Der richtige Umgang mit Auskunftsanfragen im Datenschutz
Immer mehr Unternehmen erreichen Auskunftsanfragen zum Datenschutz von betroffenen Personen. Gründe für solche Anfragen können unterschiedlich sein. Den richtigen Umgang mit Auskunftsanfragen sollten Sie beherrschen. In diesem Beitrag erkläre ich dir, worauf du achten musst. Am Ende des Artikels findest du ein Muster zur Antwort auf die Auskunftsanfrage.
Recht auf Auskunft
Betroffene Personen haben einAuskunftsrecht nach Art. 15 DSGVO. Er ist eines der wichtigsten Betroffenenrechte der DSGVO. Der Auskunftsanspruch ist einer der häufigsten Streitpunkte zwischen betroffenen Personen und Unternehmen. Viele Auskunftsanfragen legen den Grundstein für Schadensersatzansprüche. Es ist daher umso wichtiger, dass du auf einen Auskunftsanspruch richtig und angemessen reagieren kannst.
9 Schritte für den richtigen Umgang mit Auskunftsanfragen
Die nachfolgenden 9 Schritte helfen dir, alles Blick zu behalten und die Auskunftsanfrage richtig zu beantworten.
- Identität prüfen
- Negativauskunft
- Rechtsmissbrauch
- Eingang bestätigen
- Einschränkungen
- Wer erteilt die Auskunft?
- In welcher Zeit muss die Auskunft erteilt werden?
- In welcher Form muss die Auskunft erteilt werden?
- Die Auskunft selbst
1. Identität prüfen
Bevor es richtig losgeht, solltest du sicher gehen, dass Person, die die Auskunft verlangt, auch die richtige ist. Du darfst Auskunft über die Verarbeitung von personenbezogenen Daten nur gegenüber der tatsächlich betroffenen Person erteilen. Solltest du im Einzelfall begründete Zweifel an der Identität der anfragenden Person haben, kannst du weitere Informationen anfordern (Art. 12 Abs. 6 DSGVO). Wie überall im Datenschutz gilt auch hier das Prinzip der Datensparsamkeit. Du solltest also so wenig wie möglich Daten anfordern, die aber ausreichen, damit du die Person eindeutig identifizieren kannst. Ausweiskopien darfst du nur in Ausnahmefällen verlangen, wenn es keine anderen Nachweise gibt.
Achtung: Das Auskunftsrecht steht zwar nur betroffenen Personen zu. Diese dürfen aber einen Vertreter mit der Auskunft beauftragen. In der Regel macht das dann ein Rechtsanwalt. Hier kann die Vorlage einer Vollmacht verlangt werden. Diese muss aber nicht im Original vorgelegt werden. Eine Kopie reicht hierfür aus.
2. Negativauskunft (gibt es nicht)
Viele Auskunftsanfragen kommen von Kunden, Empfängern von Newslettern oder ehemaligen Mitarbeitern. Das muss aber nicht, sein. Es kann auch vorkommen, dass dich jemand um Auskunft bittet, der bisher noch nie mit dir in Kontakt stand. In diesem Fall hast du in der Regel keine personenbezogenen Daten gespeichert und verarbeitest damit auch keine. Eigentlich wäre jetzt eine Negativauskunft mit der richtige Weg, mit der du bestätigst, dass du gerade keine personenbezogenen Daten verarbeitest. Eigentlich. Genau genommen gibt es faktisch keine Negativauskunft. Im Moment, indem dich jemand anschreibt und um Auskunft über seine oder ihre personenbezogenen Daten bittet, hast personenbezogene Daten über diese Person. Damit verarbeitest du personenbezogene Daten. Sofern du sonst keine Daten von dieser Person verarbeitest, solltest du darauf hinweisen. Das könnte etwas so aussehen:
Sehr geehrte/r Frau/Herr …,
wir verarbeiten nur die Daten, die Sie uns im Rahmen Ihrer Auskunftsanfrage mitgeteilt haben. Ansonsten verarbeiten wir keine personenbezogenen Daten.
Unsere Datenschutzhinweise finden Sie unter www.xyz.de/datenschutz. (Hier den Ort der Datenschutzhinweise einfügen)
Gerade bei Erstanfragen darfst du die Datenschutzhinweise nicht vergessen. Du verarbeitest hier das erste Mal personenbezogene Daten dieser Person und bist damit nach Art. 13 DSGVO zur Information verpflichtet.
3. Rechtsmissbrauch?
Das Auskunftsrecht steht grundsätzlich jeder Person zu und ist vermutlich eines der wichtigsten Rechte für betroffene Personen. Dennoch kann es Konstellationen geben, in denen die Ausübung dieses Rechts rechtsmissbräuchlich ist. Insbesondere bei offenkundig unbegründeten oder exzessiven Auskunftsersuchen kannst du diese verweigern (Art. 12 Abs. 5 DSGVO). Potenzieller Rechtsmissbrauch ist einer der häufigsten Einwendungen und Streitpunkte bei Auskunftsanfragen. Gerade wenn auch andere Gründe als Datenschutz hinter der Auskunftsanfrage stehen, solltest du dir das Thema genauer anschauen.
Viele Juristen vertreten die Auffassung, dass ein Auskunftsanspruch rechtsmissbräuchlich ist, wenn er nicht die in Erwägungsgrund 63 genannten Ziele verfolgt, sich der Verarbeitung der personenbezogenen Daten bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können. Der BGH zweifelt diese Ansicht an und bereits im Frühjahr die Sache EuGH vorgelegt (BGH Beschluss vom 29.03.2022 – VI ZR 1352/20). Im vergangenen Jahr entschied das OLG Nürnberg (Urteil v. 29.11.2023 – 4 U 347/21), dass es nicht rechtsmissbräuchlich ist, wenn die betroffene Person (auch) datenschutzfremde Motive hat. Anders sieht es das OLG Brandenburg. Das lehnte einen Auskunftsanspruch ab, weil der Kläger keinerlei datenschutzrechtliche Motive hatte (OLG Brandenburg vom 14.04.2023 – 11 U 233/22). Das letzte Wort ist hier also bisher nicht gesprochen.
4. Eingang bestätigen
Eine kurze Eingangsbestätigung der Auskunftsanfrage ist zwar gesetzlich nicht vorgeschrieben. Allerdings zeigst du damit, dass du an der Sache dran bist. Das kann milde stimmen und ggf. ein wenig Ruhe in die Sache bringen.
5. Einschränkungen
Es gibt Grenzen für das Auskunftsverlangen. Nach § 34 Abs. 1 Nr. 2 BDSG musst du keine Auskunft über Daten erteilen, die nur deshalb gespeichert sind, weil du sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht löschen darfst oder die bloß zur Datensicherung gespeichert sind. Das gilt allerdings nur, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordert und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Du solltest dich also nicht zu leichtfertig auf diese Ausnahmen berufen.
Andere Einschränkungen – die in erster Linie für den öffentlichen Bereich gelten – ergeben sich aus
- § 27 Abs. 2 BDSG – Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken,
- § 28 Abs. 2 BDSG – Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken sowie
- § 34 Abs. 1 Nr. 1 und § 33 BDSG Datenverarbeitung durch Behörden, wenn ihre Auskunft zu einer Gefährdung führen würde
6. Wer erteilt die Auskunft?
IN bestimmten Konstellationen kann es vorkommen, dass du gar nicht der richtige Ansprechpartner für die Auskunftsanfrage bist. Wenn du etwa personenbezogene Daten im Rahmen einer Auftragsverarbeitung verarbeitest, musst in der Regel nicht du, sondern der Verantwortliche die Auskunft erteilen. In diesem Fall musst du aber den Verantwortlichen informieren. Das zum Beispiel der Fall, wenn du als Agentur, die eine Webseite und Social Media Auftritte deines Kunden betreust.
Bei einer gemeinsamen Verantwortlichkeit kann die betroffene Person die Anfrage an beide Verantwortlichen stellen.
7. In welcher Zeit muss die Auskunft erteilt werden?
Du musst die Auskunftsanfrage grundsätzlich unverzüglich beantworten, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. In besonderen Fällen kannst du die Frist um weitere zwei Monate verlängern, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Im Falle einer Verlängerung musst du die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung unterrichten. Dabei musst du auch die Gründe für die Verzögerung mitteilen.
Die Fristen sollten man ernst nehmen, da sonst ggf. Schadensersatz droht. Bisher konnte man die Monatsfrist als gesetzt ansehen. Das sah nun das ArbG Duisburg anders. Nach seiner Auffassung bedeutet unverzüglich, unverzüglich. Drei Wochen sind nicht mehr unverzüglich und zu lang. Das Gericht verurteilte zu 750 EUR Schadensersatz (ArbG Duisburg – Urteil vom 03.11.2023, 5 Ca 877/23). Sogar 10.000 EUR Schadensersatz sprach das ArbG Oldenburg einem Kläger für eine verspätete Auskunft (20 Monate) zu (ArbG Oldenburg – Urteil vom 09.02.2023 – 3 Ca 150/21). Das LAG Düsseldorf lehnte allerdings einen Anspruch ab (LAG Düsseldorf – Urteil vom 28.11.2023, 3 Sa 285/23). Es ist also auch hier das letzte Wort bisher nicht gesprochen.
8. In welcher Form muss die Auskunft erteilt werden?
Die Form der Auskunft ist nicht vorgeschrieben, ein Muster gibt es in der DSGVO nicht. Stellt die betroffene Person den Antrag elektronisch, so solltest du nach Möglichkeit auch die Auskunftsanfrage auf elektronischem Weg beantworten (Art. 12 DSGVO). Gibt die betroffene Person etwas anderes an, solltest du dich daran halten. Sofern die betroffene Person eine mündliche Auskunft will, musst du die Anfrage mündlich beantworten. In diesem Fall solltest du aber dokumentieren, wann und wie du die Auskunft erteilt hast.
9. Die Auskunft selbst
Am Ende kommt natürlich das Wichtigste: die Auskunft selbst. Die meisten Auskunftsanfragen orientieren sich an Art. 15 DGSVO. Danach hat die betroffene Person zunächst einmal ein Recht auf Auskunft darüber, ob überhaupt personenbezogene Daten verarbeitet werden. Solltest du keine Daten verarbeiten, bist du hier fertig und kannst eine Negativauskunft geben. Beachte aber dazu das oben Gesagte!
Katalog des Art. 15 DSGVO
Die meisten Auskunftsanfragen orientieren sich am Katalog des Art. 15 DSGVO. Danach musst du über folgende Punkte Auskunft erteilen:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Die Verarbeitungszwecke und Kategorien der personenbezogenen Daten kannst du aus deinem Verzeichnis der Verarbeitungstätigkeiten entnehmen. Bei den Empfängern musst du, sofern möglich, die Empfänger namentlich benennen. Die Angabe einer Kategorie ist nur in Ausnahmefällen erlaubt (EuGH, Urteil vom 22.01.2023 C-154/21). Sofern du zum Beispiel die Empfänger nicht identifizieren kannst, kannst du eine Kategorie angeben. Dasselbe gilt, wenn du nachweisen kannst, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 sind.
Es kann sein, dass die betroffene Person die Auskunftsanfrage auf andere Art formuliert und einfach nur Auskunft nach Art. 15 DSGVO wünscht. Dann solltest du dich ebenfalls am Katalog orientieren.
Verarbeitung im Drittland
Wenn du personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelst (z. B. bei Auftragsverarbeitern aus den USA), musst du auch noch Auskunft über die geeigneten Garantien gemäß Artikel 46 im Kontext der Übermittlung erteilen. Im Beispiel der USA wäre das (für die teilnehmenden Unternehmen) der Data Privacy Framework.
Umfang der Auskunft
Das Auskunftsrecht ist umfassend. Bereits 2021 entschied der BGH, dass sich die Auskunft auf nahezu alle Informationen erstreckt, die personenbezogene Daten enthalten (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19). Das können nach Auskunft des BGH auch
- die Korrespondenz mit Dritten kann,
- interne Vermerke,
- interne Kommunikation oder
- Vermerke über den Gesundheitszustand
sein, wenn darin personenbezogene Daten enthalten sind.
Rein rechtliche Bewertungen sind nach Auffassung des BGH, mit Verweis auf den EuGH (EuGH, Urteil vom 17. Juli 2014 – Rs. C-141/12 und C-372/12. Dasselbe gilt für Provisionszahlungen.
Recht auf Kopie
Betroffene Personen haben ein Recht auf Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Das bedeutet, dass du auch eine Kopie der Dokumente herausgeben musst, die die personenbezogenen Daten enthalten (EuGH, Urteil vom 03.05.2023 – C-487/21). Die Kopie muss vollständig und originalgetreu sein.
Wenn die Kopie Informationen enthält, die sich nicht auf die anfragende Person beziehen, kannst du diese unkenntlich machen. Sollten Informationen enthalten sein, die sich auf andere natürliche Personen beziehen, musst du diese ggf. sogar unkenntlich machen. Das Recht auf Kopie darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Die erste Kopie musst du kostenfrei zur Verfügung stellen. Für jede weitere Kopie darfst du ein angemessenes Entgelt verlangen.
Bei der Übermittlung solltest du auf angemessene Sicherheitsmaßnahmen achten. So solltest du etwa Kopien mit hochsensiblen Daten wie Gesundheitsdaten oder andere Daten besonderer Kategorien nach Art. 9 DSGVO nicht unverschlüsselt per E-Mail senden, denn das kann einen Verstoß gegen die DSGVO darstellen (ArbG Suhl, Urteil vom 20.12.2023 – 6 Ca 704/23)
Weiterführende Links
Das Muster zur Antwort auf die Auskunftsanfrage findest du auf unserer Download-Seite
BayLfD – aktuelle Kurz-Information 22: Identifizierung bei der Geltendmachung von Betroffenenrechten
Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Weitere Informationen