang des Auskunftsantrags.

3. Besteht eine Pflicht zur Auskunft?

Am Anfang steht immer die Frage nach der eigenen Zuständigkeit. Wenn beispielsweise ein Dienstleister Daten im Auftrag verarbeitet, ist dieser in der Regel verpflichtet, den Auftraggeber über das Auskunftsersuchen zu benachrichtigen. Wenn ein Konzern nach außen einheitlich auftritt, muss der Auskunftsantrag bei derjenigen Gesellschaft gestellt werden, welche die Daten des Antragstellers verarbeitet. Anders ist es aber bei einer Verarbeitung durch gemeinsam Verantwortliche. In diesem Fall kann die betroffene Person ihr Auskunftsverlangen gegenüber jedem Verantwortlichen geltend machen.

4. Identität klären

Die Auskunft über die Verarbeitung von personenbezogene Daten darf nur gegenüber der tatsächlich betroffenen Person erfolgen.  Wenn im Einzelfall begründete Zweifel an der Identität des Antragstellers bestehen, kann dieser zur Übermittlung weiterer Informationen aufgefordert werden, die eine eindeutige Bestätigung der Identität sicherstellen. Es sollten Informationen abgefragt werden, über die vernünftigerweise nur die betroffene Person verfügen kann (z.B. Kundennummern). Ausweiskopien können nur in Ausnahmefällen verlangt werden, wenn andere Mittel nicht zur Verfügung stehen.

5. Auskunftsverlangen missbräuchlich?

Der Verantwortliche kann sich weigern, aufgrund eines Auskunftsantrags tätig zu werden, wenn dieser offenkundig unbegründet ist oder die Antragstellung– insbesondere im Fall von häufiger Wiederholung – als exzessiv zu bewerten ist. Verfolgt die anfragende Person mit der Auskunft missbräuchliche Zwecke, kann die Auskunft als offensichtlich unbegründet bewertet werden. Aber auch wenn der Verantwortliche einem Auskunftsantrag nicht nachkommt, muss über die Gründe binnen Monatsfrist unterrichtet werden.

6. Welche Daten werden verarbeitet?

Die Auskunft beschränkt sich allein auf die personenbezogenen Daten des Antragstellers. Das sind alle Informationen, die mit der Person des Antragstellers in Beziehung stehen. Diese Beziehung wird regelmäßig über eine Zusatzinformation zu einer Person (z.B. Kennung oder besonderes Merkmal) hergestellt. Grundlegend erfolgt diese Verknüpfung über den Namen. Aber auch die IP-Adresse oder eine E-Mail-Adresse stellen solche Kennungen dar. Sollten Sie Informationen pseudonymisiert verarbeiten (bspw. durch Vergabe einer individuellen ID), müssen Sie grundsätzlich auch über diese Information Auskunft erteilen. Der Auskunftsanspruch umfasst auch diejenigen Informationen, die in analogen oder elektronischen Akten zu der betroffenen Person gespeichert sind. Selbst Kommentare zu Angaben der betroffenen Person, beispielsweise im Rahmen einer Prüfungsbewertung, können personenbezogene Daten darstellen.

Ein Muster für eine Auskunft finden Sie weiter unten auf dieser Website. Wenn Sie zum Antragsteller noch nie Daten gespeichert, Daten bereits gelöscht oder Daten unumkehrbar anonymisiert haben, verarbeiten Sie keine Daten des Antragstellers. Sie können hierüber folglich auch keine Auskunft erteilen. Allerdings müssen Sie ihm im Wege einer so. Negativauskunft mitteilen, dass Sie keine Daten zu ihm verarbeiten.

Sehr geehrte/r (Ansprache des Antragstellers)

auf Ihr Auskunftsverlangen vom xx/xx/xxxx teilen wir Ihnen mit, dass wir als Verantwortlicher keine personenbezogenen Daten über Sie verarbeiten.

Grußformel

XY GmbH

7. Auskunftsrecht ausgeschlossen?

Grundsätzlich steht jedem Betroffenen das Auskunftsrecht zu. Es gibt jedoch gesetzliche Ausnahmen. Von praktischer Relevanz ist insbesondere die Einschränkung des § 34 Abs. 1 Nr. 2 BDSG. Dieser nimmt Daten von der Auskunftspflicht aus, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Die Ausnahme erstreckt sich weiter auf Daten, die bloß zu Zwecken der Datensicherung (z.B. Backup-Dateien oder Log-Files) gespeichert sind.

h

8. Was gehört noch in das Auskunftsschreiben?

Zusätzlich zu der Aufstellung der personenbezogenen Daten, müssen auch die in Art. 15 DSGVO aufgezählten allgemeinen Informationen mitgeteilt werden. Hinsichtlich der Betroffenenrechte können diese in der Regel der datenschutzrechtlichen Informationsübersicht (bei Websites: die Datenschutzerklärung ) entnommen werden. Die übrigen Informationen (Zweck und Rechtsgrundlage) bezüglich der Verarbeitung können dem Verarbeitungsverzeichnis nach Art. 30 DSGVO entnommen werden (wie Sie ein Verarbeitungsverzeichnis erstellen, erfahren Sie hier).

Muster für positive Auskunft

Sehr geehrte/r (Ansprache des Antragstellers)

auf Ihr Auskunftsverlangen vom xx/xx/xxxx bestätigen wir Ihnen, dass wir als Verantwortlicher personenbezogenen Daten über Sie verarbeiten.

Wir verarbeiten dabei die folgenden Informationen über Sie:

(hier alle verarbeiteten Informationen über den Antragsteller aufführen/sofern die Daten nicht beim Betroffenen erhoben wurden, müssen außerdem alle verfügbaren Informationen über die Herkunft der Informationen angegeben werden)

Wir verarbeiten diese personenbezogenen Daten zu den folgenden Verarbeitungszwecken:

(hier die relevanten Zwecke aus dem Verarbeitungsverzeichnis aufführen)

Wir verarbeiten diese personenbezogenen Daten unter den folgenden Kategorien:

(hier die relevanten Kategorien aus dem Verarbeitungsverzeichnis aufführen)

Eine Offenlegung dieser personenbezogenen Daten erfolgt gegenüber den folgenden Empfängern:

(hier die relevanten Empfänger oder Kategorien von Empfängern aufführen)

Der Zeitraum, für den wir diese personenbezogenen Daten speichern, bemisst sich hinsichtlich der Erreichung des Verarbeitungszwecks und gesetzlichen Aufbewahrungspflichten.

(sofern hinsichtlich bestimmter Kategorien ein Löschkonzept vorliegt, sind außerdem die relevanten Löschfristen aufzuführen)

Eine automatisierte Entscheidungsfindung gem. Art. 22 DSGVO findet nicht statt.

(bei Bestehen einer automatisierten Entscheidungsfindung Art. 15 Abs. 1 Buchst. b) DSGVO beachten)

Als betroffene Person haben Sie das Recht, uns gegenüber nach Maßgabe des Art. 16 DSGVO eine Berichtigung und nach Maßgabe des Art. 17 DSGVO und § 35 BDSG die Löschung Ihrer personenbezogenen Daten zu verlangen. Sie haben außerdem das Recht, nach Maßgabe des Art. 18 DSGVO die Verarbeitung Ihrer personenbezogenen Daten einschränken zu lassen.

Nach Maßgabe des Art. 21 Abs. 1 DSGVO haben Sie das Recht, gegen die Verarbeitung Widerspruch einzulegen. Sofern durch uns personenbezogene Daten über Sie zum Zweck der Direktwerbung verarbeitet werden, können Sie gegen diese Verarbeitung gem. Art. 21 Abs. 2 und Abs. 3 DSGVO Widerspruch einlegen.

Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs nach Maßgabe des Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Grußformel

XY GmbH

k

9. In welcher Form muss die Auskunft erteilt werden?

Die DSGVO enthält kein Formular zur Auskunftserteilung. Jedes Unternehmen kann das Auskunftsschreiben selbst gestalten. Zu beachten ist, dass die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgt. Die Auskunft muss also für einen Laien ohne Weiteres nachvollziehbar sein. Die Auskunft kann schriftlich oder elektronisch erteilt werden. Wenn der Antrag elektronisch gestellt wurde (z.B. im internen Bereich eines Online-Shops), muss in der Regel auch die Auskunftserteilung elektronisch erfolgen – außer der Antragsteller verlangt die Zusendung per Post. Wenn der Antragsteller die Auskunft mündlich verlangt, muss diese mündlich erteilt werden – in diesem Fall muss aber sichergestellt werden, dass der Kontakt tatsächlich mit der Person stattfindet, über deren Daten die Auskunft erteilt wird.

i

10. Das Recht auf Datenkopie beachten

Verlangt der Antragsteller eine „Datenkopie“, müssen die Daten so herausgegeben werden, wie Sie bei dem Verantwortlichen vorliegen. Da eine solche Datenkopie in der Regel Informationen enthält, die sich nicht auf den Antragsteller beziehen, dürfen diese unkenntlich gemacht werden. Ferner dürfen Informationen zu anderen Personen geschwärzt werden, wenn ansonsten deren Rechte und Freiheiten beeinträchtigt würden. Die erste Datenkopie müssen Sie unentgeltlich zur Verfügung stellen. Für jede weitere Kopie können Sie ein angemessenes Entgelt verlangen. Bei der Übermittlung sollten Sie darauf achten, dass angemessene technische Sicherheitsmaßnahmen eingehalten werden. Dazu kann ein Fernzugang zu einem sicheren System bereitgestellt werden, welcher dem Antragsteller direkten Zugang zu seinen personenbezogenen Daten ermöglicht.

Falls Sie Unterstützung bei einer Auskunftsanfrage oder der Etablierung eines internen Prozesses für Betroffenenrechte benötigen, unterstützen wir Sie gerne mit unserem Team. Melden Sie sich dazu bitte über unser Kontaktformular bei uns.