Wie Sie Ihr Unternehmen für das DSGVO Auskunftsrecht fit machen

09.04.2020

Bild Privacy Shield

Die DSGVO sichert Betroffenen das Recht zu, Auskunft zu ihren Daten zu erhalten. Doch viele Unternehmen sind hierauf schlecht vorbereitet. Es besteht das Risiko, Anfragen unzureichend oder verspätet zu beantworten, was teuer enden kann. Wir erläutern, was beim Auskunftsrecht zu beachten ist.

Was bedeutet das DSGVO Auskunftsrecht genau?

Das Auskunftsrecht ist in Art. 15 DSGVO geregelt: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten […]“

Für Unternehmen besteht eine Auskunftspflicht, d.h. derartige Anfragen sind zu beantworten. Diese Pflicht besteht zumindest, wenn es sich beim Betroffenen um eine natürliche Person handelt. Die Beantwortung muss innerhalb der Frist von einem Monats erfolgen. In komplexen Fällen darf die Frist bis zu zwei Monate betragen. Die betroffene Person ist dann innerhalb des ersten Monats mit Angabe von Gründen über die längere Frist zu informieren.

Was passiert, wenn Unternehmen Ihrer Auskunftspflicht nicht nachkommen?

Unternehmen sollten dieser Pflicht im vollen Umfang nachkommen. Andernfalls drohen unangenehme Konsequenzen, die keinesfalls auf die leichte Schulter zu nehmen sind. Welche Konsequenzen dies sind, hängt vom weiteren Vorgehen der betroffenen Person ab.

Sie könnte sich z.B. an die zuständige Aufsichtsbehörde wenden, die daraufhin einschreitet und mit Wahrscheinlichkeit ein Bußgeld verhängt. Es kam aber auch schon vor, dass Betroffene vor Gericht zogen und sich dort erfolgreich durchsetzten. In einem Fall wurde dem Unternehmen vom zuständigen Oberlandesgericht ein Zwangsgeld in Höhe von 15.000 Euro auferlegt.

Besonders heikel im besagtem Fall: Das Unternehmen hatte auf die Anfrage reagiert und die betroffene Person informiert. Allerdings nicht ausführlich genug, was letztlich zur Verhängung des Zwangsgeldes führte.

Hürden in der Praxis

Bewertung der Situation: In vielen Betrieben stellt weiterhin die Wahrnehmung des eigentlichen Risikos eine Hürde dar. Deren Verantwortliche sind sich nicht immer darüber im Klaren, wie bedeutsam es ist, der Auskunftspflicht nachzukommen.

Mangel an Fachwissen: Die meisten Unternehmen blieben bisher verschont, deren Kunden haben von ihrem Auskunftsrecht noch keinen Gebrauch gemacht. Als Folge wurde häufig noch nicht darüber nachgedacht, welche Informationen bereitzustellen sind und wie die Aufbereitung der Daten erfolgen soll.

Fehlende Prozesse: Selbst wenn die Notwendigkeit erkannt wurde und bekannt ist, welche Daten mitzuteilen sind, mangelt es oftmals an den notwendigen Prozessen. Im Ernstfall gelingt es nicht, die relevanten Daten zusammenzutragen und sie dem Betroffenen zeitnah mitzuteilen. Besonders für große Unternehmen führt im Regelfall kein Weg daran vorbei, derartige Prozesse möglichst vollständig zu automatisieren.

Der DSGVO Auskunftspflicht nachkommen

Nachfolgend haben wir für Sie eine Übersicht der wesentlichen Punkte, derer im Rahmen der DSGVO Auskunftspflicht nachzukommen ist, zusammengetragen.

  • Anfragen erkennen: Wenn Betroffene Gebrauch von ihrem Auskunftsrecht nach DSGVO machen, muss dies erkannt und die zuständige Stelle informiert werden.
  • Feststellung der notwendigen Daten: Es muss gelingen, die betroffene Person eindeutig zu identifizieren und alle zugehörigen / relevanten Daten, die verarbeitet wurden, zu ermitteln.
  • Berücksichtigung der in Art. 15 DSGVO aufgezählten Informationen:
  • a) die Verarbeitungszwecke;
    b) die Kategorien personenbezogener Daten, die verarbeitet werden;
    c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
    d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
    f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
    h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

  • Zusammenführung der Daten und angemessene Aufbereitung: Die Auskunft hat in präziser, transparenter, verständlicher (klare und einfache Sprache) und leicht zugänglicher Form zu erfolgen.
  • Passendes Format für die Kommunikation wählen: Die Bereitstellung kann z.B. über ein PDF Dokument erfolgen. Sollte eine Person ihre Daten am Telefon erfragen, ist unbedingt an eine vorherige und angemessene Legitimierung zu denken.
  • Fristgerecht reagieren: Die Beantwortung der Anfrage hat innerhalb der geltenden Frist zu erfolgen.

Der Teufel steckt im Detail

Die Umsetzung in der Praxis hat ihre eigenen Tücken und stellt jedes Unternehmen vor eine andere Herausforderung. So kann z.B. die Notwendigkeit bestehen, auch bisherigen Schriftverkehr oder interne Vermerke zu berücksichtigen. Ein ebenfalls wichtiges Thema ist die Berücksichtigung des Datenaustausches mit Dritten, wie z.B. Partnerunternehmen.

Eine maßgeschneiderten Lösung, welche die Situation im jeweiligen Unternehmen exakt berücksichtigt, ist deshalb unabdingbar. Hierbei helfen wir Ihnen gerne weiter – nehmen Sie jetzt Kontakt auf und nutzen Sie unsere kostenlose Erstberatung.