Das Auskunftsrecht ist einer der wichtigsten Ansprüche von betroffenen Personen im Datenschutzrecht. Gemäß Art. 15 Abs. 1 DSGVO hat jede betroffene Person das Recht, von Verantwortlichen zu erfahren ob und (wenn ja) welche sie betreffenden personenbezogenen Daten durch den Verantwortlichen verarbeitet werden.
In der Praxis spielt das Recht auf Auskunft insbesondere bei Unternehmen im B2C-Kontext eine große Rolle. Aber auch im Bereich des Beschäftigtendatenschutzes gewinnt das Auskunftsrecht immer mehr an Bedeutung.
Bei der Beantwortung einer Auskunftsanfrage gibt es zahlreiche Fallstricke, die in der Praxis zu Beschwerden und aufsichtsbehördlichen Sanktionen führen können. Wir stellen Ihnen nachfolgend die sieben wichtigsten Themenbereiche des Auskunftsrechts in der Praxis vor.
Der Beitrag wurde aufgrund eines neuen Urteils des Europäischen Gerichtshofs im Mai 2023 aktualisiert.
Anforderungen an das Auskunftsverlangen einer betroffenen Person
Schauen wir uns zunächst an, welche formalen und inhaltlichen Anforderungen an ein Auskunftsverlangen einer betroffenen Person zu stellen sind und was das für Ihre Praxis bedeutet.
Formale Anforderungen
Die Anforderungen an ein rechtmäßig gestelltes Auskunftsverlangen sind vergleichsweise gering. So ist der Auskunftsanspruch regelmäßig nicht an eine bestimmte Form gebunden. Betroffene Personen können sich grundsätzlich sowohl schriftlich als auch elektronisch, theoretisch sogar telefonisch oder vor Ort mündlich an den Verantwortlichen wenden.
Der Verantwortliche muss sicherstellen, dass Betroffenenanfragen intern den richtigen Weg finden, um von den zuständigen Ansprechpartner:innen bearbeitet zu werden. Verantwortliche sind nur dann nicht verpflichtet, auf eine Auskunftsanfrage zu antworten, wenn diese an Beschäftigte ging, die offensichtlich nicht mit der Datenverarbeitung betraut sind (z.B. Reinigungskräfte, Fahrer:innen) und der Verantwortliche wirksam über die korrekten Kontaktadressen informiert hat, z.B. über die Datenschutzinformationen auf der Website.
Auch ein Ersuchen per E-Mail an den Geschäftsführer eines größeren Unternehmens muss gegebenenfalls nicht zwingend beantwortet werden (s. Entscheidung der norwegischen Aufsichtsbehörde vom 10.05.2022).
Inhaltliche Anforderungen
Auch die inhaltlichen Anforderungen an einen Auskunftsantrag sind gering. So muss die betroffene Person insbesondere keine vorgefertigten Formulare nutzen, um einen Antrag zu stellen, sondern kann dies ganz formlos tun.
Aus diesem Grund muss auch die Rechtsgrundlage für den Auskunftsanspruch nicht konkret in dem Auskunftsverlangen der betroffenen Person benannt werden. Für den Verantwortlichen muss sich aus der Anfrage lediglich inhaltlich ergeben, dass die betroffene Person Informationen darüber erhalten möchte, ob und (wenn ja) welche personenbezogenen Daten über sie verarbeitet werden. Darüber hinaus müssen betroffene Personen einen Auskunftsanspruch auch nicht weitergehend begründen.
Die alleinige Frage „Woher haben Sie meine E-Mail-Adresse?“ genügt allerdings wohl nicht für die Begründung eines Auskunftsanspruchs (s. Entscheidung der Dänischen Aufsichtsbehörde vom 21.06.21)
Präzisierung der Anfrage
Schwierigkeiten gibt es immer dann, wenn der Verantwortliche eine Vielzahl von personenbezogenen Daten einer betroffenen Person verarbeitet und eine Gesamtauskunft zu einem übermäßigen Aufwand auf Seiten des Verantwortlichen sowie zu einem Überfluss an Informationen auf Seiten der betroffenen Person führen würde. In solchen Ausnahmefällen kann der Verantwortliche in aller Regel gem. Erwägungsgrund 63 S. 7 DSGVO verlangen, dass das Auskunftsersuchen präzisiert wird (so bspw. auch das FG Berlin-Brandenburg, Urteil v. 26.1.22, Az. 16 K 2059/21).
Anfragesteller:in
Im Übrigen muss das Auskunftsersuchen entweder durch die betroffene Person selbst (so der Regelfall) oder durch eine von der betroffenen Person bevollmächtigten Stelle vorgetragen werden. Im Falle einer Bevollmächtigung muss die Vollmacht des Vertretenden im Original gegenüber dem Verantwortlichen vorgelegt werden, ansonsten kann der Auskunftsanspruch gegebenenfalls gem. § 174 BGB zurückgewiesen werden.
Wichtig für die Praxis
- Schulung und Sensibilisierung von Beschäftigten;
- Implementierung von funktionierenden internen Prozessen;
- Zuständigkeiten und Meldewege festlegen;
- Wenige Personen für die rechtliche Bewertung einer Anfrage verantwortlich machen;
- Andere Personen und Abteilungen für notwendigen Zuarbeiten verpflichten;
- Festlegung von Richtlinien für häufige Abwägungsaspekte.
Identitätsprüfung der anfragenden Person
Ist die Anfrage im Unternehmen angekommen, geht es im nächsten Schritt um die Identitätsprüfung der anfragenden Person.
Identitätsprüfung ist obligatorisch
Um unberechtigte Zugriffe auf personenbezogene Daten zu verhindern, muss das zur Auskunft verpflichtete Unternehmen stets dafür sorgen, dass die Auskunft nur an die betroffene Person bzw. eine von dieser wirksam bevollmächtigten Stelle erteilt wird. Die Identität der anfragenden Person muss also in jedem Fall überprüft werden. Dabei sind die Anforderungen an die Identitätsprüfung höher, je sensibler die zu beauskunftenden Daten sind.
Handelt es sich um eine Auskunftsanfrage zu Daten, die im Rahmen eines Vertrages (z.B. Energieversorgungsvertrag) angefallen sind, kann schon der Abgleich der von der betroffenen Person angegebenen Informationen (z.B. Name, Adresse, E-Mail-Adresse, Kundennummer, Vertragsnummer) mit den im System hinterlegten Informationen für den Zweck der Identitätskontrolle genügen (so bspw. der LfD Bayern).
In einem Online-Portal genügt beispielsweise in der Regel ein Login der anfragenden Person, um die Identität zu bestätigen (so bspw. der LfDI Baden-Württemberg), solange keine besonders sensiblen personenbezogenen Daten in diesem Portal verarbeitet werden. Es bietet sich daher an, in einem solchen Fall direkt eine elektronische Möglichkeit für die Auskunftsanfrage in dem Portal bereitzustellen.
Für die Auskunft in einem Gesundheitsportal könnte der einfache Login allerdings nicht genügen, um die Identität der nutzenden Person gesichert festzustellen. Da auf diesem Portal unter Umständen sehr sensible und zudem durch Art. 9 Abs. 1 DSGVO besonders geschützte Daten verarbeitet werden, sollte beispielsweise eine Bestätigung der Anfrage auf einem anderen Kanal (z.B. per E-Mail oder SMS) oder über einen besonders gesicherten Login (z.B. mit Mehr-Faktor-Authentifizierung) erfolgen.
Begründete Zweifel an der Identität
Nur in dem Fall, dass begründete Zweifel an der Identität der anfragenden Person bestehen, ist eine weitergehende Identitätsprüfung möglich, für die der Verantwortliche auch weitere personenbezogene Daten der betroffenen Person erheben darf (Art. 12 Abs. 6 DSGVO). Diese neu erhobenen Daten dürfen allerdings allein zum Zweck der Identitätskontrolle genutzt werden und müssen somit nach Erfüllung dieses Zwecks umgehend gelöscht werden.
In besonderen Ausnahmefällen kann beispielsweise auch eine Personalausweiskopie angefordert werden (so u.a. der LfDI Baden-Württemberg). Informationen zu den Anforderungen an eine solche Ausweiskopie finden Sie in unserem Blogbeitrag Personalausweis und Reisepass: Scan und Kopie sind zulässig.
Zu beachten ist im Rahmen der Identitätskontrolle stets, dass die Auskunft für die betroffene Person nicht unnötig erschwert werden darf. Der Verantwortliche muss also abwägen, ob tatsächlich weitere identifizierende Informationen der Betroffenen abgefragt werden müssen oder ob mit den vorhandenen Daten eine ausreichende Kontrolle stattfinden kann.
Wichtig für die Praxis
- Festlegung der persönlichen Merkmale, über die eine Identifikation Betroffener üblicherweise stattfinden sollte;
- Implementierung von Prozessen in den Systemen, die eine Identifikation erleichtern;
- Auskunftsprozesse nicht unnötig erschweren oder verzögern;
- Einbeziehen Ihres/Ihrer Datenschutzbeauftragten bei der Konzeption des Identifikationsprozesses.
:Inhalt der Auskunft
Sobald die anfragende Person als betroffene Person identifiziert wurde, ist der Inhalt der Auskunft zu bestimmen. Was genau in eine Auskunft gehört, erläutern wir Ihnen nachfolgend.
Inhalt einer Auskunft gem. Art. 15 Abs. 1, 2 DSGVO
Art. 15 Abs. 1 DSGVO gibt den Inhalt des Auskunftsanspruchs bereits katalogartig vor. Bei der Erfüllung einer Auskunftsanfrage ist in jedem Fall sicherzustellen, dass die in Art. 15 Abs. 1 DSGVO genannten Informationen erteilt werden. Für den Fall, dass personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt werden, ist zudem Auskunft über die geeigneten Garantien gem. Art. 46 DSGVO zu geben (Art. 15 Abs. 2 DSGVO).
Lange umstritten war die Frage, ob im Rahmen einer Auskunft die konkreten Empfänger personenbezogener Daten benannt werden müssen oder ob es genügt, wenn lediglich die Kategorien von Empfängern benannt werden. Diese Frage hat der Europäische Gerichtshof (EuGH) im Urteil vom 12.01.2023 (Rs. C-154/21) nun abschließend beantwortet. Der EuGH legt dabei fest, dass die betroffenen Personen das Recht haben, die genaue Information über bestimmte Empfänger zu erhalten oder alternativ zu entscheiden, nur Informationen über die Kategorien von Empfängern anzufordern. Kategorien von Empfängern dürfen nur dann genannt werden, wenn der Verantwortliche die einzelnen Empfänger tatsächlich nicht identifizieren kann (z.B., weil er sie nicht kennt) oder der Auskunftsantrag der betroffenen Person offenkundig unbegründet oder exzessiv ist (Art. 12 Abs. 5 DSGVO) und der Verantwortliche dies nachweisen kann. In der Praxis sollten Unternehmen daher in aller Regel Auskunft über die konkreten Empfänger der personenbezogenen Daten erteilen und nur in Ausnahmefällen auf die Nutzung von Empfängerkategorien zurückgreifen.
Das Recht auf Kopie gem. Art. 15 Abs. 3 DSGVO
Höchst umstritten war auch das in Art. 15 Abs. 3 DSGVO begründete Recht auf Kopie.
Fragen bestanden hierbei zum einen im Hinblick darauf, ob die betroffene Person das Recht auf Kopie als einen eigenständigen Anspruch zusätzlich zum allgemeinen Auskunftsrecht nach Art. 15 Abs. 1 DSGVO geltend machen kann bzw. muss, oder ob der Verantwortliche bei Erteilung einer Auskunft gem. Abs. 1 immer auch eine Kopie gem. Abs. 3 zur Verfügung stellen muss. Der EuGH entschied hierzu in seinem Urteil vom 04.05.2023 (Rs. C-487/21), dass der Erhalt einer Kopie nicht als zusätzlicher Anspruch ausgestaltet ist. Das bedeutet für die Praxis: Jede Auskunft gegenüber einer betroffenen Person muss auch eine Kopie der Daten enthalten.
Im Übrigen war unklar, in welcher Form die Kopie bereitgestellt werden muss: Ist es ausreichend, die verarbeiteten personenbezogenen Daten konkret zu benennen oder müssen tatsächlich (physische oder elektronische) Kopien von Dokumenten zur Verfügung gestellt werden? – Auch hierzu hat sich der EuGH im oben genannten Urteil geäußert. Nach Ansicht des Gerichts muss bei Auskunftserteilung immer dann eine tatsächliche Kopie zur Verfügung gestellt werden, wenn die betroffene Person ohne diese Kopie nicht in der Lage ist, die Datenverarbeitung zu verstehen und nachzuvollziehen. Ziel des Auskunftsanspruchs ist es immer, die betroffene Person in die Lage zu versetzen, die Rechtmäßigkeit der Datenverarbeitung zu prüfen und ggf. weitere Betroffenenrechte (wie z.B. Löschung oder Korrektur von Daten) zu verlangen. Ist zur Erreichung dieses Ziels eine tatsächliche Kopie nötig, muss diese auch bereitgestellt werden.
Häufiger Streitpunkt ist weiterhin die Frage, ob interne Vermerke und Notizen vom Recht auf Kopie umfasst sind. Die Gerichte sind sich in diesem Fall uneins. Nach Ansicht des BGH (Urteil v. 15.6.21, Az. VI ZR 576/19) können interne Vermerke und Kommunikation nicht kategorisch vom Anwendungsbereich des Auskunftsrechts ausgeschlossen werden. Es ist daher im Einzelfall zu prüfen, ob die Dokumente personenbezogene Daten enthalten oder im Gesamten der betroffenen Person zuzuordnen sind.
Wichtig für die Praxis
Für die inhaltlich richtige Erteilung einer Auskunft ist es wertvoll, auf ein gepflegtes Verzeichnis von Verarbeitungstätigkeiten zurückgreifen zu können. Das Verzeichnis dient in Auskunftsfällen als erster Anlaufpunkt und Orientierung, um die involvierten Verarbeitungsprozesse, Anwendungen und Abteilungen, in denen personenbezogene Daten der anfragenden Person verarbeitet werden, zu identifizieren.
Darüber hinaus ist es sinnvoll, im Vorfeld einer Anfrage bereits die folgenden Maßnahmen zu treffen:
- Erstellung einer Übersicht über vorhandene (Haupt-)Systeme, in denen personenbezogene Daten verarbeitet werden, und der dafür zuständigen Personen;
- Frühzeitige Prüfung von Möglichkeiten für Datenexporte und/oder Kopien in den genutzten IT-Systemen;
- Sicherstellung der Mitwirkung der einzelnen Fachabteilungen.
eErteilung der Auskunft
Nachdem der Inhalt der Auskunft feststeht, geht es an die Erteilung der Auskunft gegenüber der betroffenen Person.
Zweistufigkeit: „ob“ und „welche“
Dazu ist zunächst wichtig zu wissen, dass das Recht auf Auskunft zweistufig aufgebaut ist. Im ersten Schritt geht es in jeder Auskunftsanfrage um die reine Information, ob überhaupt personenbezogene Daten über die betroffene Person verarbeitet werden. Das führt im Umkehrschluss in der Praxis dazu, dass Verantwortliche auch verpflichtet sind, eine sogenannte „Negativauskunft“ zu geben. Hat ein Unternehmen also keine personenbezogenen Daten über die anfragende Person gespeichert, muss dies der Person auch so mitgeteilt werden. Erst im zweiten Schritt geht es um die Prüfung, welche personenbezogenen Daten der Person im Unternehmen vorliegen.
Informationspflichten im Rahmen der Negativauskunft
Bleiben wir noch kurz bei der Negativauskunft, denn die führt in der Praxis oftmals zu Verwirrungen.
Da ein Auskunftsersuchen einer betroffenen Person zum Zweck des Nachweises der Anfrage sowie zur Verteidigung von etwaigen Rechtsansprüchen in Bezug auf die erteilte Auskunft regelmäßig aufbewahrt werden sollte, kommt es häufig zu folgendem Fall: Die betroffene Person beantragt Auskunft gem. Art. 15 DSGVO. Bei dem Verantwortlichen liegen keinerlei personenbezogenen Daten dieser Person vor, sodass eine Negativauskunft erteilt werden muss. Im Rahmen der Negativauskunft ist die betroffene Person allerdings gem. Art. 13 DSGVO darauf hinzuweisen, dass aufgrund der Anfrage nunmehr personenbezogene Daten über sie gespeichert und zu den o.g. Gründen aufbewahrt werden. In solchen Fällen kommt es daher allein aufgrund der Auskunftsanfrage überhaupt erst zu einer Datenverarbeitung.
Verantwortlichkeiten im Rahmen der Auskunft
Unabhängig von der Art der Auskunft sind in jedem Fall die Verantwortlichkeiten im Rahmen der Auskunftserteilung zu beachten. Im Gegensatz zu den vielen Streithemen rund um die Auskunft ist die Rechtslage dahingehend dankenswerterweise eindeutig: Verantwortlich für die Erteilung der Auskunft ist, wie Art. 12 und 15 Abs. 1 DSGVO deutlich machen, allein der Verantwortliche.
Das bedeutet im Umkehrschluss, dass etwaige Auftragsverarbeiter des Verantwortlichen in keinem Fall eine eigenständige Auskunft an betroffene Personen erteilen sollten, deren Daten nur im Auftrag des Verantwortlichen verarbeitet werden (s. hierzu bspw. die Entscheidung der dänischen Aufsichtsbehörde aus dem Mai 2022). Der Verantwortliche kann den Auftragsverarbeiter auch nicht anweisen, Auskünfte eigenständig zu bearbeiten und zu erteilen. Möglich, aber auch erforderlich, ist lediglich die Regelung einer Unterstützungspflicht der Auftragsverarbeiter im entsprechenden Auftragsverarbeitungsvertrag.
Form der Auskunft
Analog zum Auskunftsersuchen ist auch die Auskunftserteilung grundsätzlich nicht an eine bestimmte Form gebunden. Art. 12 Abs. 1 S. 2 DSGVO legt fest, dass eine Auskunft sowohl schriftlich, als auch elektronisch und sogar, sofern von der betroffenen Person gewünscht und diese eindeutig identifiziert werden kann, mündlich erteilt werden kann.
Zu beachten ist allerdings die Vorgabe des Art. 12 Abs. 3 S. 4 DSGVO, wonach ein Auskunftsantrag, der auf elektronischem Wege gestellt wurde, nach Möglichkeit auch auf elektronischem Wege beantwortet werden sollte. Erhält ein Unternehmen also eine Anfrage per E-Mail, so ist die Auskunft grundsätzlich auch auf elektronischem Wege zu erteilen.
Wichtig für die Praxis
- Notwendigkeit einer Negativauskunft festlegen;
- Formen der Auskunftserteilung festlegen und standardisieren (sofern möglich).
Die Beschränkung des Auskunftsanspruchs
Der Auskunftsanspruch der betroffenen Person gilt, auch wenn es oft den Anschein macht, nicht grenzenlos. Vielmehr gibt es gewisse Schranken, die dazu führen können, dass Verantwortliche berechtigt sind, den Auskunftsanspruch abzulehnen.
Beeinträchtigung der Rechte und Freiheiten anderer Personen
Gemäß Art. 15 Abs. 4 DSGVO kann ein Auskunftsanspruch immer dann abgelehnt werden – zumindest in Teilen – wenn die Rechte und Freiheiten anderer Personen beeinträchtigt werden.
Unter die Personengruppe der „anderen Personen“ fallen dabei nicht nur Dritte, sondern auch der Verantwortliche und der Auftragsverarbeiter selbst. Auch dessen Interessen, wie zum Beispiel Geschäftsgeheimnisse oder Rechte des geistigen Eigentums, können also gegen eine vollständige Herausgabe von Kopien personenbezogener Daten angeführt werden.
Verantwortliche sollten allerdings darauf achten, diese Beschränkung nicht zu weit auszulegen, sondern stets eine tatsächliche Interessenabwägung im Einzelfall durchzuführen. Oftmals wird es zudem möglich sein, die Rechte und Freiheiten der eigenen oder anderen Personen durch Schwärzungen im Dokument zu schützen und so den Auskunftsanspruch zu erfüllen. Darüber hinaus ist in jedem Fall genauestens zu prüfen, welche Teile des Auskunftsersuchens abgelehnt werden könnten. Eine vollständige Verweigerung der Auskunft wird im Regelfall nicht zulässig sein.
Offenkundig unbegründete oder exzessive Anträge
Weiterhin ist der Verantwortliche berechtigt, offenkundig unbegründete oder exzessive Anträge einer betroffenen Person (teilweise oder vollständig) abzulehnen (Art. 12 Abs. 5 Buchst. b DSGVO). Der Verantwortliche muss in diesen Fällen allerdings nachweisen können, dass die entsprechenden Voraussetzungen vorliegen, was in der Praxis häufig zu Problemen führt. Denn aus dem Wortlaut der Norm ist keinesfalls klar zu erkennen, welche Anträge unter diese Ausnahme fallen und welche nicht.
Dieses Problem hat deshalb zu einer Vielzahl von Urteilen geführt, in denen es um die Frage rechtsmissbräuchlicher Auskunftsanfragen geht. Zu beachten ist in jedem Fall, dass die Ausnahmevorschrift des Art. 12 Abs. 5 Buchst. b DSGVO grundsätzlich nur in engen Grenzen genutzt werden sollte (s. hierzu auch AG Kerpen, Urteil v. 22.12.20, Az. 106 V 96/20). Verantwortliche, die sich auf diese Ausnahmeregelung stützen, tun also gut daran, den Einzelfall sorgfältig rechtlich durchzuprüfen sowie die entsprechenden Argumente zu dokumentieren.
Durch die Rechtsprechung gibt es bereits einige Anhaltspunkte für offenkundig unbegründete oder exzessive Auskunftsanträge. So liegt ein offenkundig unbegründeter Auskunftsantrag dann vor, wenn das Fehlen der Voraussetzungen für den Antrag auf der Hand liegen. Es muss dabei offensichtlich sein, dass ein Antrag aussichtslos ist. Mögliche exzessive Auskunftsanträge liegen beispielsweise vor, wenn
- eine betroffene Person einen Antrag häufig wiederholt (Art. 12 Abs. 5 S. 2 DSGVO),
- der Antrag dem alleinigen Ziel dient, dem Antragsgegner Aufwand zu bereiten (s. hierzu bspw. AG Pforzheim, Urteil v. 5.8.22 – 4 C 1845/21), oder
- der Antrag eindeutig anderen Zielen dient, z.B. der inhaltlichen Überprüfung von Entscheidungen, wie Versicherungsprämien (s. LG Gießen, Urteil v. 8.9.22 – Az. 2 O 186/22; OLG Nürnberg, Urteil v. 14.3.22, 8 U 2907/21).
Beschränkung durch nationale Rechtsvorschriften
Der Auskunftsanspruch von betroffenen Personen kann zudem auch durch nationale Rechtsvorschriften beschränkt sein. Der deutsche Gesetzgeber hat davon insbesondere im Rahmen des § 34 BDSG Gebrauch gemacht. Daraus ergeben sich Beschränkungen des Auskunftsanspruchs für verschiedene Fälle, unter anderem bei gewissen Datenverarbeitungen zu wissenschaftlichen oder historischen Forschungs- sowie statistischen Zwecken (§ 34 Abs. 1, 27 Abs. 2 BDSG) oder bei Auskunftsansprüchen über solche Daten, die bei Bekanntwerden die öffentliche Sicherheit oder Ordnung gefährden würden (§ 34 Abs. 1 Nr. 1 BDSG).
Für die allgemeine Datenschutzpraxis haben diese Beschränkungen aus § 34 BDSG aktuell wenig Relevanz. Verantwortliche, die aber beispielsweise in der wissenschaftlichen Forschung oder sicherheitsrelevanten öffentlichen Bereichen tätig sind, sollten sich im Rahmen der Entwicklung interner Auskunftsprozesse rechtlichen Rat einholen, um bereits im Vorfeld etwaige Ausschlussmöglichkeiten für Auskunftsansprüche zu identifizieren und Kriterien für die Beschränkung festzulegen.
Dokumentations- und Mitteilungspflicht
Der Verantwortliche ist in jedem der in diesem Abschnitt beschriebenen Fälle dazu verpflichtet, die entsprechenden Gründe der Verweigerung bzw. Beschränkung zu dokumentieren und gegenüber der betroffenen Person mitzuteilen (Art. 12 Abs. 4 DSGVO, § 34 Abs. 2 BDSG).
Wichtig für die Praxis
- Prüfen Sie bereits im Vorfeld, welche möglichen Einschränkungen für Ihr Unternehmen anwendbar sind und dokumentieren Sie diese;
- Ziehen Sie für diese Prüfung Ihre:n Datenschutzbeauftragte:n hinzu;
- Holen Sie sich im Zweifelsfall immer den Rat von Datenschutzexpert:innen hinzu, bevor Sie eine Auskunftsanfrage ablehnen bzw. die Auskunft nur eingeschränkt erteilen.
Frist & Fristberechnung
Die Beantwortung von Auskunftsanfragen wird häufig zu einem Spiel mit der Zeit. Denn für die Beantwortung von Betroffenenanfragen besteht eine konkrete gesetzliche Frist.
Unverzügliche Beantwortung
Der Verantwortliche ist verpflichtet, die entsprechende Auskunft „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“ (Art. 12 Abs. 3 S. 1 DSGVO) zu erteilen. Das bedeutet für die Praxis folgendes: Sobald Sie als Verantwortlicher in der Lage sind, eine Auskunftsanfrage zu beantworten, müssen Sie dies tun – unabhängig davon, wie weit die Monatsfrist bereits fortgeschritten ist. Die Frist von einem Monat dient lediglich als Maximalfrist, die im Grundsatz mindestens einzuhalten ist.
Verlängerung der Maximalfrist
Die Monatsfrist kann nur in engen Ausnahmefällen, wenn dies aufgrund der Komplexität und Anzahl der Auskunftsanträge erforderlich ist, um weitere zwei Monate verlängert werden. Der Umstand, dass ein Verantwortlicher keine ausreichend effizienten Prozesse zur Erteilung von Auskünften implementiert hat und eine Auskunftsanfrage dadurch an Komplexität gewinnt, kann dabei nicht für die Begründung einer solchen Fristverlängerung herhalten.
Fristberechnung
Die Fristberechnung erfolgt nach den Maßstäben der entsprechenden europäischen Verordnung (Nr. 1182/71). Ohne hier weiter in die Details dieser Regelungen einzusteigen, folgt daraus für die Praxis:
- Geht eine Auskunftsfrage am 01.03. im Laufe des Tages beim Verantwortlichen ein, so endet die Frist zur Erteilung der Auskunft (im Regelfall und ohne Verlängerung) am 01.04., 23:59 Uhr.
- Erhält der Verantwortliche eine Anfrage am 31. eines Monats (z.B. am 31.03.) und ist der Folgemonat kürzer als der aktuelle, so endet die Frist am letzten Tag des Folgemonats (im Beispiel also bereits am 30.04.).
- Fällt der letzte Tag der Frist auf ein Wochenende oder einen Feiertag, verschiebt sich das Fristende auf das Ende des folgenden Arbeitstages.
Die Frist beginnt mit dem Eingang der Anfrage beim Verantwortlichen; eine aktive Kenntnisnahme ist für den Fristbeginn allerdings nicht erforderlich. Verantwortliche tun also gut daran, etwaige Kontaktwege regelmäßig im Hinblick auf Anfragen zu prüfen.
Ist für die Erteilung der Auskunft eine Identitätsprüfung der betroffenen Person und eine damit einhergehende weitergehende Datenerhebung notwendig, so kann sich der Fristbeginn verzögern. Voraussetzung dafür ist allerdings, dass die Identitätsprüfung tatsächlich erforderlich ist und der Verantwortliche die betroffene Person unverzüglich um die Zusendung der weiteren notwendigen Identifikationsmerkmale gebeten hat. Ähnliches gilt für den Fall, dass die Präzisierung der Auskunftsanfrage erforderlich ist. Auch in diesen Fällen sollten Verantwortliche allerdings vorsichtig sein, um keine unrechtmäßige Verzögerung der Auskunft zu riskieren.
Wichtig für die Praxis
- Etablieren Sie funktionierende Meldewege und Zuständigkeiten im Rahmen der internen Prozesse;
- Lassen Sie eingegangene Anfragen nicht erst liegen, sondern beginnen Sie mit der Bearbeitung ohne Zeitverzug;
- Prüfen Sie regelmäßig auch etwaige Kontakt-Postfächer und SPAM-Ordner im Hinblick auf mögliche Betroffenenanfragen.
Was droht bei nicht ordnungsgemäßer Auskunft?
Was kann im worst case auf Sie als Unternehmen zukommen, wenn eine Auskunft nicht oder nicht ordnungsgemäß erteilt wird?
Sanktionsmöglichkeiten der Aufsichtsbehörden
Nicht oder nur unvollständig erteilte Auskünfte sind häufig Anknüpfungspunkt von Beschwerden betroffener Personen gegenüber der Aufsichtsbehörde. Die Behörden können dies insbesondere zum Anlass nehmen, das Unternehmen zu kontrollieren und ihrerseits Auskünfte über die stattfindenden Datenverarbeitungen anzufordern.
Bei Verstößen gegen die Vorschriften zur Auskunft aus Art. 12, 15 DSGVO ist die Aufsichtsbehörde unter anderem dazu befugt, Bußgelder zu verhängen. Dabei kommt gem. Art. 83 Abs. 5 Buchst. b DSGVO der erhöhte Bußgeldrahmen von max. 20 Mio. Euro oder bis zu 4% des weltweit erzielten Jahresumsatzes zur Anwendung.
Rechtsschutzmöglichkeiten der betroffenen Personen
Neben der Aufsichtsbehörde können allerdings auch die betroffenen Personen selbst tätig werden und gem. Art. 82 DSGVO Schadenersatz gegenüber dem Verantwortlichen geltend machen. Der dabei von der betroffenen Person vorzubringenden Schaden muss nicht materieller Natur sein, sondern kann, wie häufig vorgetragen, auch immaterieller Art sein.
In welchem Rahmen dieser Schadenersatz nun betroffenen Personen gerichtlich zugesprochen wird und ob es dabei eine Erheblichkeitsschwelle für einen Schaden gibt, wird der Europäische Gerichtshof zu entscheiden haben. Entsprechende Vorabentscheidungsersuchen nationaler Gerichte liegen dem EuGH bereits vor, sodass in nicht allzu ferner Zukunft auch in diesem Thema mit mehr Klarheit zu rechnen ist. Bis dahin ist jedem Unternehmen nur zu raten, streitige Auskunftsansprüche in enger Zusammenarbeit mit Datenschutzexpert:innen zu erteilen.
Checkliste
Zum Abschluss möchten wir Ihnen eine kurze, aber wichtige Checkliste an die Hand geben, damit Anfragen von betroffenen Personen in Zukunft kein Chaos in Ihrem Unternehmen anrichten.
Schritt 1: Betroffenenanfragen erkennen
- Richten Sie funktionierende Kontaktadressen für die Betroffenen ein und informieren Sie über diese in Ihren Datenschutzerklärungen;
- Prüfen Sie allgemeine Kontakt-Postfächer und SPAM-Ordner regelmäßig im Hinblick auf mögliche Betroffenenanfragen;
- Stellen Sie sicher, dass auch Ihre Auftragsverarbeiter dahingehend verpflichtet sind, etwaige Ihr Unternehmen betreffende Auskunftsanfragen an Sie weiterzuleiten und Sie bei der Beantwortung dieser zu unterstützen;
- Schulen und sensibilisieren Sie alle Beschäftigten, um sicherzustellen, dass Betroffenenanfragen als solche erkannt und an die zuständigen Personen im Unternehmen weitergeleitet werden;
- Weisen Sie Ihre Beschäftigten daraufhin, dass im Falle einer Auskunftsanfrage ggf. ihre unverzügliche Zuarbeit benötigt wird.
Schritt 2: Interne Prozesse definieren
- Benennen Sie intern zuständige Personen für den Erhalt sowie die Bearbeitung von Betroffenenanfragen;
- Stellen Sie sicher, dass Anfragen über die eingerichtete Kontaktadresse direkt an die für die Auskunftsbearbeitung zuständigen Personen gehen;
- Definieren Sie Zuständigkeiten, Aufgaben und Befugnisse von Personen, die innerhalb des Prozesses zur Beantwortung von Betroffenenanfragen agieren;
- Identifizieren Sie die für Sie relevante Problemfelder im Hinblick auf künftige Auskunftsersuchen und klären Sie, sofern möglich, bereits im Vorfeld kritische Grundsatzfragen mit Hilfe von Datenschutzexpert:innen;
- Implementieren Sie einen wirksamen internen Prozess zum Umgang mit Betroffenenanfragen in Absprache mit Ihrem Datenschutzbeauftragten;
- Pflegen Sie Ihr Verzeichnis von Verarbeitungstätigkeiten sorgfältig und stellen Sie sicher, dass dieses sowohl vollständig als auch aktuell ist;
- Prüfen Sie frühzeitig, welche Möglichkeiten zum Datenexport und/oder Kopien in Ihren genutzten IT-Systemen bestehen.
Schritt 3: Gestaltung der Auskunft
- Erstellen Sie, soweit möglich, Templates für die verschiedenen Schritte zur Bearbeitung einer Auskunftsanfrage (z.B. Anforderung zusätzlicher Informationen zur Identitätsprüfung, Erteilung einer Auskunft, Erteilung einer Negativauskunft, Ablehnung eines Auskunftsanspruchs), die die Bearbeitung von Anfragen erleichtern und vereinheitlichen;
- Stellen Sie sicher, dass die Fristen zur Bearbeitung einer Auskunftsanfrage eingehalten werden;
- Stellen Sie sicher, dass Auskunftsanfragen an einem geeigneten Ort regelmäßig dokumentiert werden.
Das Team der Datenschutzkanzlei unterstützt Sie gern!
Louisa El-Dbeissi ist Beraterin für Datenschutz und Informationssicherheit, zertifizierte Datenschutzbeauftragte (IHK) und Senior Legal Consultant bei der Datenschutzkanzlei.