Das Auskunftsrecht des Art. 15 DSGVO ist eines der wichtigsten Betroffenenrechte der DSGVO. Es legt häufig den Grundstein für Berichtigungs- und Löschansprüche. Die Bearbeitung von Auskunftsanfragen durch den Verantwortlichen muss daher mit besonderer Sorgfalt erfolgen. Wir erläutern Ihnen in zehn Schritten, wie Ihnen eine erfolgreiche Auskunftserteilung gelingt. Weiterführende Informationen zum Auskunftsanspruch finden Sie zudem in unserem Bogbeitrag
Anleitung für die Bearbeitung einer DSGVO-Auskunft
1. Eingangsbestätigung
Regelmäßig werden dem Verantwortlichen mit dem Auskunftsverlangen personenbezogene Daten über die anfragende Person mitgeteilt. Verwendet nun der Verantwortliche diese Informationen, um das Auskunftsverlangen zu beantworten, löst diese Verarbeitung wiederum die Informationspflichten des Art. 13 DSGVO aus. Der Antragssteller muss daher jedenfalls über den Zweck der Verarbeitung, deren Rechtsgrundlage und die Speicherdauer der Verarbeitung informiert werden. Die Informationen können zweckdienlich durch eine Eingangsbestätigung mitgeteilt werden. Sofern die Hinweise in allgemeinen umfassenden Datenschutzhinweisen enthalten sind, kann auf diese verwiesen werden.
2. In welcher Frist muss die Auskunft erteilt werden?
Sie müssen die DSGVO-Auskunft unverzüglich erteilen. Länger als einen Monat darf die Auskunftserteilung nur dauern, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist (Krankheit oder Urlaub von Beschäftigten werden nicht als Ausnahmefall akzeptiert ). Die Frist kann dann um zwei Monate auf insgesamt maximal drei Monate verlängert werden. In diesem Fall muss die betroffene Person aber innerhalb der Monatsfrist über die Verlängerung und die Gründe für diese informiert werden. Die Frist läuft ab dem Zugang des Auskunftsantrags.
3. Besteht eine Pflicht zur Auskunft?
Am Anfang steht immer die Frage nach der eigenen Zuständigkeit. Wenn beispielsweise ein Dienstleister Daten im Auftrag verarbeitet, ist dieser in der Regel verpflichtet, den Auftraggeber über das Auskunftsersuchen zu benachrichtigen. Zur eigenständigen Auskunftserteilung ist ein Auftragsverarbeiter in aller Regel gar nicht berechtigt. Wenn ein Konzern nach außen einheitlich auftritt, muss der Auskunftsantrag bei derjenigen Gesellschaft gestellt werden, welche die Daten der anfragenden Person verarbeitet. Anders ist es aber bei einer Verarbeitung durch gemeinsam Verantwortliche. In diesem Fall kann die betroffene Person ihr Auskunftsverlangen gegenüber jedem Verantwortlichen geltend machen.
4. Identität klären
Die Auskunft über die Verarbeitung von personenbezogenen Daten darf nur gegenüber der tatsächlich betroffenen Person erfolgen. Wenn im Einzelfall begründete Zweifel an der Identität der anfragenden Person bestehen, kann dieser zur Übermittlung weiterer Informationen aufgefordert werden, die eine eindeutige Bestätigung der Identität sicherstellen. Es sollten Informationen abgefragt werden, über die vernünftigerweise nur die betroffene Person verfügen kann (z.B. Kundennummern). Ausweiskopien können nur in Ausnahmefällen verlangt werden, wenn andere Mittel nicht zur Verfügung stehen.
5. Auskunftsverlangen missbräuchlich?
Der Verantwortliche kann sich weigern, aufgrund eines Auskunftsantrags tätig zu werden, wenn dieser offenkundig unbegründet ist oder die Antragstellung– insbesondere im Fall von häufiger Wiederholung – als exzessiv zu bewerten ist. Verfolgt die anfragende Person mit der Auskunft missbräuchliche Zwecke, kann die Auskunft als offensichtlich unbegründet bewertet werden. Aber auch wenn der Verantwortliche einem Auskunftsantrag nicht nachkommt, muss die anfragende Person über die Nichtbeantwortung der Auskunft sowie die Gründe für die Ablehnung binnen Monatsfrist unterrichtet werden.
6. Welche Daten werden verarbeitet?
Die Auskunft beschränkt sich allein auf die personenbezogenen Daten der betroffenen Person. Das sind alle Informationen, die mit der anfragenden Person in Beziehung stehen. Diese Beziehung wird regelmäßig über eine Zusatzinformation zu einer Person (z.B. Kennung oder besonderes Merkmal) hergestellt. Grundlegend erfolgt diese Verknüpfung über den Namen. Aber auch die IP-Adresse oder eine E-Mail-Adresse stellen solche Kennungen dar. Sollten Sie Informationen pseudonymisiert verarbeiten (bspw. durch Vergabe einer individuellen ID), müssen Sie grundsätzlich auch über diese Information Auskunft erteilen. Der Auskunftsanspruch umfasst auch diejenigen Informationen, die in analogen oder elektronischen Akten zu der betroffenen Person gespeichert sind. Selbst Kommentare zu Angaben der betroffenen Person, beispielsweise im Rahmen einer Prüfungsbewertung, können personenbezogene Daten darstellen.
Ein Muster für eine Auskunft finden Sie weiter unten auf dieser Website. Wenn Sie zur antragstellenden Person noch nie Daten gespeichert, Daten bereits gelöscht oder Daten unumkehrbar anonymisiert haben, verarbeiten Sie keine Daten dieser Person. Sie können hierüber folglich auch keine Auskunft erteilen. Allerdings müssen Sie ihr im Wege einer sog. Negativauskunft mitteilen, dass Sie keine Daten zu ihr verarbeiten. Beachten Sie aber, dass durch die Anfrage nunmehr personenbezogene Daten der antragstellenden Person bei Ihnen vorliegen, die zum Zweck des Nachweises der Anfragebearbeitung auch gespeichert werden müssen. Dies löst wiederum eine Informationspflicht aus (s. Punkt 1)
Sehr geehrte/r (Ansprache der anfragenden Person)
auf Ihr Auskunftsverlangen vom xx/xx/xxxx teilen wir Ihnen mit, dass wir als Verantwortlicher keine personenbezogenen Daten über Sie verarbeiten.
Grußformel
7. Auskunftsrecht ausgeschlossen?
Grundsätzlich steht jedem Betroffenen das Auskunftsrecht zu. Es gibt jedoch gesetzliche Ausnahmen. Von praktischer Relevanz ist insbesondere die Einschränkung des § 34 Abs. 1 Nr. 2 BDSG. Dieser nimmt Daten von der Auskunftspflicht aus, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Die Ausnahme erstreckt sich weiter auf Daten, die bloß zu Zwecken der Datensicherung (z.B. Backup-Dateien oder Log-Files) gespeichert sind.
8. Was gehört noch in das Auskunftsschreiben?
Zusätzlich zu der Aufstellung der personenbezogenen Daten, müssen auch die in Art. 15 DSGVO aufgezählten allgemeinen Informationen mitgeteilt werden. Hinsichtlich der Betroffenenrechte können diese in der Regel der datenschutzrechtlichen Informationsübersicht (bei Websites: die Datenschutzerklärung ) entnommen werden. Die übrigen Informationen (Zweck und Rechtsgrundlage) bezüglich der Verarbeitung können dem Verarbeitungsverzeichnis nach Art. 30 DSGVO entnommen werden (wie Sie ein Verarbeitungsverzeichnis erstellen, erfahren Sie hier). Im Hinblick auf die Nennung der Empfänger ist das Urteil des EuGH (Rs. C-154/21) zu beachten, welches klargestellt hat, dass – sofern bekannt – stets die konkreten Empfänger benannt werden müssen. Der Rückgriff auf die Nennung von Empfängerkategorien ist nur in bestimmten Ausnahmefällen möglich, z.B. wenn die antragstellende Person konkret die Nennung von Empfängerkategorien verlang hat.
Muster für positive Auskunft
Sehr geehrte/r (Ansprache der anfragenden Person)
auf Ihr Auskunftsverlangen vom xx/xx/xxxx bestätigen wir Ihnen, dass wir als Verantwortlicher personenbezogenen Daten über Sie verarbeiten.
Wir verarbeiten dabei die folgenden Informationen über Sie:
(hier alle verarbeiteten Informationen über die betroffene Person aufführen/sofern die Daten nicht beim Betroffenen erhoben wurden, müssen außerdem alle verfügbaren Informationen über die Herkunft der Informationen angegeben werden)
Wir verarbeiten diese personenbezogenen Daten zu den folgenden Verarbeitungszwecken:
(hier die relevanten Zwecke aus dem Verarbeitungsverzeichnis aufführen)
Wir verarbeiten diese personenbezogenen Daten unter den folgenden Kategorien:
(hier die relevanten Kategorien aus dem Verarbeitungsverzeichnis aufführen)
Eine Offenlegung dieser personenbezogenen Daten erfolgt gegenüber den folgenden Empfängern:
(hier die relevanten Empfänger oder, sofern nicht möglich, die Kategorien von Empfängern aufführen)
Der Zeitraum, für den wir diese personenbezogenen Daten speichern, bemisst sich hinsichtlich der Erreichung des Verarbeitungszwecks und gesetzlichen Aufbewahrungspflichten.
(sofern hinsichtlich bestimmter Kategorien ein Löschkonzept vorliegt, sind außerdem die relevanten Löschfristen aufzuführen)
Eine automatisierte Entscheidungsfindung gem. Art. 22 DSGVO findet nicht statt.
(bei Bestehen einer automatisierten Entscheidungsfindung Art. 15 Abs. 1 Buchst. b) DSGVO beachten)
Als betroffene Person haben Sie das Recht, uns gegenüber nach Maßgabe des Art. 16 DSGVO eine Berichtigung und nach Maßgabe des Art. 17 DSGVO und § 35 BDSG die Löschung Ihrer personenbezogenen Daten zu verlangen. Sie haben außerdem das Recht, nach Maßgabe des Art. 18 DSGVO die Verarbeitung Ihrer personenbezogenen Daten einschränken zu lassen.
Nach Maßgabe des Art. 21 Abs. 1 DSGVO haben Sie das Recht, gegen die Verarbeitung Widerspruch einzulegen. Sofern durch uns personenbezogene Daten über Sie zum Zweck der Direktwerbung verarbeitet werden, können Sie gegen diese Verarbeitung gem. Art. 21 Abs. 2 und Abs. 3 DSGVO Widerspruch einlegen.
Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs nach Maßgabe des Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde.
Grußformel
9. In welcher Form muss die Auskunft erteilt werden?
Die DSGVO enthält kein Formular zur Auskunftserteilung. Jedes Unternehmen kann das Auskunftsschreiben selbst gestalten. Zu beachten ist, dass die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgt. Die Auskunft muss also für einen Laien ohne Weiteres nachvollziehbar sein. Die Auskunft kann schriftlich oder elektronisch erteilt werden. Wenn der Antrag elektronisch gestellt wurde (z.B. im internen Bereich eines Online-Shops), muss in der Regel auch die Auskunftserteilung elektronisch erfolgen – außer die anfragende Person verlangt die Zusendung per Post. Wenn die anfragende Person die Auskunft mündlich verlangt, muss diese mündlich erteilt werden – in diesem Fall muss aber sichergestellt werden, dass der Kontakt tatsächlich mit der Person stattfindet, über deren Daten die Auskunft erteilt wird.
