Art. 15 DSGVO Der richtige Umgang mit Auskunftsersuchen – Auskunftsanspruch nach DSGVO

Lesezeit: ca. 6 Minuten

Artikel 15 der seit Mai 2018 gültigen EU-Datenschutzgrundverordnung (DSGVO) sieht vor, dass jede betroffene Person einen Anspruch darauf hat, über die Verarbeitung ihrer personenbezogenen Daten Auskunft zu erhalten. Dies gilt sowohl für Behörden, als auch für Unternehmen.

Erfüllt der Verantwortliche die Forderung des Betroffenen nicht innerhalb der festgelegten Frist von einem Monat, kann laut Gesetz ein Bußgeld verhängt werden. Eine Verlängerung dieser Frist oder gar eine Verweigerung der Auskunft ist nur in begründeten Ausnahmefällen möglich.

Auch wenn es bisher nur zu vereinzelten und wenig abschreckenden Bußgeldstrafen kam, sind das Auskunftsrecht und die damit verbundene Verarbeitung ernst zu nehmen. Die Aufsichtsbehörden kündigten bereits an, dass bis spätestens Ende des Jahres 2018 „Geldbußen nach der DSGVO“ ausgesprochen werden sollen.

Datenverarbeitung: ja oder nein?

Geht im Unternehmen oder in der Behörde ein Auskunftsersuchen ein, ist zuerst zu prüfen, ob überhaupt eine Verarbeitung personenbezogener Daten der betroffenen Person vorliegt.

Dies setzt eine gründliche Vorarbeit voraus, denn der Verantwortliche muss in jedem Fall in der Lage sein, die Verarbeitung personenbezogener Daten zu überblicken und auch offenzulegen, wenn dies gefordert wird.

Negativauskunft, wenn keine Daten vorhanden

Sollten keinerlei Daten zu gegebener Person gespeichert sein, ist auch dies dem Betroffenen mitzuteilen, was sich aus dem ersten Absatz von Art. 15 DSGVO ergibt. Bei einer solchen Negativauskunft ist Vorsicht geboten, denn die Anfrage selbst, enthält bereits personenbezogene Daten, wie etwa den Namen des Betroffenen und dessen Anschrift bzw. E-Mailadresse. Somit muss in diesem Zusammenhang den Informationspflichten nach Art. 13 DSGVO nachgekommen werden.

Ein Verweis auf die Datenschutzerklärung als Anhang in Papierform oder in Form eines Links ist unbedingt notwendig. Unter anderem muss der Betroffene darüber informiert werden, wie lange das Auskunftsersuchen und dessen Beantwortung speichert.

Auch wenn die Bearbeitung des Antrags nach der Beantwortung grundsätzlich abgeschlossen ist, empfiehlt es sich, die Daten für eine gewisse Zeit aufzubewahren. Nur so kann das Unternehmen oder die Behörde belegen, dass es die Datenschutzgesetze erfüllt und sich im Fall einer Auseinandersetzung mit der Aufsichtsbehörde verteidigen.

Eine unbefristete Speicherung ist jedoch nicht zulässig. Als Richtwert lässt sich die Verjährungsfrist von drei Jahren verwenden. Nach Ablauf der Verjährung kann gegen ein Unternehmen kein Bußgeld mehr aufgrund von Nicht- oder Falscherteilung einer Auskunft verhängt machen.

Die Frist von drei Jahren ergibt sich aus § 31 Abs. 2 Nr. 1 Ordnungswidrigkeitengesetz (OWiG), unter Verweis auf § 41 Abs. 1 Bundesdatenschutzgesetz (BDSG), wiederum mit Verweis auf Art. 83 Absatz 5 Buchst. b DSGVO. Für Schadensersatzansprüche des Betroffenen nach Art. 82 DSGVO gelten die dreijährigen Verjährungsfristen nach BGB, da die DSGVO selbst keine ausdrückliche Verjährungsregelung enthält.

Im Fall einer Negativauskunft sollte der Verantwortliche die Auskunftserteilung also für drei Jahre speichern und danach löschen.

Verweigerung der Auskunft

Im Normalfall muss der Verantwortliche jeder Forderung eines Betroffenen auf Auskunft über die Verarbeitung seiner personenbezogenen Daten nachgehen.

Ausnahmen finden sich nur in speziellen Situationen, beispielsweise bei exzessiven Anträgen, wenn der Betroffene ohne ersichtlichen Grund seine Anfrage mehrmals im Jahr wiederholt. Ist das der Fall, muss  der Verantwortliche dies im Streitfall beweisen können.

Weitere Ausnahmen ergeben sich aus dem BDSG, welche somit jedoch nicht EU-weit gültig sind, sondern nur in Deutschland Anwendung finden. Das Gesetz greift z.B. dann, wenn Daten ausschließlich aufgrund gesetzlicher Aufbewahrungsfristen gespeichert bleiben oder nur Archiv- und Protokollierungsdaten, wie Logfiles oder Backups, gegeben sind und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2 a und b BDSG).

Des Weiteren kann eine Auskunft verweigert werden, wenn ein Interesse an Geheimhaltung besteht (§ 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG). Die Geheimhaltung kann sich aus einer Rechtsvorschrift oder aus „überwiegend berechtigten Interesse eines Dritten“ ergeben. In erster Linie können Berufsgeheimnisträger wie Ärzte und Rechtsanwälte darauf zurückgreifen.

Weitere Ausnahmefälle bilden die Datenverarbeitung im Bereich von Forschung und Statistik (§ 27 Abs. 2 BDSG), Daten bei Archiven im öffentlichen Interesse (§ 28 Abs. 2 BDSG) und eine Datenverarbeitung durch Behörden, deren Auskunft zu einer Gefährdung führen würde (§ 34 Abs. 1 Nr. 1 und § 33 BDSG).

Liegt einer dieser Ausnahmefälle vor, muss der Verantwortliche dies begründen und dem Betroffenen die Gründe übermitteln.

Berechtigung des Anfragenden

Der Verantwortliche muss sicherstellen, dass bei einer Auskunft ausschließlich der Betroffene die Informationen erhält. Erreicht die Auskunft einen Unberechtigten, ist das eine der Aufsichtsbehörde zu meldende Datenschutzpanne (Art. 33 DSGVO).

Daher müssen interne Vorgaben zur Identitätsprüfung gegeben sein, wobei die DSGVO hierbei keine sonderlich hohen Anforderungen stellt. Eine Auskunft darf bereits erteilt werden, wenn „keine begründeten Zweifel an der Identität“ bestehen (vgl. Art. 12 Abs. 6 DSGVO).

Diese Zweifel können sich ergeben, wenn beispielsweise Abweichungen zur hinterlegten Anschrift gegeben sind oder die Anfrage von einer Fantasie-E-Mail-Adresse stammt. Dann wäre eine Identitätsprüfung notwendig.

Bei einem persönlichen Gespräch kann man sich den Ausweis zeigen lassen. Auf elektronischem Weg kann ggf. nach schon im System vorhandenen Daten, wie dem Geburtsdatum, gefragt werden.

Es kann auch die Postanschrift bestätigt werden lassen oder bei besonders sensiblen Daten um eine freiwillige Ausweiskopie gebeten werden. Bei dieser Kopie dürften alle nicht relevanten Angaben geschwärzt werden.

Eine weitere Absicherung wäre, die Auskunft immer nur an die schon vor dem Auskunftsersuchen hinterlegte Adresse zu senden.

Form der Auskunft

Nach Absatz 3 von Artikel 15 DSGVO hat der Betroffene ein Recht darauf, „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ zu erhalten.

Der Verantwortliche ist dazu verpflichtet, die Daten unverändert, so, wie sie bei ihm vorliegen, weiterzugeben. Es liegt nah, die vorhandene Akte des Betroffenen auszudrucken bzw. zu kopieren und ihm zu übergeben.

Allerdings darf, soweit die Anfrage elektronisch verlief und der Betroffene nichts anderes fordert, auch die Antwort elektronisch erfolgen. Die Daten können etwa in Form einer PDF-Datei oder eines anderen „gängigen elektronischen Formats“ zugestellt werden. Zu beachten ist, dass jeglicher Weg der Datenübermittlung angemessen geschützt sein muss.

Des Weiteren ist entscheidend, dass die Kopie vollständig ist. Einzelne Passagen dürfen nur in Sonderfällen ausgelassen oder geschwärzt werden. Dies gilt, wenn eine der bereits genannten Ausnahmen vorliegt oder wenn das Offenlegen der Daten die „Rechte und Freiheiten anderer Personen“ beeinträchtigt.

Letzteres kann ebenso der Verantwortliche selbst sein, beispielsweise im Fall von Geschäftsgeheimnissen. Auch dann muss der Verantwortliche die geforderte Auskunft jedoch erteilen und darf nur die Teile weglassen, die als sensibel gehandelt werden können.

Die DSGVO sieht außerdem vor, dass die erstmalige Auskunft kostenfrei sein muss. Für jede weitere Kopie darf ein angemessenes Verwaltungsentgelt gefordert werden.

Inhalte der Auskunft

Generell richten sich die Inhalte der Auskunft nach der Forderung des Betroffenen. Im Zweifelsfall hat er aber maximal Anspruch auf eine Liste von Datenkategorien, die in Absatz 1 von Artikel 15 DSGVO definiert ist.

In erster Linie ist zu nennen, zu welchem Zwecke die personenbezogenen Daten des Betroffenen verarbeitet werden. Zudem sind die Kategorien der Daten offenzulegen. Hier genügen Oberbegriffe, es ist nicht notwendig, jedes Datum einzeln mitzuteilen.

Empfänger oder Kategorien von Empfängern müssen benannt werden. Das gilt auch für Empfänger außerhalb der EU. Ist letzteres der Fall, ist es außerdem das Recht des Betroffenen über die Rechtsgrundlage dafür informiert zu werden.

Außerdem muss die geplante Speicherdauer oder zumindest die „Kriterien für die Festlegung dieser Dauer“ in möglichst konkreter Form mitgeteilt werden.

Des Weiteren muss ein Hinweis auf die Betroffenenrechte, beispielsweise das Recht auf Berichtigung oder Löschung, enthalten sein. Es muss auf die Möglichkeit, sich bei der Aufsichtsbehörde über eine Datenverarbeitung zu beschweren verwiesen werden, auch wenn hierbei keine konkreten Kontaktdaten aufgelistet werden sollen.

Verfügt der Verantwortliche über personenbezogene Daten, die er nicht direkt vom Betroffenen erhalten hat, muss er alle disponiblen Informationen über die Herkunft der Daten offenlegen.

Als letzter Punkt ist mitzuteilen, ob die Daten einer automatisierten Entscheidungsfindung unterliegen. Ist dies der Fall müssen in der Auskunft konkrete Informationen über die zugrundeliegende Logik, sowie die Tragweite und die beabsichtigten Auswirkungen für den Betroffenen enthalten sein.

Insgesamt sind deutliche Ähnlichkeiten mit den Inhalten der Informationspflichten nach Artikel 13 und 14 DSGVO und dem Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO zu erkennen. Folglich erscheint ein Abgleich der Angaben untereinander ratsam.

Unvollständige Auskünfte oder ignorierte Auskunftsersuchen

Unvollständige Auskünfte oder gar ignorierte Anfragen von Betroffenen werden der zweiten Bußgeldstufe zugeordnet, was bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes gemäß Artikel 83 Absatz 5 Buchstabe b DSGVO bedeutet.

Es empfiehlt sich daher das Auskunftsrecht der betroffenen Person ernst zu nehmen und im Mitarbeiterkreis deutlich zu kommunizieren, was im Fall eines Auskunftsersuchens zu tun ist.

Auskunftsansprüche können nicht nur von Kunden oder Externen gegenüber einem Unternehmen oder einer Behörde geltend gemacht werden. Auch Mitarbeiterinnen und Mitarbeiter können Auskunftsansprüche geltend machen.

Solche Auskunftsansprüche nach Art. 15 DSGVO sind ebenfalls nach den obigen Grundsätzen zu behandeln.

 
1 Star2 Stars3 Stars4 Stars5 Stars 4 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen