Das Auskunftsrecht (auch Auskunftsanspruch) ist eines mehrerer Betroffenenrechte, die in der DSGVO verankert sind. Es sichert Betroffenen das Recht zu, Auskunft zu ihren Daten zu erhalten. Doch viele Unternehmen sind auf Betroffenenanfragen nicht ausreichend vorbereitet. Es besteht das Risiko, Anfragen unzureichend oder verspätet zu beantworten, was teuer enden kann. Wir erläutern, was beim Auskunftsrecht zu beachten ist.
Was bedeutet das DSGVO Auskunftsrecht genau?
Das Auskunftsrecht ist in Art. 15 DSGVO geregelt: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten […]“
Für Unternehmen besteht eine Auskunftspflicht, weshalb Betroffenenanfragen zu beantworten sind. Diese Pflicht besteht zumindest, wenn es sich beim Betroffenen um eine natürliche Person handelt. Beim Auskunftsrecht muss die Beantwortung innerhalb der Frist von einem Monat erfolgen. In komplexen Fällen darf die Frist bis zu zwei Monate betragen. Dann ist die betroffene Person innerhalb des ersten Monats mit Angabe von Gründen über die längere Frist zu informieren.
Was passiert, wenn Unternehmen Ihrer Auskunftspflicht nicht nachkommen?
Machen Betroffene ihren Auskunftsanspruch geltend, sollten Unternehmen ihrer Pflicht im vollen Umfang nachkommen, andernfalls drohen unangenehme Konsequenzen. Welche Konsequenzen eine Vernachlässigung der Informationspflichten nach sich zieht, hängt vom weiteren Vorgehen der betroffenen Person ab.
Sie könnte sich z.B. an die zuständige Aufsichtsbehörde wenden, die daraufhin einschreitet und mit Wahrscheinlichkeit ein Bußgeld verhängt. Es kam auch schon vor, dass Betroffene vor Gericht zogen und sich dort erfolgreich durchsetzten.
In einem Fall wurde dem Unternehmen vom zuständigen Oberlandesgericht ein Zwangsgeld in Höhe von 15.000 Euro auferlegt. Besonders heikel im besagtem Fall: Das Unternehmen hatte auf die Anfrage reagiert und die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten informiert. Aus Sicht von Kläger und Gericht jedoch nicht ausführlich genug, was letztlich zur Verhängung des Zwangsgeldes führte.
Hürden in der Praxis
Bewertung der Situation: Viele Betriebe unterschätzen das Risiko. Verantwortliche sind sich nicht immer im Klaren darüber, wie bedeutsam es ist, der Auskunftspflicht nachzukommen.
Mangel an Fachwissen: Zahlreiche Unternehmen blieben bislang verschont, weil Kunden von ihrem Auskunftsrecht noch keinen Gebrauch gemacht haben. Als Folge wurde häufig noch nicht darüber nachgedacht, welche Informationen zur Beantwortung von Betroffenenanfragen bereitzustellen sind und wie die Aufbereitung der Daten erfolgen soll.
Fehlende Prozesse: Selbst wenn die Notwendigkeit erkannt wurde und bekannt ist, welche Daten mitzuteilen sind, mangelt es oftmals an den notwendigen Prozessen. Im Ernstfall gelingt es nicht, die relevanten Daten zusammenzuführen und dem Betroffenen zeitnah mitzuteilen. Besonders für große Unternehmen führt im Regelfall kein Weg daran vorbei, Prozesse zur Erfüllung der Informationspflichten möglichst vollständig zu automatisieren. Ein externer Datenschutzbeauftragter (DSB) kann auf die Erreichung dieses Ziels hinwirken.
Der DSGVO Auskunftspflicht nachkommen
Nachfolgend haben wir für Sie eine Übersicht der wesentlichen Punkte, derer im Rahmen der DSGVO Auskunftspflicht nachzukommen ist, zusammengetragen.
- Anfragen erkennen: Wenn Betroffene Gebrauch von ihrem DSGVO Auskunftsrecht machen, muss dies erkannt und die zuständige Stelle informiert werden.
- Feststellung der notwendigen Daten: Es muss gelingen, die betroffene Person eindeutig zu identifizieren und alle zugehörigen / relevanten Daten, die verarbeitet wurden, zu ermitteln.
- Berücksichtigung der in Art. 15 DSGVO aufgezählten Informationen:
- Zusammenführung der Daten und angemessene Aufbereitung: Die Auskunft hat in präziser, transparenter, verständlicher (klare und einfache Sprache) und leicht zugänglicher Form zu erfolgen.
- Passendes Format für die Kommunikation wählen: Die Bereitstellung kann z.B. über ein PDF Dokument erfolgen. Sollte eine Person ihre Daten am Telefon erfragen, ist unbedingt an eine vorherige und angemessene Legitimierung zu denken.
- Fristgerecht reagieren: Die Beantwortung der Anfrage hat innerhalb der geltenden Frist zu erfolgen.
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Was beim Auskunftsrecht außerdem zu beachten ist
Identität des Antragstellers
Auf keinen Fall dürfen personenbezogene Daten an Unberechtigte gelangen, da sonst ein Datenschutzvorfall droht. Folglich sollte vor einer Übermittlung die Identität der anfragenden Person überprüft werden. In diesem Zusammenhang ist zu berücksichtigen, dass Betroffene gemäß DSGVO dazu berechtigt sind, einen Stellvertreter zu bevollmächtigen.
Durchführung der eigentlichen Überprüfung
Die Ermittlung der personenbezogenen Daten, die den Antragsteller betreffen, erfolgt am besten in zwei Stufen.
Stufe 1: Prüfung, ob eine Verarbeitung vorliegt
Es besteht die Möglichkeit, dass keine personenbezogenen Daten vom Antragsteller verarbeitet werden. Sofern dies zutrifft, wird die Person per Negativauskunft informiert.
Stufe 2: Ermittlung der Daten
Ist die Person betroffen, werden die Daten wie zuvor erläutert (gemäß Art. 15 DSGVO) zusammengetragen.
Datenübermittlung in Drittländer
Sofern Daten mit Personenbezug in Drittländer übermittelt werden, ist der Antragsteller über die getroffenen geeigneten Garantien (z.B. Standardvertragsklauseln) zu informieren.
Kosten der Bearbeitung
Wird das Auskunftsrecht in Anspruch genommen, entstehen auf Unternehmensseite Aufwände. Es ist nicht gestattet, diese Aufwände in Rechnung zu stellen. Die Unterstützung der Betroffenen hat kostenfrei zu erfolgen.
Betroffenenrechte: Der Teufel steckt im Detail
Ob Auskunftsrecht oder Löschgesuch, die Umsetzung in der Praxis hat ihre Tücken und stellt jedes Unternehmen vor eigene Herausforderungen. So kann z.B. die Notwendigkeit bestehen, bisherigen Schriftverkehr oder interne Vermerke zu berücksichtigen. Ein ebenfalls wichtiges Thema ist die Berücksichtigung des Datenaustausches mit Dritten, wie z.B. Partnerunternehmen.
Eine maßgeschneiderten Lösung, welche die Situation des Unternehmens im Detail berücksichtigt, ist unabdingbar. Hierbei helfen wir Ihnen gerne weiter – nehmen Sie jetzt Kontakt auf und nutzen Sie unsere kostenlose Erstberatung.