Auskunftsersuchen und Auskunftsrecht

Mit der Datenschutzgrundverordnung haben wir ein umfassendes Regelwerk, das Schutz bietet, aber für Unternehmen auch einiges an Pflichten und Aufgaben mitbringt. Dazu gehört das Recht auf Auskunft, welches jede betroffene Person hat, von der personenbezogene Daten verarbeitet werden.

Dieses Auskunftsrecht der Betroffenen regelt die DSGVO – und was dort steht, sollten Sie wissen. Lesen Sie mehr über den Auskunftsanspruch von Kunden und Mitarbeitenden, was Sie selbst tun müssen und welche Folgen es haben kann, wenn Sie Ihrer Pflicht zur Auskunftserteilung nicht oder nur unvollständig nachkommen.

Wir schauen uns die rechtlichen Grundlagen einmal näher an, beleuchten die Voraussetzungen, unter denen betroffene Personen Auskunft verlangen können, und stellen am Schluss eine Checkliste der wichtigsten Schritte zusammen, die Ihnen durch den bürokratischen Dschungel der Datenschutzgrundverordnung und ihrer Pflichten helfen.

Inhalt

Definition Auskunftsrecht – ein Überblick

Auskunftsersuchen und Auskunftsrecht – was bedeutet das?

Die Rechtsgrundlagen

Was genau steht drin im Artikel 15 DSGVO?

Auskunftsersuchen in der Praxis: Wer ist berechtigt, ein Auskunftsersuchen zu stellen?

Wen betrifft die Auskunftspflicht?

Auskunftsersuchen: Ihre Rechten und Pflichten als Arbeitgeber oder Unternehmer

Auskunftsrecht im Unternehmen: Was tun, wenn eine Anfrage reinkommt?

Auskunftsersuchen und Fristen: Folgen von Verstößen

Form des Auskunftsersuchens: Wie sieht eine Anfrage aus

Sie müssen Auskunft geben? FK-Datenschutz hilft!

FAQ Auskunftsersuchen

Definition Auskunftsrecht – ein Überblick

Als Datenschutzverantwortlicher eines Unternehmens werden Sie früher oder später mit dem Auskunftsrecht konfrontiert, spätestens dann, wenn eine Auskunftsanfrage in Ihrem Betrieb eintrudelt. Eines der Betroffenenrechte der DSGVO, die es zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gibt, ist das Auskunftsrecht. Die Betroffenenrechte geben Personen ein Instrument an die Hand, um sich gegen falsche oder unvollständige Daten zu wehren und ganz grundlegend Auskunft darüber zu bekommen, wie beispielsweise in Unternehmen ihre Daten verwendet werden.

Ziel der rechtlichen Vorgaben ist es, dass betroffene Personen ihre Rechte wahren können – dazu brauchen sie Kontrolle über ihre personenbezogenen Daten. Beispielsweise, indem sie erfahren, was genau ein Unternehmen zu ihrer Person erfasst und wie diese Daten verarbeitet werden.

Auskunftsersuchen und Auskunftsrecht – was bedeutet das?

Die Rechtsgrundlagen

Die DSGVO regelt seit 2018 den einheitlichen Datenschutz in allen Mitgliedsstaaten der EU. Der technische Fortschritt bringt es mit sich, dass bei praktisch jedem Vorgang eine Flut von Daten anfällt, oft sind dies personenbezogene Daten. Wer im Onlineshop etwas bestellt, an der Tankstelle zahlt, als Arbeitnehmer angestellt ist, sich vom Handwerksbetrieb ein Angebot schicken lässt: An jeder dieser Stellen werden relevante Daten verarbeitet und/oder gespeichert. Damit natürliche Personen nachvollziehen können, was mit ihren Daten geschieht, gibt es das Auskunftsrecht, basierend auf den Vorschriften der DSGVO.

Seit Inkrafttreten der DSGVO gibt es in Deutschland und europaweit die Möglichkeit, als betroffene Person Auskunft zu verlangen, welche Daten wie verarbeitet werden. Das Auskunftsrecht ist im Artikel 15 der DSGVO geregelt. Dieser Artikel bildet die Grundlage für weitere Betroffenenrechte, etwa das Recht auf Berichtigung oder Löschung von Daten oder das Widerspruchsrecht.

AdobeStock_427007129-min

Was genau steht drin im Artikel 15 DSGVO?

Der Artikel spricht jeder Einzelperson das Recht zu, ein Auskunftsersuchen zu stellen, also konkret bei einem Unternehmen zu erfragen, ob und welche personenbezogenen Daten der betroffenen Person ein Unternehmen speichert und wie es diese verwendet.

Das Recht auf Bestätigung legt dies fest. Sofern personenbezogene Daten verarbeitet werden, folgt daraus das Recht auf Erhalt einer Kopie mit den verarbeiteten Daten.

Außerdem müssen Datenschutzverantwortliche des Unternehmens Auskunft darüber erteilen, zu welchem Zweck der Verarbeitung Daten genutzt wurden, wer diese Daten bekommen hat und wie lange die Aufbewahrungsfrist läuft.

Eine Einschränkung enthält der Artikel allerdings: Die Rechte und Freiheiten anderer Personen dürfen durch den Erhalt einer Kopie zu den eigenen Daten nicht beeinträchtigt werden.

Artikel 12 DSGVO

Im Artikel 12 finden sich Regelungen für den Fall, dass eine betroffene Person ihr Auskunftsrecht einfordert. In diesem Fall, so heißt es im zweiten Absatz, muss der Datenschutzverantwortliche dem Auskunftsersuchen nachkommen, dazu läuft eine Frist. Diese lässt sich, je nach Komplexität des Auskunftsersuchens, im Einzelfall verlängern, das regelt der dritte Absatz des Artikels 12.

Artikel 4 DSGVO

Auch der Artikel 4 enthält relevante Informationen zum Auskunftsrecht. Hier finden sich zunächst die grundlegenden Regelungen dazu, was überhaupt personenbezogene Daten sind.

AdobeStock_195650110-min

Auskunftsersuchen in der Praxis

Wer ist berechtigt, ein Auskunftsersuchen zu stellen?

Eine Auskunft über Daten verlangen kann nur die betroffene Person selbst. Dritte können insofern Auskunft verlangen, wenn sie im Namen einer betroffenen Person handeln und eine Bevollmächtigung haben. Außerdem darf eine betroffene Person gemeinnützige Einrichtungen, Vereinigungen oder Organisationen beauftragen, für sie die Auskunft einzuholen, dies regelt der Artikel 80 DSGVO.

Gibt es Ausnahmen bei der Auskunftspflicht?

Behörden und Unternehmen sind verpflichtet, dem Ersuchen um Auskunft nachzukommen.
In Deutschland gibt es Ausnahmen zur Auskunftspflicht. Beispielsweise dann, wenn eine Auskunft unverhältnismäßig aufwändig wäre und nur noch wegen der gesetzlichen Aufbewahrungsvorschriften gespeichert ist: So legt es § 34 Abs. 1 Nr. 2a BDSG fest.

Auch Protokollierungs- und Archivdaten, etwa Backups, können unter das Argument des unverhältnismäßigen Aufwandes fallen. Außerdem können Ausnahmen möglich sein, wenn gemäß § 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG ein Interesse an Geheimhaltung besteht.

Auskunftsersuchen: Ihre Rechte und Pflichten als Arbeitgeber oder Unternehmer

Wird ein Auskunftsersuchen gestellt, müssen Unternehmen und auch Arbeitgeber handeln. Die betroffene Person hat Anspruch auf unentgeltlichen Zugang einer Kopie ihrer Daten. Damit sind nicht nur Stammdaten gemeint, sondern auch Informationen zu weiteren Aspekten:

  • Zweck der Verarbeitung aller Daten
  • Kategorisierung dieser Daten
  • Hinweis auf Herkunft der Daten, falls sie nicht bei der betroffenen Person erhoben wurden
  • Empfänger, an die die Daten gegeben werden, besonders an internationale Organisationen oder an Empfänger in Drittländern, hier ist Artikel 46 DSGVO zu beachten
  • Speicherdauer
  • Hinweis auf das Recht, die Löschung oder eingeschränkte Verarbeitung zu verlangen
  • Beschwerderecht bei der Aufsichtsbehörde
  • sofern vorhanden, Information über eine automatisierte Verarbeitung

Auskunftsrecht im Unternehmen: Was tun, wenn eine Anfrage reinkommt?

Obwohl die Gesetze zum Recht auf Auskunft nicht ganz neu sind, haben viele Unternehmen noch keinen Verantwortlichen benannt. Das sollten Sie zügig ändern, denn das Aufgabengebiet ist recht komplex und sollte mit passenden Schulungen für interne Verantwortliche vorbereitet werden. Folgende Aspekte sollten geklärt sein, bevor das erste Auskunftsersuchen im Postfach liegt:

  • Schulen und sensibilisieren Sie Verantwortliche für den Datenschutz im Allgemeinen und das Thema Auskunftserteilung im Besonderen;
  • Etablieren Sie funktionierende Abläufe, sofern der Datenschutz und die Datenverarbeitung bei Ihnen intern bearbeitet werden;
  • Legen Sie Meldewege und Zuständigkeit fest;
  • Definieren Sie Verantwortliche für die rechtliche Bewertung einer Anfrage nach dem Auskunftsrecht.

Zu all diesen Punkten können wir Sie umfassend beraten und Sie unterstützen, damit Sie Prozesse zum Umgang mit personenbezogenen Daten und dem Auskunftsrecht entwickeln können.

Wollen Sie die rechtlichen Fallstricke vermeiden oder haben keine Kapazität dafür zur Verfügung, vergeben Sie die Bearbeitung von Anfragen des Auskunftsrechts lieber extern.

Auskunftsersuchen nach Art. 15 DSGVO rechtskonform beantworten

Im Folgenden erfahren Sie, wie Sie in der Praxis vorgehen müssen, wenn eine Anfrage zur Auskunftserteilung hereinkommt.

1. Prüfen Sie, ob Sie überhaupt Daten der betroffenen Person verarbeiten. Wenn nicht, sind Sie zur Auskunft darüber mittels einer Negativauskunft verpflichtet – auch hier gilt die Monatsfrist!

2. Überprüfen Sie die Berechtigung der betroffenen Person, Auskunft zu verlangen.

3. Schätzen Sie ein, ob eine der Ausnahmeregelungen greift, die Sie dazu berechtigen, die Auskunft zu verweigern, vgl. DSGVO Artikel 12 Abs.5 und weitere.

4. Stellen Sie die Inhalte zusammen, die für die Auskunftserteilung nötig sind. Meist decken sich diese Angaben mit denen, die im Artikel 13 f. DSGVO und dem Verzeichnis der Verarbeitungstätigkeiten im Artikel 30 DSGVO genannt sind.

5. Bringen Sie die Auskunft in die geeignete Form. Nicht beantwortete Auskunftsersuchen oder unvollständige oder verspätete Antworten ziehen im schlimmsten Fall hohe Geldbußen nach sich.

AdobeStock_797106878-min

Auskunftsersuchen und Fristen: Folgen von Verstößen

Das komplexe Thema Auskunftsrecht ist verständlicherweise etwas, das gerade kleinere Unternehmen gerne ausblenden würden. Doch wer seinen Pflichten zur Auskunft nicht oder zu spät nachkommt, muss unter Umständen tief in die Tasche greifen.

Der Bußgeldkatalog zum Auskunftsrecht legt fest, dass Unternehmen bis zu 20 Millionen € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr zahlen müssen.

Betrachtet man diese Zahlen, lohnt es sich, die Organisation zum Thema rechtzeitig anzugehen. Ein externer Datenschutzbeauftragter kann auch die Auskunftserteilung für Ihren Betrieb übernehmen. Benennen Sie auf jeden Fall Verantwortliche, sei es extern oder intern, die für das Recht auf Auskunft zuständig sind. Denn wenn Personen von ihrem Auskunftsrecht Gebrauch machen und Ihnen eine Anfrage ins Haus flattert, dann läuft die Zeit. Die betroffene Person hat einen Anspruch darauf, dass das Auskunftsersuchen unverzüglich, spätestens nach einem Monat beantwortet wird. Bei komplexeren Auskünften lässt sich diese Frist im Ausnahmefall auf bis zu drei Monate verlängern – darüber muss aber die betroffene Person binnen Monatsfrist informiert werden.

Form des Auskunftsersuchens: Wie sieht eine Anfrage aus

Ein Auskunftsersuchen ist nicht immer ein formelles Schreiben. Auch per E-Mail oder mündlich kann eine Anfrage hereinkommen. Wichtig ist, dass Sie Ihre Verpflichtung auch bei solch eher formlosen Anfragen erkennen: Auch dann sollten Sie, um sich auf rechtssicherem Boden zu bewegen, den üblichen Ablauf zur Beantwortung des Auskunftsersuchens einhalten und die Auskunft immer schriftlich erteilen.

Die Vorgaben an ein Auskunftsersuchen sind bewusst gering gehalten. Eine betroffene Person kann ihre Auskunft schriftlich anfordern, muss das aber nicht. Auch auf telefonischem, elektronischem und persönlichem Weg ist die Anfrage gültig. Verantwortliche für Datenschutz im Unternehmen sind dafür zuständig, dass das Auskunftsersuchen seinen Weg an die richtige Stelle findet.

Inhaltlich stellt das Auskunftsersuchen ebenfalls keine formellen Ansprüche: So muss die Rechtsgrundlage etwa nicht explizit genannt werden. Es muss nur klar sein, dass die Person Auskunft erhalten möchte darüber, ob und welche Informationen über sie verarbeitet werden. Begründet werden muss das Auskunftsrecht nicht.

Sollte das Auskunftsersuchen großen Aufwand nach sich ziehen, zum Beispiel, weil es um große Datenmengen geht, vielleicht auch mit wenig Relevanz, dann können Verantwortliche in Ausnahmefällen verlangen, dass das Auskunftsersuchen präziser formuliert wird.

AdobeStock_241361996-min

Sie müssen Auskunft geben? FK-Datenschutz hilft!

Der Umgang mit personenbezogenen Daten ist generell ein komplexes und oft zeitfressendes Thema. Holen Sie sich dabei professionelle Unterstützung. Als externe Datenschutzbeauftragte sind wir von FK-Datenschutz auch beim Thema Auskunftsrecht voll im Bilde. Wir unterstützen Sie dabei, alle Gesetze und Pflichten rund um die Datenverarbeitung korrekt einzuhalten. Damit die Auskunftsrechte Ihrer Kunden und/oder Mitarbeiter gewahrt bleiben, und damit Sie Zeit und Geld sparen.

Sprechen Sie uns gerne an, wir übernehmen auch die Auskunftserteilung für Ihren Betrieb!

FAQ zum Recht auf Auskunft

Was ist das Auskunftsrecht nach der DSGVO und wer kann ein Auskunftsersuchen stellen?

Artikel 15 DSGVO spricht betroffenen Personen das Recht zu, Auskunft über personenbezogene Daten zu bekommen. Binnen Monatsfrist müssen Unternehmen Auskunft erteilen über Art und Umfang der erhobenen Daten, den Verarbeitungszweck, die Empfänger der Daten und die geplante Speicherdauer. FK-Datenschutz unterstützt Unternehmen dabei, diese Anfragen korrekt und fristgerecht zu beantworten.

Welche Pflichten haben Unternehmen bei einem Auskunftsersuchen und was passiert, wenn diese nicht erfüllt werden?

Unternehmen sind verpflichtet, dem Auskunftsersuchen innerhalb eines Monats nachzukommen. Diese Frist kann in komplexen Fällen auf bis zu drei Monate verlängert werden, sofern die betroffene Person rechtzeitig informiert wird. Bei Nichterfüllung oder verspäteter Erfüllung drohen hohe Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorigen Geschäftsjahres.

Lohnt sich ein externer Datenschutzbeauftragter fürs Auskunftsrecht?

Sofern Sie Auskunftsersuchen intern beantworten wollen, bindet dies Zeit und Personal. Sie müssen geschulte Verantwortliche haben, Meldewege und Zuständigkeiten festlegen, funktionierende Prozesse für den Fall der Fälle entwickelt haben. Eingehende Anfragen müssen zeitnah und korrekt beantwortet werden. Die Rechtslage und die Menge der Daten, um die es geht, sind oft unübersichtlich. Insofern lohnt es sich häufig, die komplexe Aufgabe an Experten wie FK-Datenschutz auszulagern – oder sich zumindest im Vorfeld Unterstützung bei der Schulung im eigenen Team zu holen.

Als externer Datenschutzbeauftragter können wir die gesamte Auskunftserteilung für Sie übernehmen oder eine individuelle Schulung anbieten. So sind Sie jederzeit auf Auskunftsersuchen vorbereitet.