Das Auskunftsrecht im Datenschutz

Die Datenschutzgrundverordnung (DS-GVO) beinhaltet ein sogenanntes Auskunftsrecht. Es handelt sich dabei um ein zentrales Betroffenenrecht, da es der Transparenz dient.

Was besagt das Auskunftsrecht?

Es besagt, dass Betroffene das Recht haben von dem Verantwortlichen zu erfahren, ob personenbezogenen Daten von ihnen verarbeitet und gespeichert wurden. Wenn Daten verarbeitet werden, dann haben Betroffene das Recht auf Auskunft dieser Daten. Nach Artikel 15 Abs. 1 DS-GVO beinhaltet dies folgende Informationen:

Richterhammer und Waage

Quelle: pixabay.com

  • die personenbezogenen Daten
  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • Empfänger bzw. Kategorien von Empfängern, die die Daten erhalten oder noch erhalten werden
  • geplante Speicherdauer falls möglich, ansonsten Kriterien für die Festlegung der Speicherdauer
  • Herkunft der Daten, wenn diese nicht beim Betroffenen direkt erhoben wurden
  • Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruchsrecht gegen die Verarbeitung
  • Beschwerderecht bei einer Aufsichtsbehörde
  • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung

Zusätzlich hat die betroffene Person nach Art. 15 Abs. 2 DS-GVO das Recht über die geeigneten Garantien (gem. Art. 46 DS-GVO) informiert zu werden, wenn personenbezogene Daten in Drittländer übermittelt werden.

Wer darf eine Auskunft verlangen?

Es darf nur die betroffene Person oder ein von ihr Bevollmächtigter eine Auskunft verlangen. Aus diesem Grund muss der Verantwortliche sicherstellen, dass die anfragende Person auch tatsächlich die betroffene Person ist. Hierzu darf der Verantwortliche weitere Informationen zur Bestätigung der Identität der betroffenen Person anfordern, wenn begründete Zweifel an der Übereinstimmung vorhanden sind (gem. Art. 12 Abs. 6 DS-GVO). Auch kann auch etwa ein Rechtsanwalt um die Vorlage der Vollmacht gebeten werden.

In welchem Zeitraum muss ein Auskunftsersuchen beantwortet werden?

Die Beantwortung eines Auskunftsersuchens soll unverzüglich, in jedem Fall aber innerhalb eines Monats erfolgen (gem. Art. 12 Abs. 3 S. 1). In diesem Zeitraum muss die verantwortliche Stelle dem Ersuchen nachkommen. Ist die Bearbeitung des Betroffenenbegehrens innerhalb dieser Frist nicht möglich, so kann der Verantwortliche die Frist unter gewissen Bedingungen um zwei weitere Monate verlängern. Diese Bedingungen entstehen nach Art. 12. Abs. 3 S. 2 durch die Berücksichtigung der Komplexität und der Anzahl von Anträgen. Dabei muss der Verantwortliche die betroffene Person innerhalb des ersten Monats über die Fristverlängerung und die Gründe für diese unterrichten (gem. Art. 12 Abs. 3 S. 3).

Kann die Auskunft verweigert werden?

Unter bestimmten Umständen kann die Auskunft verweigert oder eingeschränkt werden. Hierzu gehört etwa, dass die Rechte und Freiheiten anderen Personen nicht beeinträchtigt werden dürfen (gem. Art. 15 Abs. 4 DS-GVO). Hierzu können Geschäftsgeheimnisse oder Rechte des geistigen Eigentums gehören. Weitere Verweigerungsgründe sind in § 34 BDSG-neu zu finden. Hiernach wird darf eine Auskunft verweigert werden, wenn die Auskunftserteilung unverhältnismäßig aufwendig ist und

  • die Daten nur gespeichert sind, weil sie durch gesetzliche oder satzungsgemäße Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder
  • es sich ausschließlich um Daten zwecks Datensicherung oder Datenschutzkontrolle handeln.

Wenn der Verantwortliche eine große Menge an Informationen über die betroffene Person verarbeitet, sieht der Erwägungsgrund 63 vor, dass der Verantwortliche verlangen kann, dass die betroffene Person ihr Auskunftsersuchen präzisiert.

Die Ablehnungsgründe müssen gemäß §34 BDSG-neu dokumentiert werden sowie der gegenüber dem Betroffenen dargelegt werden. Hier wird eingeschränkt, dass diese Begründung gegenüber der betroffenen Person nicht den mit der Verweigerung verfolgten Zweck gefährden soll.

Welche Kosten entstehen für die betroffene Person?

Nach Art. 12 Abs. 5 hat der Verantwortliche die Informationen grundsätzlich kostenlos zur Verfügung zu stellen. Verlangt die betroffene Person über diese erste Kopie der verarbeiteten personenbezogenen Daten hinaus weitere Kopien, darf die verantwortliche Stelle ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangen (gem. Art. 15 Abs 3 S. 2).

Wie häufig kann das Auskunftsrecht in Anspruch genommen werden?

Laut Erwägungsgrund 63 kann eine betroffene Person ihr Auskunftsrecht in angemessenen Abständen wahrnehmen. Wenn offenkundig unbegründete oder exzessive Anträge auf Auskunft von einer betroffenen Person gestellt werden, dann darf der Verantwortliche entweder ein angemessenes Entgelt verlangen oder den Antrag verweigern. Jedoch hat er in diesem Fall einen Nachweis über diesen Charakter des Ersuchens zu erbringen (gem. Art. 12. Abs. 5).

Informationen für Betroffene

Ein Auskunftsersuchen kann formlos gegenüber dem Verantwortlichen gestellt werden. Das bedeutet, dass beispielsweise eine E-Mail oder ein Brief mit dem Ersuchen an die verantwortliche Stelle genügt. Hierbei ist es wichtig, dass der Verantwortliche die betroffene Person identifizieren kann.

Wenn eine verantwortliche Stelle die gesetzlichen Regelungen nicht einhält, dann können Betroffene sich bei der Landesdatenschutzbehörde beschweren und ihre Rechte klageweise einfordern. Dabei ist ein Schadensersatzanspruch nach Art. 82 DS-GVO möglich.

Informationen für Verantwortliche

Verantwortliche sind dazu angehalten bei der Beantwortung von Auskunftsersuchen Sorgfalt walten zu lassen. So sollten auch bei Forderungen nach Datenlöschung die Auskunftsersuchen davor erfüllt werden und die gesetzlichen Regelungen eingehalten werden.

Ein Aspekt, der zu beachten ist, ist die faktische Nichtexistenz einer Negativauskunft. Betroffenen kann nicht als Auskunft gegeben werden, dass keine Daten verarbeitet wurden, da die Daten allein bei der Bearbeitung des Auskunftsersuchens personenbezogene Daten, wie der Kontakt verarbeitet werden. Hierüber muss dann auch beauskunftet werden.

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) warnt aktuell vor der missbräuchlichen Geltendmachung von Betroffenenrechten. Dabei werden zwei Szenarien betont.

Im ersten Szenario meldet sich eine Person über das Kontaktformular eines Unternehmens und bittet um Rückruf. Versucht das Unternehmen die Person daraufhin zu erreichen, wird der Anruf nicht angenommen. Daraufhin meldet sich die Person später erneut und fragt nach Auskunft über die vom Unternehmen gespeicherten Daten und fordert deren Löschung.

Im zweiten Szenario abonniert eine Person den Newsletter des Unternehmens. Daraufhin wird das Unternehmen kontaktiert und ein Auskunftsersuchen gestellt und die Löschung der Daten gefordert.

Wenn das Unternehmen nun die Daten direkt löscht und dem Auskunftsersuchen nicht entspricht, beauskunftet, dass keine personenbezogenen Daten vorliegen oder nicht reagiert, meldet sich im Nachgang ein Rechtsanwalt, der einen Schadensersatz fordert.

Dieser vermeintlichen missbräuchlichen Nutzung der Betroffenenrechte können Unternehmen laut GDD durch die penible Beantwortung der Betroffenenrechte und des Auskunftsrechts entgehen. Die ausführliche Stellungnahme hierzu kann hier eingesehen werden.

Kontaktieren Sie uns!

Sollten Sie zu diesem oder anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, nehmen Sie gern Kontakt zu uns auf.

Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DSGVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gern beraten wir auch Sie bei der Umsetzung Ihres Projektes.

Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog