Auskunftsersuchen & Auskunftsrecht – alles, was Sie wissen müssen

Auskunftsersuchen
Allgemein

Bei dem Auskunftsrecht handelt es sich um ein Betroffenenrecht, das in Art. 15 DSGVO geregelt ist. Betroffenenrechte sind Schutzmechanismen, die in der Datenschutzgrundverordnung geregelt sind und natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten schützen sollen. So können betroffene Personen dieses Betroffenenrecht gegenüber dem Verantwortlichen geltend machen und Auskunft über die zu ihrer Person gesammelten Daten verlangen. Bezeichnet wird diese Anfrage von Betroffenen auch als Auskunftsersuchen.

Welche Informationen haben Sie als Unternehmen den Betroffenen auszuhändigen?

Die Datenschutzgrundverordnung regelt genau, welche Informationen einer betroffenen Person zur Verfügung gestellt werden müssen, wenn sie von ihrem Auskunftsrecht Gebrauch macht. Unabhängig davon, ob das Unternehmen Daten des Betroffenen gesammelt hat oder nicht, muss es auf das Auskunftsersuchen reagieren.

Wenn über den Betroffenen keine Daten gesammelt worden sind, muss die verantwortliche Person auch diese Information übermitteln. In Fachkreisen wird dies als Negativauskunft bezeichnet. Die damit verbundene Idee ist, dass der Betroffene so einen Überblick darüber erhält, welche Informationen von welchen Unternehmen über ihn gesammelt wurden und ob diese korrekt sind.

Bestätigt das Unternehmen hingegen, dass personenbezogene Daten des Anfragestellers verarbeitet werden bzw. wurden, hat dieser das Recht darauf, Informationen über diese personenbezogenen Daten und weitere Informationen zu erhalten. Zu diesen zählen nach Art. 15 DSGVO:

  • der Verarbeitungszweck der personenbezogenen Daten
  • die Kategorien der verarbeiteten Daten (z. B. Adressdaten, Geburtsort, Bankdaten, etc.)
  • die Empfänger oder Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • die geplante Speicherdauer der personenbezogenen Daten oder die Kriterien für die Festlegung der Speicherdauer
  • das Recht auf Löschung oder Berichtigung der personenbezogenen Daten
  • das Recht auf Einschränkung der Verarbeitung und das Widerspruchsrecht
  • das Recht auf Beschwerdemöglichkeit bei der zuständigen Aufsichtsbehörde
  • alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Hinweis:
Es gilt zu beachten, dass von dem Auskunftsrecht in einigen speziellen, gesetzlich geregelten Fällen kein Gebrauch gemacht werden kann. Auch gegenüber einigen Behörden, z. B. der Polizei, der Staatsanwaltschaft, dem Verfassungsschutz oder dem Bundesnachrichtendienst kann der Anspruch auf Auskunft ggf. eingeschränkt sein.

Wie muss ein Auskunftsersuchen ablaufen?

Zur Geltendmachung eines Auskunftsersuchens ist die Schriftform nicht zwingend erforderlich. Häufig schreiben Betroffene auch kurze E-Mails an das jeweilige Unternehmen oder rufen dort an, um Auskunft zu erbitten. Insbesondere bei telefonischem Kontakt gilt allerdings zu berücksichtigen, dass sich das Unternehmen sicher sein muss, dass wirklich die betroffene Person anruft. Damit gehen diverse Hürden einher, da die Identität trotz zahlreicher Verifizierungsmaßnahmen schwer zu überprüfen bleibt. Daher ist es in Fällen wie diesen ratsam, darum zu bitten, dass der Betroffene sein Auskunftsersuchen per Schriftform einreicht. Außerdem gilt, dass das Auskunftsersuchen schriftlich beantwortet werden sollte, damit einerseits Datenschutzverletzungen verhindert werden und andererseits der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO genügt werden kann.

Um zu verhindern, dass wertvolle Zeit verloren geht, bis der Betroffene eine Antwort auf sein Auskunftsersuchen erhält, ist die Errichtung einer allgemeinen Anlaufstelle für diese Belange sehr bedeutsam. Dadurch kann das Unternehmen verhindern, dass E-Mails, Briefe, etc. zu lange unbearbeitet bleiben, da sie an die falsche Abteilung adressiert wurden.

Jetzt Kontakt aufnehmen

Egal ob IT-Sicherheit, Infrastruktur oder Datenschutz: gerne unterhalten wir uns über Ihre Pläne und Vorstellungen. Wir freuen uns, wenn wir Sie dabei unterstützen können, wieder mehr Zeit für das Tagesgeschäft zu haben. Jetzt unverbindlich informieren.

Unterstützung durch einen externen Datenschutzbeauftragten

Um einen reibungslosen Ablauf zu ermöglichen, wird bestenfalls der Datenschutzbeauftragte des Unternehmens als Ansprechpartner ernannt. Sollte das Unternehmen keinen Datenschutzbeauftragten bestellt haben, kann alternativ auch ein anderer, interner Mitarbeiter diese Aufgabe übernehmen. In beiden Fällen ist es notwendig, die Belegschaft darüber zu informieren. Vorteilhaft ist, dass ein Auskunftsersuchen dadurch direkt an die zuständige Stelle weitergeleitet wird.

Wann muss ein Datenschutzbeauftragter bestellt werden? Alle Infos erhalten Sie in unserem Ratgeber zur Benennungspflicht für Datenschutzbeauftragte.

Zu berücksichtigen ist auch, dass die Mitarbeiter eine Unterweisung benötigen, wie mit einem Auskunftsersuchen umzugehen ist. Das bedeutet: Wenn der Datenschutzbeauftrage Informationen über die gesammelten personenbezogenen Daten eines Betroffenen benötigt, müssen ihm die jeweiligen Mitarbeiter diese zur Verfügung stellen. Dazu ist es erforderlich, dass diese genau wissen, wo welche Daten zu finden sind und welche Informationen zu den personenbezogenen Daten zählen.

Was haben Unternehmen bei der Auskunftspflicht zu beachten?

Als Unternehmen sind Sie dazu verpflichtet, das Auskunftsersuchen eines Betroffenen zu beantworten. Dabei gilt die in Art. 12 Abs. 3 DSGVO festgelegte Frist zur Auskunftserteilung von einem Monat. Wichtig ist zudem, dass Sie eine umfassende und vollständige Auskunft erteilen. Sollte dies nicht der Fall sein, können Betroffene Beschwerde bei der zuständigen Aufsichtsbehörde einreichen. Die damit verbundene Konsequenz kann im schlimmsten Fall das Verhängen eines Bußgeldes sein.

Im Rahmen der Auskunftserteilung sollten Sie außerdem beachten, dass eine interne Dokumentation der Auskunft erfolgt. Geregelt ist diese Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO. Um außerdem den sogenannten Grundsatz der Transparenz einzuhalten, ist eine Auskunftserteilung in eindeutiger und leicht verständlicher Sprache erforderlich.

Sollten Sie Fragen zu dem Umgang mit Auskunftsersuchen von Betroffenen haben, helfen wir Ihnen gerne weiter. Unsere externen Datenschutzbeauftragen besitzen die notwendige Expertise und erläutern Ihnen gerne die einzuhaltenden Anforderungen.

Jetzt Kontakt aufnehmen

Egal ob IT-Sicherheit, Infrastruktur oder Datenschutz: gerne unterhalten wir uns über Ihre Pläne und Vorstellungen. Wir freuen uns, wenn wir Sie dabei unterstützen können, wieder mehr Zeit für das Tagesgeschäft zu haben. Jetzt unverbindlich informieren.