Auskunftsrechte nach Art. 15 DSGVO: Was steht Betroffenen zu?

Zu den zentralen Rechten von Betroffenen nach der Datenschutz-Grundverordnung (DSGVO) gehört das Auskunftsrecht. Das Auskunftsrecht soll für Transparenz sorgen und die Persönlichkeitsrechte der Betroffenen schützen. Daher kann jede Person von einem Verantwortlichen (z. B. einem Unternehmen) ohne formellen Antrag und ohne Angabe von Gründen Informationen über ihre gespeicherten persönlichen Daten anfordern.

Unternehmen, die Daten von Kunden, Mitarbeitern und anderen Personen erheben, müssen sicherstellen, dass Datenschutzvorgaben tatsächlich eingehalten werden. Das stellt Unternehmen bei der Umsetzung vor einige Herausforderungen, insbesondere wenn es um die Gewährleistung des Auskunftsrechtes nach der DSGVO geht. Wir zeigen, welche Rechte Betroffene haben und wie Unternehmen effektiv und vor allem rechtssicher das Auskunftsrechte umsetzen können.

Bitte beachten Sie, dass es mittlerweile viele Einzefallentscheidungen gibt, die in diesem Artikel nicht behandelt werden. Lassen Sie sich bei Unklarheiten jederzeit individuell beraten.

Sie benötigen Unterstützung bei der Umsetzung des Datenschutzes in Ihrem Unternehmen? Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Sie tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Sie ganzheitlich bei den Themen Datenschutz, IT-Recht und Cybersicherheit. Kommen Sie jederzeit für ein unverbindliches Erstgespräch auf uns zu.

• Betroffene Personen haben das Recht, von den verantwortlichen Stellen (meist Unternehmen) Auskunft darüber zu erhalten, welche personenbezogenen Daten verarbeitet und gespeichert werden.
• Ab Antragstellung haben die Verantwortlichen einen Monat Zeit, um auf diese Auskunftsersuchen zu reagieren und die nötigen Informationen bereitzustellen.
• Auch bei der Auskunft muss der Datenschutz gewahrt werden: Die Daten dürfen nur den Betroffenen selbst im Rahmen der DSGVO zur Verfügung gestellt werden. Sonst droht eine Datenpanne. 
• In einigen Fällen kann die Auskunft verweigert werden, etwa dann, wenn damit in die Rechte anderer eingegriffen wird. 

Betroffene Personen haben nach Art. 15 Abs. 1 DSGVO das Recht, von den Verantwortlichen zu erfahren, ob personenbezogene Daten von Ihnen erhoben, verarbeitet und gespeichert werden. Auch welche Daten genau gespeichert sind und deren genaue Verwendung können Betroffene erfragen. Darüber hinaus steht ihnen dann das Recht zu, der Verarbeitung zu widersprechen und die Löschung zu fordern.

Das Auskunftsrecht lässt sich wie folgt in zwei Stufen unterteilen: 

1. Negativauskunft: Bei der Negativauskunft liegen keine personenbezogenen Daten der Betroffenen vor. Auf Nachfrage müssen Verantwortliche dies den betroffenen Personen mitteilen.
2. Positivauskunft: Liegen hingegen Verarbeitungen personenbezogener Daten vor, so muss den Antragstellern dies bestätigt werden.

Damit jedoch nicht genug, denn über eine Positivauskunft hinaus haben Antragsteller weitere Rechte bzw. Verantwortliche weitere Pflichten darüber, was eine solche Positivauskunft enthalten muss und welche Informationen Betroffenen zustehen:

• Herkunft der Daten (wenn diese von Dritten stammen)
• Geplante Speicherdauer
• Zweck der Datenverarbeitung
• Kategorien von Empfängern oder konkrete Empfänger, die die Daten erhalten haben oder erhalten sollen 
• Kategorien der personenbezogenen Daten, die verarbeitet werden
• Beschwerderechte bei der zuständigen Aufsichtsbehörde
• Rechte auf Berichtigung, Einschränkung oder Löschung der Daten
• Widerspruchsrecht gegen die Verarbeitung
• ggf. getroffene Garantien (Art. 46 DSGVO) bei Übermittlung in Drittländer

Grundsätzlich sind nur die betroffenen Personen berechtigt, Auskunft über ihre personenbezogenen Daten zu verlangen. Bei einer Positivauskunft ist das immer die Person, deren Daten erhoben wurden. Im Zweifel ist es jedoch auch möglich, dass diese Person eine andere Person bevollmächtigt, in Ihrem Namen Auskunft zu verlangen.

Verantwortliche sind jedoch auch dazu verpflichtet, dafür zu sorgen, dass die Auskunft nicht der falschen Person erteilt wird und somit Daten an unberechtigte Dritte ausgehändigt werden. Hat der Verantwortliche im Rahmen der Auskunft Zweifel an der Identität der Person, so ist die Identität dieser zu überprüfen. So kann er nach Art. 12 Abs. 6 DSGVO zusätzliche Informationen zur Bestätigung der Identität nachfordern (z. B. eine Wohnanschrift bei elektronischem Auskunftsantrag). Andernfalls liegt regelmäßig eine Datenpanne im Sinne des Art. 33 DSGVO vor. 

Nicht nur bei einer fraglichen Identität des Antragstellers darf die Auskunft verweigert werden. Auch bei exzessiven oder gar unbegründeten Anträgen darf der Verantwortliche ein Auskunftsersuchen unbeantwortet lassen.

Außerdem kann, sofern große Datenmengen verarbeitet werden, darum gebeten werden, dass der Antragsteller sein Auskunftsersuchen konkretisiert (ErwGr. 63 Satz 7 DSGVO). Ein weiterer Grund für die Verweigerung der Auskunft kann darüber hinaus vorliegen, wenn die Beantwortung die Rechte oder Freiheiten anderer Personen beeinträchtigen würde (Art. 15 Abs. 4 DSGVO).

Darüber hinaus gibt es weitere Gründe, wieso die Auskunft verweigert werden darf, die sich jedoch nicht nach DSGVO, sondern nach dem deutschen Bundesdatenschutzgesetz (§ 34 BDSG) richten:

1. Es besteht ein Interesse an der Geheimhaltung.
2. Die Daten werden nicht mehr aktiv genutzt, sondern nur aufgrund gesetzlicher Vorgaben gespeichert. Eine Auskunft wäre daher unverhältnismäßig.
3. Es handelt sich um Archiv- oder Protokolldaten und eine Auskunft wäre daher unverhältnismäßig aufwändig.

Achtung: Daraus darf sich für Verantwortliche jedoch nicht schlussfolgern, dass die Auskunft einfach unbeantwortet bleibt. Sich bei Betroffenen nicht mehr zu melden, obwohl Auskunft ersucht wurde, ist pflichtwidrig. Vielmehr müssen die Ablehnungsgründe dokumentiert und die Betroffenen über diese Gründe informiert werden (§ 34 Abs. 2 BDSG).

Für Verantwortliche ist darüber hinaus wichtig, auch die Fristen zur Beantwortung der Auskünfte einzuhalten. Sobald Betroffene von ihrem Recht auf Auskunft Gebrauch machen, haben die verantwortlichen Stellen einen Monat Zeit, um diese zu beantworten und die Informationen den betroffenen Personen bereitzustellen. Im besten Fall sollte die Antwort unverzüglich erfolgen.

Ist eine Beantwortung innerhalb eines Monats nicht möglich, können die Verantwortlichen die Frist noch einmal um 2 Monate verlängern. Dazu müssen die Betroffenen jedoch auch über die Verzögerung und die dazu führenden Gründe informiert werden (innerhalb der Monatsfrist). Bei Missachtung der Frist haben Betroffene unter Umständen einen Anspruch auf Schadensersatz, denn eine Mahnung ist nicht erforderlich, um in einem solchen Fall den Verzug auszulösen.

Verantwortliche sollten daher frühzeitig damit beginnen, in ihrem Unternehmen ein System zu entwickeln, wie Auskunftsersuchen systematisch und zeitnah beantwortet werden können. So werden nicht nur Pflichtverletzungen und Schadenersatzforderungen vermieden, sondern auch das Vertrauen in das Unternehmen gestärkt.

Auch die Verarbeitung des Auskunftsersuchens fällt regelmäßig in den Bereich der DSGVO und löst verschiedene Informationspflichten aus. Nachfolgend haben wir Ihnen daher kurz zusammengefasst, worauf bei dem Auskunftsrecht zu achten ist.

Bereits bevor das erste Auskunftsersuchen eingeht, sollten Verantwortliche sich über die rechtlichen Vorgaben informieren und ein System implementieren, wie diese abgearbeitet werden können.

Im besten Fall wird dazu ein Datenschutzbeauftragter zu Rate gezogen. Zuständige Mitarbeitenden sollten bewusst ausgewählt und ausreichend geschult werden. Es bietet sich zudem an, eigene Kontaktmöglichkeiten für diese Ersuchen zu schaffen.

Bereits beim Eingehen des Auskunftsersuchens werden regelmäßig personenbezogene Daten der betroffenen Person verarbeitet. Es ist daher darauf zu achten, dass diese Verarbeitung im Rahmen der DSGVO erfolgt und die Betroffenen über die geltenden Vorschriften informiert wird. Besonders gut eignet sich daher insbesondere bei E-Mail-Verkehr eine automatisierte Eingangsbestätigung.

Es bleibt zu klären, ob es sich bei dem Antragsteller um die betroffene Person handelt (sog. Identitätsprüfung) oder ob das Ersuchen missbräuchlich ist bzw. aus anderen Gründen verweigert werden muss oder kann.

Insbesondere dann, wenn Verantwortliche als Auftragsverarbeiter tätig sind, stellt sich die Frage der Zuständigkeit. In der Regel ist nur der Auftraggeber als Verantwortlicher zu sehen und berechtigt, das Auskunftsersuchen zu beantworten. In einem solchen Fall sollte das Ersuchen an diesen weitergegeben werden.

Wichtig: Wird fälschlicherweise Auskunft erteilt, löst das unter Umständen eine Datenpanne aus, die Maßnahmen erfordert und ggf. auch Konsequenzen haben kann.

Ist der Verantwortliche zur Auskunft verpflichtet, sollte er die Informationen umfassend und schnellstmöglich bereitstellen. Dabei ist die Monatsfrist unbedingt zu beachten. Auch die Rechte Dritter sollten bei der Auskunft in keinem Fall verletzt werden.

Verantwortliche sind verpflichtet, Betroffenen unverzüglich Auskunft zu ihrem Antrag zu erteilen, spätestens jedoch innerhalb eines Monats. Gerade in größeren Betrieben mit einer Vielzahl von Betroffenen (Kunden, Mitarbeitern, Lieferanten etc.) erfordert das ein gutes System, mit dem eine solche zeitnahe und datenschutzkonforme Informationsbereitstellung gewährleistet werden kann.

Verantwortliche sollten sich daher schon frühzeitig darum kümmern, die verantwortlichen Mitarbeiter zu schulen und gemeinsam mit Datenschutzexperten eine solche Struktur zu etablieren. 

Sie haben offene Fragen zum Thema Datenschutz oder Cybersicherheit? 

Unser Team unterstützt Sie gerne umfassend in diesen Bereichen und berät Sie mit juristischer sowie technischer Fachkompetenz in Ihrem individuellen Fall. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch mit unseren Experten.