a

b

© Leeoloo the first, Pexels

FAQ zum Auskunftsersuchen

Zuletzt aktualisiert: 16. Januar 2022

Der Auskunftsanspruch gem. Art. 15 DSGVO ist ein zentrales Betroffenenrecht, das jede Person wahrnehmen kann. Nur, wenn Betroffene wissen, welche ihrer Daten verarbeitet werden, können sie ihre weiteren Rechte – z. B. auf Einschränkung, Berichtigung oder Löschung – in Anspruch nehmen.

Für Betroffene sind Auskunftsersuchen also ein wichtiges Instrument zur Datenautonomie. Verantwortliche stellen sie allerdings regelmäßig vor Herausforderungen. Je nach Art und Menge der Verarbeitungen kann die Beantwortung einen enormen Aufwand darstellen.

Wir beantworten die wichtigsten Fragen rund um das Thema Auskunftsersuchen und geben Praxistipps, wie die Beantwortung gelingt. 

Was sagt die DSGVO?

Laut Erwägungsgrund 63 sollen Betroffene das Auskunftsrecht „problemlos und in angemessenen Abständen wahrnehmen können“. Ziel ist es, „sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“

Das Auskunftsrecht wird in Art. 15 DSGVO präzisiert. Betroffene Personen haben demnach ein Recht zu wissen, ob sie betreffende personenbezogene Daten verarbeitet werden und, falls ja, welche, von wem, wie lange etc. Verantwortliche müssen dabei folgende Informationen mitteilen: 

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • (Kategorien von) Empfänger:innen, an die die Daten weitergegeben werden
  • Geplante Dauer der Speicherung, ggf. Kriterien für die Festlegung der Dauer
  • Herkunft der Daten, wenn diese bei der betroffenen Person nicht selbst erhoben wurden
  • Vorliegen einer automatisierten Entscheidungsfindung einschl. Profiling
  • Bestehen des Rechts auf Berichtigung und Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung und Widerspruch
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde   

Wenn Sie personenbezogene Daten an ein Drittland oder eine internationale Organisation übermitteln, müssen Sie die betroffene Person zudem über die geeigneten Garantien (Art. 46 DSGVO) im Zusammenhang mit der Übermittlung informieren. Außerdem müssen Sie eine kostenlose Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Dies darf aber nicht die Rechte und Freiheiten anderer Personen beeinträchtigen. Erfolgt ein Auskunftsersuchen elektronisch, ist auch die Auskunft in einem gängigen elektronischen Format – auf einem sicheren Weg – zu erteilen.

Unterlassene oder nicht vollständige Auskunftserteilungen an betroffene Personen sind nach Art. 83 Abs. 5 lit. b DSGVO mit einer hohen Geldbuße bedroht. 

Wer ist für die Beantwortung von Auskunftsersuchen zuständig?

Wer konkret für die Beantwortung von Auskunftsersuchen zuständig ist, hängt von der jeweiligen Organisation und ihrem Aufbau ab. Grundsätzlich gilt allerdings, dass Auskunftsersuchen an das Datenschutz-Team, also – wenn vorhanden – den/die Datenschutzbeauftragte:n oder die Datenschutzkoordination, weitergeleitet werden. Und das unverzüglich, da die vorgegebenen Fristen gewahrt werden müssen.

Unserer Erfahrung nach landen Auskunftsersuchen häufig bei der Rechtsberatung. Gibt es kein Datenschutz-Team, kann das durchaus sinnvoll sein. Oft genug gibt es aber ein Datenschutz-Team und Auskunftsersuchen landen trotzdem bei der Rechtsberatung. Das Problem daran: Häufig sind Rechtsberatungen so ausgelastet, dass Auskunftsersuchen nicht als eilig angesehen werden – nicht zuletzt, weil die Fristen zur Beantwortung nicht bekannt sind oder fälschlich als verlängerbar angesehen werden.

Das führt regelmäßig dazu, dass die Anfragen zu lange liegen gelassen werden und Fristen nur unter großem Druck sowie mit viel Aufwand eingehalten werden können. Das Datenschutz-Team wird meist erst dann zusätzlich eingeschaltet, wenn es quasi schon zu spät ist und die Zeit nicht mehr ausreicht, um die teils sehr umfangreichen Anfragen zu beantworten. Halten Sie jedoch die vorgegebenen Fristen nicht ein und informieren Sie die Betroffenen nicht entsprechend, können sich die Betroffenen bei der zuständigen Aufsichtsbehörde beschweren. Dann drohen Bußgelder.

Daher sollten Sie für Ihre Organisation genau festlegen, wer für die Beantwortung von Auskunftsersuchen zuständig und wann zu informieren ist, um die Fristen zu wahren.  

Wie ist der Ablauf eines Auskunftsersuchens?

Die Beantwortung eines Auskunftsersuchens folgt in der Regel einem bestimmten Ablauf, den Sie auch in der Dokumentation und den jeweiligen Richtlinien Ihrer Organisation festhalten sollten.

Zuerst trifft das Ersuchen ein – per E-Mail, Telefon, persönlich oder über alle anderen Kanäle, die Sie betreiben. Im zweiten Schritt wird das Ersuchen an Ihr Datenschutzteam weitergeleitet.

Tipp: Damit alle Mitarbeitenden ein Auskunftsersuchen erkennen, wissen, wie sie damit umzugehen haben und die Ansprechpersonen kennen, sollten Sie Ihre Mitarbeitenden regelmäßig sensibilisieren.

Anschließend erfolgt die Identifikationsklärung. Handelt es sich bei der anfragenden Person tatsächlich um diejenige, die sie vorgibt zu sein? Falls Sie die Identität nicht zweifelsfrei klären können, sollten Sie das Ersuchen abschließen, indem Sie die Person informieren und den Vorgang dokumentieren. Bei bestätigter Identität können Sie zudem darum bitten, das Ersuchen zu spezifizieren. Sind nur bestimmte Daten/Kategorien von Daten gewünscht? Das könnte Ihnen die Arbeit und der betroffenen Person die Übersicht erleichtern.

Im nächsten Schritt erfolgt die Informationssammlung (Inhalt siehe „Was sagt die DSGVO?“). Bei der Sammlung helfen Ihnen sowohl Ihr Verzeichnis von Verarbeitungstätigkeiten als auch die jeweiligen Fachabteilungen. Wenn Sie bei der Informationssammlung feststellen, dass Sie keine Daten der Person verarbeiten, sollten Sie ihr entsprechend eine Negativauskunft erteilen.

Ein personenbezogenes Datum kann sich auch auf mehrere Personen beziehen. Prüfen Sie daher im Anschluss, ob Sie die Rechte Dritter verletzen und nehmen Sie bei Bedarf Schwärzungen vor. Haben Sie eine Rechteverletzung Dritter ausgeschlossen, können Sie die Daten der anfragenden Person zukommen lassen. Achten Sie hier unbedingt darauf, dass der Übertragungsweg datenschutzkonform ist und orientieren Sie sich an den Wünschen der Person bzw. an dem Weg, über den die Auskunft bei Ihnen angekommen ist. Zum Schluss dokumentieren Sie noch den Vorgang. Fertig! 

Wie identifiziere ich eine betroffene Person?

Das Recht auf Auskunft ist ein fundamentales Recht der DSGVO. Daher sollten die Hürden dafür auch möglichst gering sein. In den meisten Fällen reicht es daher, wenn Sie die Daten der anfragenden Person mit den Stammdaten aus Ihrem System abgleichen. Stimmen bspw. die E-Mail-Adressen, Telefonnummern etc. überein? Ggf. können Sie auch hinterlegte Sicherheitsfragen zur Identifikation nutzen.

Haben Verantwortliche berechtigte Zweifel daran, dass es sich bei den Personen, die Auskunftsersuchen stellen, tatsächlich um die Betroffenen handelt, dürfen und müssen sie zusätzliche Informationen zur Bestätigung der Identität einfordern. Die Maßnahmen sollten allerdings angemessen sein (v. a. in Bezug auf die Sensibilität und die Kategorien der verarbeiteten Daten) und keine zusätzliche Hürde darstellen.

Welche zusätzlichen Informationen das sind, hängt ganz vom Fall, den verarbeiteten Daten und dem potentiellen Risiko für die Betroffenen ab. Dafür müssen Sie jeweils abwägen, welche Informationen Sie zur Identifikation benötigen und ob dies verhältnismäßig ist.
Bei Online-Diensten bietet es sich beispielsweise an, Log-in-Daten abzufragen bzw. die angefragten Daten über diesen Weg zur Verfügung zu stellen, da so keine zusätzlichen Informationen erhoben werden müssen (Datenminimierung).

In besonderen Fällen können Sie sogar Dokumente zur Identifikation, wie Personalausweise, im Original bzw. in geschwärzter Kopie fordern. Das sollte allerdings die Ausnahme bilden und nur bei besonders sensiblen Daten eingesetzt werden.

Wenn Sie Betroffene nicht zweifelsfrei identifizieren können, dürfen Sie Auskunftsersuchen ablehnen.

Tipp: Im Zweifelsfall können Sie auch eine postalische Übermittlung der Daten mittels des sog. „Post-Identverfahrens“ durchführen. Mehr dazu hier: https://www.deutschepost.de/de/p/postident.html 

Welche Fristen gelten für die Beantwortung eines Auskunftsersuchens?

Bei der Beantwortung von Auskunftsersuchen gilt grundsätzlich eine Frist von einem Monat. Ist die Beantwortung eines Ersuchens allerdings sehr umfangreich oder liegt Ihnen eine Vielzahl weiterer Ersuchen vor, können Sie in begründeten Ausnahmefällen die Frist verlängern. Möglich ist dies um weitere zwei Monate. Darüber müssen Sie die Betroffenen allerdings in jedem Fall informieren.

Muss ich alle Auskunftsersuchen beantworten?

Grundsätzlich haben alle Betroffenen ein Recht auf Auskunft. In einigen Fällen müssen Sie Auskunftsersuchen allerdings nicht beantworten. Zum einen, wenn Sie die Identität nicht prüfen können, weil die anfragende Person Identifikationsmaßnahmen nicht zulässt oder es sich schlicht nicht um die betroffene Person handelt.

Außerdem kann es sich bei Auskunftsersuchen auch um einen Rechtsmissbrauch handeln – wie es zuletzt bei der Google Fonts Abmahnwelle häufig der Fall war. Werden beispielsweise nur finanzielle Ansprüche verfolgt oder Auskunftsersuchen quasi als Drohung eingesetzt, können Sie in der Regel von einem Rechtsmissbrauch ausgehen. Das schreibt auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit. In einer Stellungnahme heißt es, dass Auskunftsersuchen am Einwand der Rechtsmissbräuchlichkeit scheitern können, wenn es nicht um die Durchsetzung der Betroffenenrechte geht, sondern vielmehr verordnungsfremde Ziele verfolgt werden.

Zudem können Auskunftsersuchen exzessiv sein. Wann Ersuchen als exzessiv gelten, ist allerdings schwer zu beantworten. Wie so häufig lautet die Antwort im Datenschutz: Es kommt darauf an. Ob Ersuchen als exzessiv gelten, hängt stark von dem Sektor der Verantwortlichen ab. Je öfter Verantwortliche Änderungen in ihren Datenbanken vornehmen, desto öfter dürfen Betroffene Auskunftsersuchen stellen. Daher werden gehäufte Anfragen an Social-Media-Unternehmen beispielsweise als weniger exzessiv angesehen als an Tischlereien. Die angemessenen Intervalle, in denen Auskunftsersuchen gestellt werden können, unterscheiden sich teilweise also stark.

Auch die Sensibilität der Daten sollten Sie bei der Bewertung, ob Ersuchen exzessiv sind, berücksichtigen. Zusätzlich ist die Art der Verarbeitung und das damit einhergehende Risiko für die Betroffenen ein entscheidender Faktor. Überschneidet sich ein Ersuchen allerdings mit einem vorangegangenen Ersuchen und sind die angefragten Daten identisch, würde es wahrscheinlich als exzessiv gewertet werden.

Die Europäische Datenschutzausschuss (EDSA) berücksichtigt außerdem den Aufwand für Verantwortliche: Sind Ersuchen unkompliziert elektronisch zu beantworten, gelten sie i. d. R. nicht als exzessiv. Stellt die Beantwortung allerdings einen hohen Aufwand dar, weil es sich beispielsweise um eine große Zahl an Verarbeitungen handelt, werden Ersuchen eher als exzessiv gewertet. Zudem gelten Auskunftsersuchen als exzessiv, wenn Betroffene eindeutig verfahrensfremde Intentionen haben und Verantwortliche wie Beschäftigte belästigen.

Ein Leitfaden der EDSA bestätigt: Bei häufigen Anfragen dürfen Verantwortliche eine Gebühr erheben, um die administrativen Kosten zu decken. Dafür müssen sie nachweisen können, dass die Anfragen exzessiv und unbegründet sind.

Wir unterstützen Sie!

Wenn Auskunftsersuchen bei Ihnen eingehen, ist es meist zu spät, um die benötigten Strukturen aufzubauen – zumal es Fristen einzuhalten gilt. Gestalten Sie die Prozesse daher präventiv aus, kommunizieren Sie das Verfahren in Ihrer Organisation und überprüfen Sie die Praktikabilität in einem Testlauf. Sie benötigen Unterstützung bei der Implementierung der benötigten Prozesse?

Sprechen Sie uns an!
Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Newsletter Anmeldung

Quellen

European Data Protection Board (2023): „Leitlinien 01/2022 zu den Rechten der betroffenen Person – Auskunftsrecht“, 28. März 2023, https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_de.pdf, letzter Zugriff am 18. November 2024.

Hessische Beauftragte für Datenschutz und Informationsfreiheit (2022): „Hinweis: ‚Google Fonts‘-Abmahnungen“, 01. November 2022, https://datenschutz.hessen.de/datenschutz/internet-und-medien/google-fonts-abmahnungen, letzter Zugriff am 18. November 2024. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies