Betroffenenrecht auf Auskunft: Vermeiden Sie Bußgelder, Abmahnungen und Schadensersatz-Forderungen!

Verfasst von Sven Fus

Die Datenschutz-Grundverordnung gewährt Personen, deren personenbezogene Daten verarbeitet werden, verschiedene Rechte, die als Betroffenenrechte bezeichnet werden. Dazu gehören insbesondere die Rechte auf Auskunft, Berichtigung, Löschung, Verarbeitungseinschränkung, Datenübertragbarkeit und Widerspruch. Das Auskunftsrecht soll den Betroffenen die Kontrolle über ihre personenbezogenen Daten geben und es ihnen ermöglichen, ihre Rechte geltend zu machen und zu überwachen, wie ihre Daten verwendet werden.

Als Unternehmen müssen Sie sicherstellen, dass Sie in der Lage sind, auf Anfragen von Betroffenen bezüglich ihres Auskunftsrechts zu reagieren. Sie müssen gewährleisten, dass Sie über die notwendigen Informationen verfügen, um Anfragen von Betroffenen beantworten. Das ist einerseits die Informationsbereitstellung. Grundsätzlich muss die Auskunft innerhalb der gesetzlich vorgeschriebenen Frist von einem Monat an den Betroffenen zurückgemeldet werden.

Dabei stellen sich fünf Kernfragen:

  1. Ist die Anfragende Person legitimiert?

  2. Werden keine Daten über die anfragende Person verarbeitet?

  3. Ist es möglich, dass wir die Auskunft verweigern können?

  4. Über welche Inhalte müssen wir Auskunft geben?

  5. In welcher Form muss die Auskunft zur Verfügung gestellt werden?

Auskunftsberechtigung

Nur die Person, deren personenbezogene Daten verarbeitet werden, darf Auskunft erhalten. Der Verantwortliche hat zu verhindern, dass eine unberechtigte Person eine Auskunft erhält, die nicht für sie bestimmt ist. Würde eine unberechtigte Person eine Auskunft erhalten, so läge in der Regel eine Datenpanne vor, die der Verantwortliche der Aufsichtsbehörde zu melden hätte.

Um dies zu vermeiden, bedarf es klarer interner Vorgaben, wie eine Identitätsprüfung durchzuführen ist. Die DSGVO stellt keine hohen Anforderungen. Nach dem Gesetz darf eine Auskunft bereits dann erteilt werden, wenn „keine begründeten Zweifel an der Identität“ des Anfragenden bestehen.

Solche begründeten Zweifel können sich zum Beispiel ergeben, wenn die Anfrage von einer anderen als der bekannten E-Mail-Adresse kommt oder die in der Anfrage angegebene Adresse von der bisherigen Adresse abweicht.

Vorteilhaft ist, die Auskunft in einem bestehenden, passwortgeschützten Kundenkonto zu erteilen, wodurch sich die betroffene Person zugleich legitimiert. Ebenso sind Download-Lösungen denkbar, bei denen ein nur einmalig gültiger Link per E-Mail an die betroffene Person versandt wird und vor dem Download eine nur der betroffenen Person bekannte Information (z. B. Kundennummer) abgefragt wird.

Negativauskunft

Liegen keine Daten über die anfragende Person vor, so hat der Verantwortliche der anfragenden Person auch dies mitzuteilen. Bei der Erteilung einer solchen so genannten Negativauskunft sind noch weitere Gesichtspunkte zu berücksichtigen: Denn die Anfrage selbst beinhaltet personenbezogene Daten wie Name und Adresse anfragenden Person. Um die Antwort erteilen zu können, muss der Verantwortliche diese Daten verarbeiten. Dementsprechend sind insbesondere die Datenschutzhinweise nach Art. 13 DSGVO zur Verfügung zu stellen.

Auskunftserteilungen und auch Negativauskünfte sollten daher für eine Zeit von drei Jahren aufbewahrt werden, um der in der DSGVO geforderten Rechenschaftspflicht nachzukommen. Zudem hat das Unternehmen die Möglichkeit der Verteidigung, falls es aufgrund der Antwort Gegenstand einer Auseinandersetzung mit der Aufsichtsbehörde werden sollte.

Auskunftsverweigerung

In der Regel wird ein für die Verarbeitung Verantwortlicher zur Erteilung der Auskunft verpflichtet sein. Eine Ausnahme besteht nur bei exzessiven Anfragen, d.h. wenn die betroffene Person ihre Anfrage beispielsweise mehrmals im Jahr ohne nachvollziehbaren Grund wiederholt.

Auskunftsinhalt

Der Inhalt der Auskunft richtet sich nach dem Auskunftsbegehren der betroffenen Person. Die betroffene Person hat einen gesetzlichen Anspruch auf die folgenden Informationen):

  • Für welche Zwecke verarbeitet der Verantwortliche die Daten der betroffenen Person? Zum Beispiel zur Erfüllung des Vertrags mit der betroffenen Person.

  • Welche Kategorien personenbezogener Daten des Betroffenen werden verarbeitet? Hier muss nicht jedes einzelne Datenfeld aufgezählt werden, sondern es reicht, Oberbegriffe zu nennen.

  • An welche Empfänger oder Kategorien von Empfängern werden seine Daten gegebenenfalls weitergegeben? Auch Empfänger in Drittstaaten außerhalb der EU und des EWR müssen genannt werden.

  • Wie lange werden die Daten gespeichert oder wonach wird die Speicherdauer festgelegt?

  • Hinweis auf die Rechte der Betroffenen auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch.

  • Hinweis auf die Möglichkeit, sich bei einer Aufsichtsbehörde über die Datenverarbeitung zu beschweren.

  • Stammen die Daten nicht von der betroffenen Person, sondern aus einer anderen Quelle: Angabe aller verfügbaren Informationen über die Herkunft der Daten.

  • Sind die Daten Gegenstand einer automatisierten Entscheidung, einschließlich Profiling - im Sinne von Art. 22 DSGVO, z.B. bei Bonitätsscoring oder Standortverfolgung: aussagekräftige Informationen über die zugrunde liegende Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

  • Werden die Daten in ein Drittland übermittelt, d.h. in ein Land außerhalb der EU und des EWR, hat der Anfragende zudem das Recht, die Rechtsgrundlage dafür zu erfahren (z.B. EU-Standarddatenschutzklauseln; EU-Kommissionsbeschluss für Vereinigtes Königreich, o.ä.).

Das Recht auf Auskunft umfasst auch das Recht, eine Kopie der Daten zu erhalten. Die Datenkopie soll einerseits in einem gängigem elektronischen Format und andererseits unentgeltlich zur Verfügung gestellt werden.

Auskunftsform

In der Datenschutz-Grundverordnung wird klargestellt, dass Anträge, die in elektronischer Form eingehen, auch elektronisch bereitzustellen sind (z.B. PDF), sofern die betroffene Person nichts anderes angibt. Angemessene Verwaltungskosten können bei weiteren Kopien in Rechnung gestellt werden. Dies ist der Fall, falls sich die Daten seit der letzten Kopie nicht signifikant verändert haben und der Zeitraum kurz (etwa drei Monate) ist.

Sven Fus

Senior Manager Compliance

Zurück

Geldwäsche am Beispiel des Menschenhandels
Weiter

Hinweisgebersysteme nach dem Hinweisgeberschutzgesetz (HinSchG)