Auskunftsrecht der betroffenen Person (Art. 15 DSGVO) - Schaffung von Transparenz

Vorbemerkung

Die Datenschutzgrundverordnung schützt die Rechte und Freiheiten natürlicher Personen und insbesondere deren Recht auf den Schutz personenbezogener Daten. Um diesen Schutz zu gewährleisten, finden sich im Rahmen der Datenschutzgrundverordnung zahlreiche sog. „ Betroffenenrecht“, die es den Betroffenen ermöglichen sollen zu wissen, wer welche Informationen über sie zu welchem Zweck gespeichert hat und wie sie genutzt werden. Für die meisten Unternehmen stellt es eine große Herausforderung dar, den Anforderungen der Betroffenenrechte nachzukommen. Der vorliegende Leitfaden zum Auskunftsrecht soll Orientierung und Werkzeug zugleich sein, um dem Auskunftsverlangen eines Antragsstellers gerecht werden zu können. Für Unternehmen ist es sinnvoll, im Rahmen einer effizienten und sicheren Bearbeitung von Auskunftsverlangen einen Prozess zu implementieren.

Allgemeines zum Auskunftsrecht (Art. 15 DSGVO)

Bei dem Recht auf Auskunft handelt es sich um das wahrscheinlich am meisten in Anspruch genommene Betroffenenrecht. Dies hat den Grund, dass die anderen Betroffenenrechte, wie das Recht auf Berichtigung (Art. 16 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO), nur ausgeübt werden können, wenn man erfahren hat, welche Daten bei der verantwortlichen Stelle vorhanden sind. Im Rahmen des Auskunftsrechts kann jede Person von einem Unternehmen, das Daten über die Person verarbeitet, Auskunft darüber verlangen, ob – und wenn ja – welche Daten verarbeitet werden und eine Kopie der Daten anfordern (Art. 15 DSGVO). Dies gilt für alle Datenbestände die personenbezogene Daten der auskunftsverlangenden Person enthalten. Hierunter fallen zum Beispiel E-Mails oder Protokolle sowie die Personalakte.

Rahmenbedingungen des Auskunftsanspruchs

  • Ein Antrag auf Auskunftserteilung kann jede natürliche Person stellen (d.h. Kunde/in, Mitarbeiter/in und sonstige Dritte). Unternehmen steht dieses Recht nicht zu.
  • Die Antragsstellung kann formlos erfolgen (d.h. mündlich z.B. per Telefon, aber auch schriftlich z.B. per E-Mail oder Brief).
  • Die Auskunftserteilung an die betroffene Person kann nach Art. 12 Abs. 1 Sätze 2 und 3 DSGVO je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen. Der Verantwortliche stellt eine Kopie der Daten zur Verfügung (Art. 15 Abs. 3 Satz 1 DSGVO). Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z. B. im PDF-Format). Sofern keine personenbezogenen Daten vorhanden sind, ist dies auch mitzuteilen.
  • Grundsätzlich gilt, dass alle Anträge innerhalb eines Monats zu beantworten sind. Sofern die Frist nicht eingehalten werden kann, muss dies dem Antragsteller unter Angabe der (verlängerten) Antwortfrist mitgeteilt werden.
  • Die Auskunft muss der Verantwortliche grundsätzlich kostenlos zur Verfügung stellen. Falls ein Antragsteller weitere Kopien haben möchte, kann der Verantwortliche dafür ein angemessenes Entgelt verlangen.

Verstoß gegen das Recht auf Auskunft

Verstöße gegen das Recht einer Person, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten, können mit Geldbußen geahndet werden. Ferner sollten sich Unternehmen bewusst sein, dass Transparenz auch Vertrauen schaffen kann und Verstöße gegen das Auskunftsrecht zu erheblichen Reputationsschäden führen können.

Praktische Vorgehensweise bei einem konkreten Auskunftsverlangen

Im Rahmen eines konkreten Auskunftsverlangens müssen dem Antragsteller eine Vielzahl von Informationen zur Verfügung gestellt werden. In einem solchen Fall bietet sich folgende mögliche Vorgehensweise an:
1.) Identitätsfeststellung des/der Antragsstellers/in
Wichtig ist zunächst, dass sich die verantwortliche Stelle vergewissert, dass die antragstellende Person die ist, die sie vorgibt zu sein. Bestehen Zweifel an der Identität der antragstellenden Person, sind weitere Informationen anzufordern, um die Identität zweifelfrei festzustellen. Die Monatsfrist zur Beantwortung des Auskunftsverlangens beginnt erst mit der zweifelfreien Identitätsfeststellung. In diesem Zusammenhang sollte gleichzeitig die Gelegenheit ergriffen werden zu prüfen, ob die antragsstellende Person bereits vergleichbare Anträge gestellt hat. Exzessive Anträge können verweigert werden oder eine entsprechende Aufwandsentschädigung zur Folge haben.
2.) Ermittlung des Umfang des Auskunftsanspruch
Oftmals werden sehr viele Daten über die antragstellende Person verarbeitet. Sofern ein unspezifischer Antrag gestellt worden ist, bietet es sich in einer solchen Konstellation zunächst an, die antragstellende Person um Spezifizierung zu bitten.
3.) Ermittlung der personenbezogene Daten
Im Rahmen der Ermittlung der personenbezogenen Daten des/der Antragstellers/in sind die Datenquellen zu identifizieren, die nach den maßgeblichen Informationen durchsucht werden sollen. Hier sind alle Bereiche miteinzubeziehen, deren Unterstützung erforderlich sein könnte (zum Beispiel die IT-Abteilung). Informiert werden muss über:
  • Zweck der Verarbeitung
  • Kategorien der personenbezogener Daten
  • Empfänger der Daten
  • geplante Speicherdauer
  • Hinweis auf sonstige Betroffenenrechte
  • Beschwerdemöglichkeit bei der Aussichtsbehörde
  • ggf. bei Übermittlung der Daten in Länder außerhalb der EU: Informationen über geeignete Garantien bei der Übermittlung
4.) Entfernung vertraulicher Informationen
Vertrauliche Daten (z.B. Geschäftsgeheimnisse) oder Daten die sich auf andere Personen beziehen sowie Daten, die nicht von dem Auskunftsbegehren erfasst werden, können bzw. müssen entfernt werden.
5.) Übermittlung der Daten an den/die Antragssteller/in
Die zu übermittelnden Informationen und die Kopien der Daten sind sodann zusammenstellen und der antragstellenden Person zu übermitteln.

Verweigerung der Auskunft

Die Auskunft darf nur in ganz besonderen Fallkonstellationen beziehungsweise beim Vorliegen von besonderen Umständen verweigert oder eingeschränkt werden. Dies ist zum Beispiel dann der Fall, wenn der Adressat des Antrages nicht Inhaber der Daten ist oder eine potentielle Schädigung von Dritten einer Auskunft entgegensteht. Ferner enthalten die §§ 32-34 BDSG Auskunftsverweigerungsgründe, die allerdings im üblichen Geschäftsverkehr nur in besonderen Konstellationen anwendbar sind.