Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!b
© Leeoloo the first, Pexels
FAQ zum Auskunftsersuchen
Zuletzt aktualisiert: 16. Januar 2022
Der Auskunftsanspruch gem. Art. 15 DSGVO ist ein zentrales Betroffenenrecht, das jeder Person zur Verfügung steht. Nur, wenn Betroffene wissen, welche ihrer Daten verarbeitet werden, können sie ihre weiteren Rechte – z. B. auf Einschränkung, Berichtigung oder Löschung – in Anspruch nehmen.
Für Betroffene sind Auskunftsersuchen also ein wichtiges Instrument zur Datenautonomie. Verantwortliche stellen sie allerdings regelmäßig vor Herausforderungen. Je nach Art und Menge der Verarbeitungen kann die Beantwortung einen enormen Aufwand darstellen.
Wir beantworten die wichtigsten Fragen rund um das Thema Auskunftsersuchen und geben Praxistipps, wie die Beantwortung gelingt.
Was sagt die DSGVO?
Laut Erwägungsgrund 63 sollen Betroffene das Auskunftsrecht „problemlos und in angemessenen Abständen wahrnehmen können“. Ziel ist es, „sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“
Das Auskunftsrecht wird in Art. 15 DSGVO präzisiert. Betroffene Personen haben demnach ein Recht zu wissen, ob sie betreffende personenbezogene Daten verarbeitet werden und, falls ja, welche, von wem, wie lange etc. Verantwortliche müssen dabei folgende Informationen mitteilen:
- Verarbeitungszwecke
- Kategorien personenbezogener Daten, die verarbeitet werden
- (Kategorien von) Empfänger:innen, an die die Daten weitergegeben werden
- Geplante Dauer der Speicherung, ggf. Kriterien für die Festlegung der Dauer
- Herkunft der Daten, wenn diese bei der betroffenen Person nicht selbst erhoben wurden
- Vorliegen einer automatisierten Entscheidungsfindung einschl. Profiling
- Bestehen des Rechts auf Berichtigung und Löschung der sie betreffenden personenbezogenen Daten, oder auf Einschränkung und Widerspruch
- Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
Wenn Sie personenbezogene Daten an ein Drittland oder eine internationale Organisation übermitteln, müssen Sie die betroffene Person zudem über die geeigneten Garantien (Art. 46) im Zusammenhang mit der Übermittlung informieren. Außerdem müssen Sie eine kostenlose Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Dies darf aber nicht die Rechte und Freiheiten anderer Personen beeinträchtigen. Erfolgt ein Auskunftsersuchen elektronisch, ist auch die Auskunft in einem gängigen elektronischen Format zu erteilen.
Unterlassene oder nicht vollständige Auskunftserteilungen an betroffene Personen sind nach Art. 83 Abs. 5 lit. b DS-GVO mit einer hohen Geldbuße bedroht.
Wie ist der Ablauf eines Auskunftsersuchens?
Die Beantwortung eines Auskunftsersuchens folgt in der Regel einem bestimmten Ablauf, den Sie auch in der Dokumentation und den jeweiligen Richtlinien Ihrer Organisation festhalten sollten.
Zuerst trifft das Ersuchen ein – per E-Mail, Telefon, persönlich oder über alle anderen Kanäle, die Sie betreiben. Im zweiten Schritt wird das Ersuchen an Ihr Datenschutzteam weitergeleitet.
Tipp: Damit alle Mitarbeitenden ein Auskunftsersuchen erkennen, wissen, wie sie damit umzugehen haben und die Ansprechpersonen kennen, sollten Sie Ihre Mitarbeitenden regelmäßig sensibilisieren.
Anschließend erfolgt die Identifikationsklärung. Handelt es sich bei der anfragenden Person tatsächlich um diejenige, die sie vorgibt zu sein? Falls Sie die Identität nicht bestätigen können, sollten Sie das Ersuchen abschließen, indem Sie die Person informieren und den Vorgang dokumentieren. Bei bestätigter Identität können Sie zudem das Ersuchen spezifizieren. Sind nur bestimmte Daten/Kategorien von Daten gewünscht? Das könnte Ihnen die Arbeit und der betroffenen Person die Übersicht erleichtern.
Im nächsten Schritt erfolgt die Informationssammlung (Inhalt siehe „Was sagt die DSGVO?“). Bei der Sammlung helfen Ihnen sowohl Ihr Verzeichnis von Verarbeitungstätigkeiten als auch die jeweiligen Fachabteilungen. Wenn Sie bei der Informationssammlung feststellen, dass Sie keine Daten der Person verarbeiten, sollten Sie ihr entsprechend eine Negativauskunft erteilen.
Ein personenbezogenes Datum kann sich auch auf mehrere Personen beziehen. Prüfen Sie daher im Anschluss, ob Sie die Rechte Dritter verletzen und nehmen Sie bei Bedarf Schwärzungen vor. Haben Sie eine Rechteverletzung Dritter ausgeschlossen, können Sie die Daten der anfragenden Person zukommen lassen. Achten Sie hier unbedingt darauf, dass der Übertragungsweg datenschutzkonform ist und orientieren Sie sich an den Wünschen der Person bzw. an dem Weg, über den die Auskunft bei Ihnen angekommen ist. Zum Schluss dokumentieren Sie noch den Vorgang. Fertig!
Wie identifiziere ich eine betroffene Person?
Das Recht auf Auskunft ist ein fundamentales Recht der DSGVO. Daher sollten die Hürden auch möglichst gering sein. In den meisten Fällen reicht es daher, wenn Sie die Daten der anfragenden Person mit den Stammdaten aus Ihrem System abgleichen. Stimmen bspw. die E-Mail-Adressen, Telefonnummern etc. überein? Ggf. können Sie auch hinterlegte Sicherheitsfragen zur Identifikation nutzen.
Haben Verantwortliche berechtigte Zweifel daran, dass es sich bei den Personen, die Auskunftsersuchen stellen, tatsächlich um die Betroffenen handelt, dürfen und müssen sie zusätzliche Informationen zur Bestätigung der Identität einfordern. Die Maßnahmen sollten allerdings angemessen sein (v. a. in Bezug auf die Sensibilität und die Kategorien der verarbeiteten Daten) und keine zusätzliche Hürde darstellen.
Welche zusätzlichen Informationen das sind, hängt ganz vom Fall, den verarbeiteten Daten und dem potentiellen Risiko für die Betroffenen ab. Dafür müssen Sie jeweils abwägen, welche Informationen Sie zur Identifikation benötigen und ob dies verhältnismäßig ist.
Bei Online-Diensten bietet es sich beispielsweise an, Log-in-Daten abzufragen bzw. die angefragten Daten über diesen Weg zur Verfügung zu stellen, da so keine zusätzlichen Informationen erhoben werden müssen (Datenminimierung).
In besonderen Fällen können Sie sogar Dokumente zur Identifikation, wie Personalausweise, im Original bzw. in geschwärzter Kopie fordern. Das sollte allerdings die Ausnahme bilden und nur bei besonders sensiblen Daten eingesetzt werden.
Wenn Sie Betroffene nicht zweifelsfrei identifizieren können, dürfen Sie Auskunftsersuchen ablehnen.
Tipp: Im Zweifelsfall können Sie auch eine postalische Übermittlung der Daten mittels des sog. „Post-Identverfahrens“ durchführen. Mehr dazu hier: https://www.deutschepost.de/de/p/postident.html
Welche Fristen gelten für die Beantwortung eines Auskunftsersuchens?
Bei der Beantwortung von Auskunftsersuchen gilt grundsätzlich eine Frist von einem Monat. Ist die Beantwortung eines Ersuchens allerdings sehr umfangreich oder liegt Ihnen eine Vielzahl weiterer Ersuchen vor, können Sie in begründeten Ausnahmefällen die Frist verlängern. Möglich ist dies zweimal um je einen Monat. Darüber müssen Sie die Betroffenen allerdings in jedem Fall informieren.
Muss ich alle Auskunftsersuchen beantworten?
Grundsätzlich haben alle Betroffenen ein Recht auf Auskunft. In einigen Fällen müssen Sie Auskunftsersuchen allerdings nicht beantworten. Zum einen, wenn Sie die Identität nicht prüfen können, weil die anfragende Person Identifikationsmaßnahmen nicht zulässt oder es sich schlicht nicht um die betroffene Person handelt.
Außerdem kann es sich bei Auskunftsersuchen auch um einen Rechtsmissbrauch handeln – wie es zuletzt bei der Google Fonts Abmahnwelle häufig der Fall war. Werden beispielsweise nur finanzielle Ansprüche verfolgt oder Auskunftsersuchen quasi als Drohung eingesetzt, können Sie in der Regel von einem Rechtsmissbrauch ausgehen. Das schreibt auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit. In einer Stellungnahme heißt es, dass Auskunftsersuchen am Einwand der Rechtsmissbräuchlichkeit scheitern können, wenn es nicht um die Durchsetzung der Betroffenenrechte geht, sondern vielmehr verordnungsfremde Ziele verfolgt werden.
Zudem können Auskunftsersuchen exzessiv sein. Wann Ersuchen als exzessiv gelten, ist allerdings schwer zu beantworten. Wie so häufig lautet die Antwort im Datenschutz: Es kommt darauf an. Ob Ersuchen als exzessiv gelten, hängt stark von dem Sektor der Verantwortlichen ab. Je öfter Verantwortliche Änderungen in ihren Datenbanken vornehmen, desto öfter dürfen Betroffene Auskunftsersuchen stellen. Daher werden gehäufte Anfragen an Social-Media-Unternehmen beispielsweise als weniger exzessiv angesehen als an Tischlereien. Die angemessenen Intervalle, in denen Auskunftsersuchen gestellt werden können, unterscheiden sich teilweise also stark.
Auch die Sensibilität sollten Sie bei der Bewertung, ob Ersuchen exzessiv sind, berücksichtigen. Zusätzlich ist die Art der Verarbeitung und das damit einhergehende Risiko für die Betroffenen ein entscheidender Faktor. Überschneidet sich ein Ersuchen allerdings mit einem vorangegangenen Ersuchen und sind die angefragten Daten identisch, würde es wahrscheinlich als exzessiv gewertet werden.
Die Europäische Datenschutzausschuss (EDSA) berücksichtigt außerdem den Aufwand für Verantwortliche: Sind Ersuchen unkompliziert elektronisch zu beantworten, gelten sie i. d. R. nicht als exzessiv. Stellt die Beantwortung allerdings einen hohen Aufwand dar, weil es sich beispielsweise um eine große Zahl an Verarbeitungen handelt, werden Ersuchen eher als exzessiv gewertet. Zudem gelten Auskunftsersuchen als exzessiv, wenn Betroffene eindeutig schlechte Intentionen haben und Verantwortliche wie Beschäftigte belästigen.
Ein Leitfaden der EDSA bestätigt: Bei häufigen Anfragen dürfen Verantwortliche eine Gebühr erheben, um die administrativen Kosten zu decken. Dafür müssen sie nachweisen können, dass die Anfragen exzessiv und unbegründet sind.
Zudem gilt: Die Auskunft über die Herkunft und die Empfänger:innen kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses oder sonstigen gesetzlichen Regelwerken (wie z. B. PsychKG) gegenüber dem Informationsinteresse der Betroffenen überwiegt.
Wir unterstützen Sie!
Wenn Auskunftsersuchen bei Ihnen eingehen, ist es meist zu spät, um die benötigten Strukturen aufzubauen – zumal es Fristen einzuhalten gilt. Gestalten Sie die Prozesse daher präventiv aus, kommunizieren Sie das Verfahren in Ihrer Organisation und überprüfen Sie die Praktikabilität in einem Testlauf. Sie benötigen Unterstützung bei der Implementierung der benötigten Prozesse?
Quellen
European Data Protection Board (2022): „Guidelines 01/22 on data subject rights – Right of access Version 1.0”, 18. Januar 2022, https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf, letzter Zugriff am 03. Februar 2022.