Das Recht auf Auskunft ist das Betroffenenrecht in der DS-GVO, das wohl die größte Aufmerksamkeit genießt. Über die Fachberichterstattung hinaus haben auch Tageszeitungen mehrfach öffentlichkeitswirksam über entsprechende Gerichtsurteile berichtet. Darüber hinaus beraten Verbraucherverbände ihre Mitglieder routiniert zu diesem Thema.
Nach den Erwägungsgründen der DS-GVO dient das Recht auf Auskunft dazu, dass Betroffene sich im Sinne des Transparenzgrundsatzes auf Anfrage genauer über Datenverarbeitungen zu ihrer Person informieren können. Sicherlich erfolgen die meisten Anfragen dazu im eigentlichen Sinne der DS-GVO. Bei Unternehmen und Organisationen, die diese Auskunft erteilen müssen, entsteht allerdings auch oft der Eindruck, dass Betroffene das Recht in einzelnen Fällen auch gezielt ausnutzen, um die verantwortliche Stelle zu gängeln.
So harmlos die Anfrage auf Auskunft-Erteilung auf den ersten Blick aussieht: Bei der Beantwortung sind einige Stolpersteine zu beachten. Wir haben die wichtigsten Fragen zur Beantwortung von Betroffenenanfragen gesammelt und Antworten gefunden:
Wo steht, innerhalb welcher Frist die Anfrage beantwortet werden muss und wie viel Zeit habe ich als veranwtortliche Stelle?
Diese Frage beantwortet Art. 12 DS-GVO. In diesem Artikel stehen die Rahmenbedingungen für die Erfüllung der einzelnen Betroffenenrechte, zu denen auch das Recht auf Auskunft gehört. Demnach muss die Anfrage unverzüglich, also „ohne schuldhaftes Zögern“,beantwortet werden, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags . Wenn eine Anfrage beispielsweise sehr komplex ist, kann sich die Frist auch um bis zu zwei Monate verlängern. In dem Fall muss die betroffene Person ebenfalls innerhalb eines Monats nach Eingang des Antrags über die Fristverlängerung informiert werden. Hierbei müssen dann auch die Gründe für die Verzögerung angegeben werden.
Wenn ich noch nie etwas von der Person gehört habe, die anfragt, dann muss ich doch auch nicht antworten, richtig?
Auf den ersten Blick sieht das tatsächlich so aus. Jedoch räumt Art. 15 DS-GVO der betroffenen Person das Recht ein, „von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden“. Das impliziert, dass die verantwortliche Stelle dem Auskunftsersuchenden auch eine sogenannte Negativauskunft erteilen muss, sofern keine Daten des Betroffenen vorliegen. Zudem ist zu bedenken, dass der Verantwortliche spätestens in dem Moment Daten der betroffenen Person verarbeitet, wenn er die Anfrage auf Auskunft bearbeitet. In letzter Konsequenz muss hier also immer eine Antwort erfolgen.
Was müssen Unternehmen und Organisationen hier nun konkret tun bzw. umsetzen?
Idealerweise haben Sie bereits vor der ersten Anfrage eines Betroffenen zum Recht auf Auskunft einen entsprechenden Prozess zur Beantwortung definiert. Dabei ist insbesondere wichtig, dass alle Mitarbeitenden mit Außenkontakt entsprechend geschult werden, so dass sie eine Anfrage, die sich auf die Erfüllung der Betroffenenrechte bezieht auch erkennen und entsprechend damit umgehen können . Wichtig ist auch, dass innerhalb des Unternehmens geklärt ist, was grundsätzlich als personenbezogene Daten definiert ist. Weiterhin sind unter anderem folgende Punkte für den Beantwortungsprozess wichtig:
- Damit die sorgsam zusammengestellte Sammlung von Daten zur Entsprechung des Rechts auf Auskunft auch an die richtige Stelle gelangt, ist an erster Stelle eine Identitätsprüfung wichtig. Es muss ausreichend sichergestellt sein, dass die anfragende Person und die betroffene Person übereinstimmen. Gelangen – insbesondere sensible – Informationen an die falsche Stelle, weil keine Identitätsprüfung vor dem Versenden der Antwort erfolgte, ist der nächste zu bearbeitende Sachverhalt möglicherweise die Meldung eines Datenschutzvorfalls bei der Aufsichtsbehörde.
- Damit die Anfrage nicht ziel- und ergebnislos von einer Abteilung in die nächste gereicht wird, bis die Frist überschritten ist, empfiehlt sich die Definition der Zuständigkeit für entsprechende Anfragen. Diese Aufgabe kann z.B. ein Datenschutzkoordinator übernehmen, der auch die Einhaltung der Frist überwacht.
- Da personenbezogene Daten nicht zwingend sortiert nach einzelnen Betroffenen auftreten, sondern, z.B. bei einem Besprechungsprotokoll oder einem Gruppenbild, auch Daten mehrerer Betroffener zugleich enthalten können, muss sichergestellt sein, dass die Daten von Dritten vor dem Versand an den Anfragenden z.B. durch Schwärzenausreichend anonymisiert werden.
Auf welchem Weg muss die Antwort erfolgen?
Die DS-GVO stellt hier keine direkte Formerfordernis. Allerdings steht in Art. 15 DS-GVO:
„Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.“
Sollten Sie also eine Anfrage nach Auskunft z.B. per E-Mail oder über ein Kontaktformular auf Ihrer Webseite erhalten, so sollten Sie auch auf einem ähnlichen Weg antworten, sofern kein konkreter anderer Wunsch angegeben ist oder Sie nicht sehr gute Gründe dafür haben, anders zu antworten. Beachten sollten Sie darüber hinaus, dass Sie im Zweifel nachweisen können müssen, dass und wie Sie die Anfrage beantwortet haben.
Was muss die Antwort an den Betroffenen enthalten?
- Die Zwecke, zu denen die Daten in Verwendung sind
- Welche Kategorien personenbezogener Daten verarbeitet werden
- Die Empfänger oder zumindest Kategorien von Empfängern, die diese Daten bisher erhalten haben oder künftig erhalten werden
- Falls möglich die geplante Speicherdauer, ansonsten die Kriterien für die Festlegung der Speicherdauer
- Das Bestehen der Betroffenenrechte, insbesondere auf Berichtigung, Löschung oder Einschränkung der Verarbeitung und das Bestehen eines Widerspruchsrecht gegen diese Verarbeitung, wenn sie aufgrund eines berechtigten Interesses erfolgt
- Dass ein Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde besteht
- Informationen zur Herkunft der Daten, wenn diese nicht bei der betroffenen Person selbst erhoben wurden
- Zudem – wenn zutreffend – das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit Informationen zur involvierten Logik und zur Tragweite und der Auswirkungen.
- Bei der Übermittlung in Drittländer hat die anfragende betroffene Person außerdem das Recht auf Informationen zu den getroffenen geeigneten Garantien gemäß Art. 46 DSGVO.
In welchen Fällen darf ein Unternehmen oder eine Organisation die Auskunft verweigern?
In Ausnahmefällen können Sie die Auskunft bei einer Anfrage verweigern. Dies bedeutet jedoch nicht, dass Sie das Auskunftsersuchen ohne weiteres in ihrem Aktenvernichter entsorgen können. Sie sollten in aller Regel gut begründen, warum Sie die Auskunft nicht erteilen, sofern Sie damit nicht offensichtlich andere Rechte verletzen. Dies kann z.B. der Fall sein, wenn Sie als Berufsgeheimnisträger an Daten über Dritte gelangt sind, die nun Auskunft begehren. Um ihr Berufsgeheimnis nicht zu verletzen dürfen Sie hier auf keinen Fall Auskunft erteilen und in der Regel auch nicht mitteilen, dass Sie zwar im Besitz von Daten sind, allerdings keine Auskunft dazu erteilen dürfen.
Verweigern können Sie die Auskunft darüber hinaus z.B. bei einem offensichtlich unbegründeten Auskunftsersuchen. Dies gilt auch, wenn eine betroffene Person sehr exzessiv vom Recht auf Auskunft Gebrauch macht.
Fazit
Die korrekte Beantwortung eines Auskunftsersuchens ist eine kleine Wissenschaft für sich, die einige Tücken hat. Grundsätzlich empfehlen wir, das Ersuchen auf Auskunft sehr ernst zu nehmen. Ansonsten kann ein hohes Bußgeld drohen. Da Kontrahenten immer häufiger auch in Rechtsstreitigkeiten zu diesem Mittel greifen, um ‚offene Flanken‘ zu suchen, kann Sie eine ausbleibende, zu späte oder nachweislich falsche Antwort teuer zu stehen kommen. Außerdem kann bei Fristversäumnis neben einer Geldbuße ein Schadensersatz gegenüber dem Betroffenen fällig werden.
Sie haben weitere Fragen zum Prozess der Auskunftserteilung bzw. zum Umgang mit Betroffenenrechten? Wir freuen uns auf Ihre Nachricht, um gemeinsam mit Ihnen Datenschutz besser zu machen!
Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder.
Hilfreiche Links:
- Kurzpapier Nr. 6 der DSK über das Auskunftsrecht der betroffenen Person nach Art. 15 DS-GVO
- Dejure: Übersicht über Gerichtsurteile zur Umsetzung des Rechts auf Auskunft
Autor: Mareike Fischer, 01.10.2021