Der Anspruch auf Auskunft in der Datenschutzgrundverordnung (DSGVO) ist kompliziert und fristgebunden. Wir sagen Ihnen wie Sie mit Auskunftsverlangen/Auskunftsersuchen umgehen müssen.
Viele Unternehmen haben schon Schreiben erhalten in denen mehr oder minder ausführlich stand:
„Löschen Sie alle meine Daten“.
Oder es wurde gefordert:
„Teilen Sie mir mit, welche Daten Sie über mich haben, löschen Sie alle Daten und bestätigen Sie mir die Datenlöschung“.
Viele Unternehmen schenken diesen Nachrichten nicht die notwendige Beachtung. Sie beantworten diese Nachrichten entweder nicht oder nur oberflächlich.
Wir sagen Ihnen warum dies sehr teuer werden kann.
Viele Unternehmen fragen sich auch:
Wie muss auf ein Auskunftsverlangen reagiert werden?
Zunächst sollten Sie in Ihrem Unternehmen eine zentrale Anlaufstelle für die Bearbeitung von Auskunftsanfragen einrichten. Hierdurch stellen Sie sicher, dass alle Anfragen aufgenommen und bearbeitet werden. Es können dann keine Auskunftsanfragen „durchrutschen“. Diese Stelle sollte in Zusammenarbeit mit dem Datenschutzbeauftragten die Auskunftswünsche gemeinsam bearbeiten. Die Mitarbeiter dieser Abteilung sollten durch entsprechende Schulungen hinsichtlich der nach der DSGVO bestehenden Betroffenenrechte sensibilisiert werden. Sie sollten insbesondere geschult werden, wie mit Auskunftsanfragen umzugehen ist.
Zu beachten ist hierbei, dass eine unterlassene, eine unvollständige, eine falsche oder eine verspätete Auskunft einen bußgeldbewehrten Datenschutzverstoß darstellt.
Wem muss Auskunft erteilt werden?
Wenn die von Ihnen geschaffene Anlaufstelle einen Antrag auf Auskunftserteilung erhalten hat, ist zunächst von Ihnen zu prüfen, ob derjenige, der die Auskunft verlangt, auch dazu berechtigt ist die gewünschte Auskunft zu erhalten. Sie müssen sicherstellen, dass die mitzuteilenden personenbezogenen Daten nicht an unbefugte Dritte übermittelt werden.
Darf eine Ausweiskopie zur Identifizierung verlangt werden?
Sie sind dazu verpflichtet, die Identität des Auskunftsersuchenden zu überprüfen. Schwierig ist jeweils zu entscheiden, welche Nachweise und Angaben Sie von einem Auskunftsersuchenden zur Identitätsfeststellung verlangen dürfen.
Bei „begründeten Zweifeln an der Identität“ dürfen Sie eine Ausweiskopie zum Zwecke der Identifizierung verlangen. Wann diese begründeten Zweifel bestehen, sollten Sie jedoch nur gemeinsam mit ihrem datenschutzrechtlichen Berater/Datenschutzbeauftragten entscheiden.
Sie müssen gemeinsam mit ihrem datenschutzrechtlichen Berater/Datenschutzbeauftragten eine Systematik erarbeiten, bei welchen Fällen, welche Art von Angaben zur Identifizierung einer Person verlangt werden.
Welche Auskünfte müssen erteilt werden?
Wenn Sie eine betroffene Person identifiziert haben und zu dem Ergebnis gelangt sind, dass ein Auskunftsanspruch besteht, müssen Sie folgende Informationen erteilen:
- Auskunft über die konkret verarbeiteten personenbezogenen Daten
- die Verarbeitungszwecke (der Datenverarbeitung)
- die Kategorien personenbezogener Daten, die verarbeitet werden
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel EWG_DSGVO Artikel 22 Absätze EWG_DSGVO Artikel 22 Absatz 1 und EWG_DSGVO Artikel 22 Absatz 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Gemäß Art. 15 III DSGVO hat der Betroffene auch noch einen Anspruch darauf, dass ihm eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt wird. Die Einzelheiten dieses Anspruchs (wann und in welchem Umfang er besteht) sind inhaltlich umstritten und Gegenstand zahlreicher Gerichtsentscheidungen. Daher sollten Sie auch diesen Anspruch mit Ihrem datenschutzrechtlichen Berater/Datenschutzbeauftragten besprechen und anschließend abgestimmt diesbezüglich reagieren.
Innerhalb welcher Frist müssen Auskünfte erteilt werden?
Wenn Sie eine Anfrage auf Auskunftserteilung erhalten, müssen Sie unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, die Auskünfte erteilen.
Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Sie müssen aber auf jeden Fall innerhalb eines Monats nach Eingang des Antrags die betroffene Person über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung, informieren.
Fazit:
Der Auskunftsanspruch im Datenschutzrecht ist kompliziert und fristgebunden.
Die wichtigste Voraussetzung für eine ordnungsgemäße Bearbeitung von Auskunftsanfragen ist zunächst, dass alle Auskunftsanfragen in Ihrem Unternehmen zentral gesammelt und bearbeitet werden.
Anschließend sollten Sie mit ihrem datenschutzrechtlichen Berater/Datenschutzbeauftragten die jeweiligen Auskunftsverlangen bearbeiten. Wir empfehlen Ihnen dringend, Auskunftsanfragen nicht ohne Beratung durch ihren datenschutzrechtlichen Berater/Datenschutzbeauftragten zu bearbeiten.
Beachten Sie hierbei auch, dass die Betroffenenrechte in der Datenschutzgrundverordnung und somit auch der Auskunftsanspruch, ein zentrales Element der Regelungen der Datenschutzgrundverordnung darstellt.
Sofern Sie Auskunftsanfragen nicht, unvollständig, falsch oder verspätet erteilen oder Auskünfte an unberechtigte Personen erteilen, drohen Ihnen Geldbußen von bis zu 20 Mio. Euro oder im Falle eines Unternehmens Geldbußen von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Nehmen Sie daher den Satz „Löschen Sie alle meine Daten“ ernst.
Für Fragen und Hilfestellungen im Datenschutzrecht stehen wir Ihnen gerne zur Verfügung.
GoldbergUllrich Rechtsanwälte 2020
Rechtsanwalt Michael Ullrich, LL.M. (Informationsrecht)
Fachanwalt für informationstechnologierecht
