Anzeige
Anzeige
Ratgeber
Artikel merken

Das müssen Unternehmen beim Auskunftsanspruch nach DSGVO beachten

Die DSGVO sieht einen Auskunftsanspruch gegenüber Datenverarbeitenden vor. Aber was müssen Unternehmen beachten, wenn eine solche Anfrage bei ihnen eingeht?

5 Min. Lesezeit
Anzeige
Anzeige

Was müssen Unternehmen beachten, wenn eine DSGVO-Anfrage bei ihnen eingeht? (Bild: RikoBest / shutterstock)

Das DSGVO-Betroffenenrecht, das Organisationen vermutlich am meisten auf Trab hält, ist das Auskunftsrecht gemäß Art. 15 DSGVO. Es ist nicht neu, auch das alte BDSG sah ein solches Auskunftsrecht vor. Die DSGVO hat es aber einfacher und umfassender gestaltet. Was gut für die Betroffenen ist, deren Daten verarbeitet werden, stellt jedoch immer wieder eine Herausforderung für die Verantwortlichen dar, also die datenverarbeitenden Unternehmen und Organisationen. Wie wird die Auskunft richtig erteilt? Welche Daten müssen wirklich mitgeteilt werden? Was gehört in die Datenkopie?

Antragstellung

Anzeige
Anzeige

Wie alle anderen Betroffenenrechte auch (Kapitel III DSGVO) kann das Recht auf Auskunft beim Verantwortlichen auf jedem erdenklichem Kanal gestellt werden, über den der Verantwortliche kommuniziert: E-Mail, Messenger, Brief, Fax, Telefon, Webinterface. Die Betroffenen haben die freie Wahl.

Beschäftigte, die die verschiedenen Kontaktkanäle überwachen und betreuen, müssen demnach einen Auskunftsantrag erkennen und an die zuständige interne Abteilung zur Bearbeitung weiterleiten können. Der Umgang mit den Betroffenenrechten nach DSGVO sollte demnach in einem Prozess dokumentiert werden und regelmäßig Schulungsgegenstand sein.

Anzeige
Anzeige

Identifizierung

Eine Auskunft darf natürlich nur an den richtigen Betroffenen erteilt werden. Daher muss zunächst die Identität des Antragsstellers geprüft werden. Bestehen Zweifel an der Identität, darf der Verantwortliche nachfragen und zum Beispiel eine teilweise geschwärzte Ausweiskopie anfordern oder den Antragsteller bitten, den Antrag über die beim Verantwortlichen hinterlegte E-Mail-Adresse oder Telefonnummer zu bestätigen. Eine Auskunft an den Falschen wäre datenschutzrechtlich der Worst Case.

Anzeige
Anzeige

Das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO

Art. 15 DSGVO sieht zunächst einmal vor, dass Betroffene Auskunft darüber verlangen können, ob überhaupt Daten verarbeitet werden. Wenn nein, ist der Antrag einfach negativ zu beantworten. Wenn ja, will der Antragsteller meist auch mehr wissen, sodass dann die folgenden Informationen zusammengestellt und dem Antragsteller zur Verfügung gestellt werden müssen:

  • die Verarbeitungszwecke, also wozu die Daten verarbeitet werden (wozu?);
  • die Kategorien personenbezogener Daten, die verarbeitet werden (was?);
  • die Empfänger oder Kategorien von Empfängern, das heißt den konkreten Empfänger, wenn man ihn kennt, und sonst eine strukturelle Beschreibung der Empfänger (an wen?)
  • bei Empfängern in Drittländern oder bei internationalen Organisationen zudem die geeigneten Garantien zu Absicherung der Übermittlung (also Angemessenheitsbeschlüsse, Standardvertragsklauseln, Binding Corporate Rules);
  • die geplante Speicherdauer, oder, falls das nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (wie lange?);
  • das Bestehen eines Rechts auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • alle verfügbaren Informationen über die Herkunft der Daten, wenn die Daten nicht bei der betroffenen Person erhoben wurden (woher?);
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik und die Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Das Recht auf Datenkopie

Neben der Auskunft erhält der Betroffene vom Verantwortlichen auch eine Datenkopie (Art. 15 Abs. 3 DSGVO). Umstritten war, was denn nun alles zu der Datenkopie gehört. Sind das nur die Stammdaten und Vertragsunterlagen oder wirklich alles, was irgendwie mal angefallen ist?

Anzeige
Anzeige

Diese Fragestellung beschäftigte auch den BGH, der dann immerhin für Klarheit gesorgt hat: Der Kläger wollte von seiner Versicherung zurückliegende Korrespondenz einschließlich der Daten des vollständigen Prämienkontos, Zweitschriften und Nachträge zum Versicherungsschein sowie sämtliche Telefon-, Gesprächs- und Bewertungsvermerke zum Versicherungsverhältnis. Die Vorinstanz meinte: „Nein, das sind nur interne Vorgänge der Beklagten.“ Der BGH stellte jedoch fest, dass auch diese Angaben dem Betroffenen helfen, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Das OLG München sieht einen eigenständigen Anspruch auf Datenkopie und legte nach: Auch Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe sind jeweils in ihrem gesamten Inhalt herauszugeben.

Heißt: Beim Auskunftsanspruch besser alles als Kopie mitschicken. Vor Aussendung der Kopien müssen die jedoch darauf geprüft werden, inwiefern Dritte beeinträchtigt werden. Soweit das der Fall ist, dürfen und müssen zum Beispiel Schwärzungen vorgenommen werden (Art. 15 Abs. 4 DSGVO).

Zweistufiges Verfahren

Da die Erstellung einer Datenkopie gerade in komplexeren Verarbeitungssituationen wie einem Beschäftigungsverhältnis einen sehr hohen Aufwand bedeuten kann, wird die datenschutzrechtliche Auskunft auch gerne mal zweckentfremdet. Das Bundesarbeitsgericht bemängelte bei einem derartigen Vorgehen bereits die „Bestimmtheit“ der Anträge.

Anzeige
Anzeige

Abhilfe, insbesondere bei komplexeren Verarbeitungssituationen wie dem Beschäftigungsverhältnis, kann ein zweistufiges Verfahren anbieten, das auch von der bayerischen Aufsichtsbehörde empfohlen wird:

  • 1. Stufe: Im ersten Schritt werden die beschriebenen allgemeinen Informationen zur Verarbeitung beauskunftet (Zweck, Datenkategorien, Empfänger etc. gemäß Art. 15 Abs. 1 DSGVO). Für eine weitergehende Auskunft dürfen Verantwortliche die Betroffenen bitten, ihren Anspruch zu präzisieren und zu Beispiel anzugeben, zu welchen einzelnen Verarbeitungstätigkeiten oder Zwecken die jeweiligen Datenkopien gewünscht werden.
  • 2. Stufe: Im zweiten Schritt stellt der Verantwortliche den Betroffenen dann die gewünschten weiterführenden Informationen und Datenkopien zur Verfügung (Art. 15 Abs. 3 DSGVO).

Eine Kopie muss kostenfrei zur Verfügung gestellt werden; für jede weitere kann der Verantwortliche ein angemessenes Entgelt verlangen.

Beantwortung und Fristen

Die Antwort auf ein Auskunftsersuchen muss innerhalb eines Monats beim Betroffenen eingehen; sind die Anträge sehr zahlreich und/oder komplex, kann diese Frist auch um zwei Monate verlängert werden. Hierüber muss aber der Verantwortliche ebenfalls innerhalb eines Monats informieren.

Anzeige
Anzeige

Die Beantwortung des Auskunftsanspruchs kann regelmäßig auf dem Kanal erfolgen, über den er gestellt wurde, ein Antrag per E-Mail kann also auch per E-Mail beantwortet werden, es sei denn der Antragsteller wünscht einen anderen Weg. Im Blick zu behalten ist jeweils die Datensicherheit, in der Regel muss der Verantwortliche deshalb eine (Transport-)Verschlüsselung gewährleisten.

Fazit

Die Sicherstellung von Betroffenenrechten und insbesondere des Rechts auf Auskunft kann eine komplexe und aufwendige Angelegenheit sein. Unternehmen und Organisationen sind als Verantwortliche gut beraten, interne Prozesse für die Bearbeitung und Beantwortung von Auskunftsanträgen und anderen Betroffenenanfragen zu implementieren und sie regelmäßig zum Gegenstand von Schulungen zu machen. So können unzufriedene Betroffene und Beschwerden weitgehend vermieden und das Bußgeldrisiko verringert werden.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Alex

Wer mir bei solchen Artikeln immer direkt einfällt ist die Schufa.
Sie bietet ein mal im Jahr eine kostenlose Auskunft nach DSGVO.

Allerdings lassen sie sich ordentlich Zeit mit dem Beantworten.
Die Auskunft kam letztes mal auch per Post, obwohl ich sie per E-Mail beantragt habe und sie ist auch nicht vollständig, sondern lediglich eine abgespeckte Version der kostenpflichten Schufa Auskunft (und keine richtige DSGVO Auskunft).

Vielleicht weiß ja jemand mehr als ich und ob das alles rechtlich überhaupt so haltbar ist :)

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige