Auskunftsrecht nach Art. 15 DSGVO: So erteilst Du die richtige Auskunft!

Das Auskunftsrecht des Art. 15 DSGVO ist eines der wichtigsten Betroffenenrechte und legt den Grundstein für weitere Rechte der betroffenen Personen, wie z.B. Berichtigungs- und Löschansprüche. Im Rahmen des Art. 15 Abs. 1 DSGVO hat jede betroffene Person das Recht, von dem Verantwortlichen zu erfahren, ob dieser sie betreffende personenbezogene Daten verarbeitet. Falls dies der Fall ist, hat sie ein Recht auf Auskunft über diese personenbezogenen Daten. 

Die Beantwortung von Auskunftsverlangen kann für Unternehmen in der Praxis zahlreiche Herausforderungen mit sich bringen und im Falle von Beschwerden auch zu Geldbußen seitens der Aufsichtsbehörden führen. Daher möchten wir im Folgenden einen Leitfaden geben, damit dir eine erfolgreiche Auskunftserteilung gelingt.

Du hast konkrete Fragen zur Auskunftserteilung oder suchst einen kompetenten Ansprechpartner im Datenschutz? Durch unser breit aufgestelltes Team mit umfassender Fachkompetenz in der Datenschutzberatung und Informationssicherheitsberatung unterstützen wir Dich und Dein Unternehmen bei allen offenen Fragen. Vereinbare jetzt ein unverbindliches Erstgespräch mit unseren Experten.

Bevor eine Auskunft erteilt wird, muss sichergestellt werden, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Wenn begründete Zweifel an der Identität der anfragenden Person bestehen, kann der Verantwortliche gem. Art. 12 Abs. 6 DSGVO zusätzliche Informationen anfordern, die die Identität der Person bestätigen. Hierbei sollten nur diejenigen Informationen abgefragt werden, über die die betroffene Person ausschließlich verfügt (z.B. Kundennummer). Grundsätzlich gilt, je sensibler die zu beauskunftenden Daten, desto höher die Anforderungen an die Identitätsprüfung.

Die Auskunft muss gem. Art. 12 Abs. 3 S. 1 DSGVO unverzüglich, spätestens aber innerhalb eines Monats nach der Anfrage erfolgen. Die Monatsfrist kann nur in begründeten Ausnahmefällen verlängert werden. Dies ist beispielsweise der Fall, wenn die Auskunft aufgrund der Komplexität und der Anzahl der Anträge zeitlich nicht rechtzeitig erfolgen kann. Dann kann die Frist um zwei Monate auf insgesamt drei Monate verlängert werden. Die betroffene Person muss hierüber aber informiert werden (Art. 12 Abs. 3 S. 3 DSGVO). Die Frist läuft ab dem Zeitpunkt des Eingangs des Auskunftsersuchens.

Die Auskunft kann schriftlich, elektronisch oder auf Wunsch der betroffenen Person auch mündlich erteilt werden (Art. 12 Abs. 1 S. 2, 3 DSGVO). Sie muss in klarer und einfacherer Sprache und in transparenter, präziser, verständlicher und leicht zugänglicher Form erfolgen. 

Bei der Datenauskunft hat der Verantwortliche der betroffenen Person laut BfDI insbesondere folgende Informationen mitzuteilen:

• Verarbeitungszwecke,

• Kategorien besonderer personenbezogener Daten, die verarbeitet werden,

• Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,

• geplante Speicherdauer falls möglich, andernfalls Kriterien für die Festlegung der Speicherdauer,

• Betroffenenrechte (Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung),

• Widerspruchsrecht gegen die Verarbeitung gem. Art. 21 DSGVO,

• Beschwerderecht der betroffene Person bei der Aufsichtsbehörde,

• Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und

• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite  und die angestrebten Auswirkungen solcher Verfahren

  
  

Solltest Du personenbezogene Daten pseudonymisiert (z.B. Vergabe einer Kennung) haben, musst Du auch diese Informationen herausgeben. Der Auskunftsanspruch umfasst auch Informationen, die analog oder in elektronischen Akten gespeichert sind. Selbst Kommentare zu Angaben der betroffenen Person können personenbezogene Daten darstellen (z.B. Bewertung der Person).

Wenn du über keine personenbezogenen Daten über die antragstellende Person verfügst (z.B. gelöscht oder anonymisiert), bist du verpflichtet, in einer sog. Negativauskunft mitzuteilen, dass Du keine personenbezogenen Daten verarbeitest.

Wenn eine beträchtliche Menge an Informationen über die betroffene Person gespeichert ist, kann der Verantwortliche verlangen, dass spezifiziert wird, auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftsersuchen genau bezieht (Erwgr. 63 Satz 7). 

Bei offenkundig unbegründeten oder exzessiven Anträgen kann der Verantwortliche die Auskunft ablehnen oder von der betroffenen Person ein angemessenes Entgelt fordern (Art. 12 Abs. 5 S. 2 DSGVO).

Die Auskunftserteilung darf gem. Art. 15 Abs. 4 DSGVO Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Dazu zählen beispielsweise Geschäftsgeheimnisse und Rechte des geistigen Eigentums, insb. das Urheberrecht an Software (Erwgr. 63 Satz 5).

Dies darf im Ergebnis aber nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird (Erwgr. 63 Satz 6).

Die Auskunft an die betroffene Person erfolgt durch den Verantwortlichen durch eine Datenkopie. Die erste Kopie muss unentgeltlich erfolgen (Art. 12 Abs. 5 S. 1 DSGVO). Für weitere Kopien kann der Verantwortliche aber ein angemessenes Entgelt fordern.

Bei unterlassener oder nicht vollständiger Erteilung der Auskunft an die betroffene Person kann eine Geldbuße durch die Aufsichtsbehörde gem. Art. 83 Abs. 5 lit. b DSGVO oder Schadensersatzansprüche seitens der betroffenen Person drohen. Es ist daher ratsam, dass Unternehmen organisatorische Vorkehrungen treffen, wie sie mit Auskunftsersuchen ordnungsgemäß umgehen.

1. Benenne zuständige MItarbeiter, die für die Bearbeitung von Betroffenenanfragen zuständig sind und definiere deren Aufgaben und Befugnisse

2. Richte eine Kontaktadresse für Betroffenenanfragen ein (z.B. E-Mail oder Online-Formular) auf die nur die zuständigen Mitarbeiter Zugriff haben

3. Implementiere einen internen Prozess zum Umgang mit Betroffenenanfragen in Absprache mit dem Datenschutzbeauftragten

4. Stelle sicher, dass etwaige Auftragsverarbeiter Anfragen an dich weiterleiten und dich ggf. unterstützen

5. Schule und sensibilisiere die Mitarbeiter, dass Betroffenenanfragen als solche erkannt, an die zuständigen Personen weitergeleitet und unverzüglich bearbeitet werden

Schritt 2: Auskunftserteilung

1. Validierung der Identität: Stelle sicher, dass die Anfrage von der betroffenen Person stammt, indem Du geeignete Identitätsnachweise anforderst

2. Fristen beachten: Reagiere innerhalb der gesetzlichen Frist von einem Monat auf das Auskunftsersuchen

3. Datenquellen ermitteln: Identifiziere alle relevanten Datenquellen

4. Datenbereinigung: Überprüfe die gesammelten Daten auf Unrichtigkeiten oder nicht relevante Informationen und bereinige diese gegebenenfalls (z.B. schwärzen)

5. Zusammenstellung der Informationen: Stelle alle angeforderten Daten in einem strukturierten Format zusammen, das für die betroffene Person verständlich ist

6. Kommunikation: Sende die zusammengestellten Informationen sicher an die betroffene Person und biete ihr bei Bedarf zusätzliche Erklärungen oder Unterstützung an.

7. Dokumentation: Dokumentiere den Prozess der Bearbeitung des Auskunftsersuchens sowie die bereitgestellten Informationen für spätere Überprüfungen durch Aufsichtsbehörden

Für die verschiedenen Arten der Auskunftserteilung (Anforderungen weiterer Informationen, Erteilung, Ablehnung, Negativauskunft) bieten sich Templates an, die die Bearbeitung von Anfragen vereinheitlichen und damit erleichtern.

Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Dich tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Dich ganzheitlich bei den Themen Datenschutz, IT-Recht und Cybersicherheit. Komm jederzeit für ein unverbindliches Erstgespräch auf uns zu.