Auskunftsverlangen und Auskunftsrecht in der DSGVO

 

Rechte und Pflichten der Unternehmer

Was ist ein Auskunftsverlangen?

Die DSGVO sieht ein Auskunftsrecht für betroffene Personen vor (Vergleich Art. 15 DSGVO). Dies bedeutet, dass eine natürliche Person jederzeit bei Unternehmen Informationen zu der Verarbeitung seiner persönlichen Daten beantragen kann. Hierbei muss mitgeteilt werden, ob die Verantwortlichen personenbezogene Daten verarbeiten und wenn ja, welche Art von Daten in welcher Form verarbeitet werden.

Wie verläuft ein Auskunftsverfahren?

Grundsätzlich verläuft ein Auskunftsverfahren in 2 Schritten:

  1. Eine Person fragt bei dem Unternehmen an und kann eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihm/ihr verarbeitet werden. Sollten keine Daten verarbeitet werden, ist der Antragsteller darüber zu informieren. Werden Daten verarbeitet, geht das Auskunftsverfahren in die nächste Stufe.
  2. Nun muss der Verantwortliche nach Art. 15 Abs. 1 DSGVO folgende Informationen für die betroffene Person bereitstellen:
  • Gespeicherte Daten
  • Verarbeitungszwecke
  • Datenkategorien
  • Empfänger dieser Daten
  • Geplante Speicherdauer, falls bestimmbar
  • Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch)
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde (inkl. zuständige Aufsichtsbehörde)
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
  • Informationen über automatisierte Entscheidungsfindung
  • Informationen über die Übermittlung in Drittstaaten

 

Form und Frist der Auskunftserteilung

Im Normalfall wird die Auskunft schriftlich erteilt. Dies kann auch auf elektronischem Wege geschehen. Die betroffene Person kann allerdings auch eine mündliche Auskunft verlangen, bei dem die Identität der Person vorab nachgewiesen werden muss. Ich empfehle immer eine Identitätsprüfung vor Auskunft zu verlangen, da auch bei einer E-Mail nicht klar ist, ob der Antragsteller eine Auskunft überhaupt verlangt hat.

In der Regel müssen die Informationen nach Antragsstellung unverzüglich bereitgestellt werden, spätestens allerdings einen Monat nach Anfrage. In komplexen Fällen kann diese Frist um 2 Monate verlängert werden. Hierzu muss die betroffene Person allerdings unter Angabe der Gründe für die Verzögerung innerhalb eines Monats nach dem Eingang des Antrags informiert werden.

 

Herausforderungen bei Auskunftsverlangen

Durch das Auskunftsverlangen stehen immer mehr Unternehmen im Zugzwang. Wichtig ist hierbei bereits eine optimale Vorbereitung der Prozesse und Informationen, sodass eine Auskunft schnell und präzise erstellt werden kann. Natürlich ist es für manche Unternehmen möglich, dass sie enorm viele Daten verarbeiten (beispielsweise Amazon und Spotify) und bei einem Auskunftsverlangen CVS Dateien zur Verfügung stellen können, die dem Betroffenen nicht viel weiterhelfen. Eine Aufstellung der Primärdaten ist in vielen Fällen sinniger als sämtliche Datensätze.

Durch die Frist von einem Monat, müssen die Daten schnell zusammengetragen werden und dürfen im Unternehmen natürlich nicht sämtliche Kapazitäten beanspruchen. Hierbei ist es wichtig in Prozessen bereits festzustellen und festzuhalten, wo welche Daten meiner Kunden überhaupt gespeichert sind und verarbeitet werden.

Eine weitere Herausforderung kann auch das Thema Datensicherheit bei einem Auskunftsverlangen bilden: je sensibler die Daten sind, die abgefragt werden, desto mehr muss die Übermittlung der Daten geschützt sein. Achten Sie aus diesem Grunde besonders auf eine verschlüsselte und geschützte Übermittlung.

 

Informationspflicht für Unternehmen ohne Auskunftsanfrage

In wenigen Fällen kann es auch passieren, dass ein Unternehmen betroffene Personen ohne Aufforderung Auskunft erteilen muss. Dies kann beispielsweise bei einer Übernahme einer anderen Firma und damit dem Übergeben von Kundendatensätzen geschehen. Im ersten Schritt sollte dabei überprüft werden, ob die Daten auswertbar sind und ein Datensystem vorliegt. Dies kann beispielsweise eine alphabetische Sortierung der Kundendaten sein. Dann entsteht automatisch eine Informationspflicht des neuen Dateninhabers an die betroffenen Personen.

In folgenden Fällen können Ausnahmen der Informationspflicht bestehen:

  • Wenn Betroffene bereits durch ursprünglichen Besitzer der Daten informiert wurden
  • Wenn die Erteilung der Information sich als unmöglich erweist (keine Kontaktdaten etc.)
  • Wenn die Erteilung der Informationen ein unverhältnismäßiger Aufwand erfordert (Kosten und Zeitaufwand werden hierbei den möglichen Auswirkungen für den Betroffenen gegenübergestellt, wenn dieser nicht informiert werden würde)

 

Ausnahmen vom Auskunftsrecht

Wie bereits im obigen Abschnitt beschrieben, kann eine Fristverlängerung bei komplexen Fällen mit der Angabe der Gründe erzielt werden. Des Weiteren kann das verantwortliche Unternehmen, sollte es eine große Menge von Informationen der betroffenen Person verarbeiten, eine Präzisierung der benötigten Informationen beantragen. Hierbei soll der Antragssteller mitteilen, welche Informationen oder welche Verarbeitungsvorgänge er konkret benötigt.

 

 

Empfehlung von LITC

Um den Prozess eines Auskunftsverfahrens zu beschleunigen und in die bestehenden Strukturen zu integrieren, empfehlen wir Ihnen Verfahrensschritte und Vorlagen zu erstellen. Dadurch werden rechtzeitig organisatorische Vorkehren getroffen, sodass Auskunftsersuche schnell und vollständig beantwortet werden können.

Weiterführende Quellen:

– Podcast „Dies, jedes und ein bisschen Betroffenenrechte“ von Stephan Hansen-Oest (Datenschutz-Guru)

– Podcast „Ausnahmen von Informationspflichten (Art. 14 DSGVO)“ von Stephan Hansen-Oest (Datenschutz-Guru)

Muster zur Auskunftserteilung des Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

 

Sie haben noch Fragen zum Auskunftsverlangen und den benötigen Unterlagen? Sie möchten die Prozesse bei Ihnen im Unternehmen vereinfachen, um schneller und effizienter tätig zu werden? Ich berate Sie gerne und gehe mit Ihnen gemeinsam die einzelnen Schritte durch, sodass Sie im Falle eines Auskunftsverfahren schnell handeln können. Schreiben Sie mir eine Email: info@litc.de