© Anete Lusina, Pexels

Bis wann, wie und in welcher Reihenfolge? – FAQ zu Auskunftsersuchen

Auf Ihrem (digitalen) Schreibtisch liegt ein Auskunftsersuchen. Wie war das nochmal? Bis wann muss es beantwortet sein? Wie können Sie sichergehen, dass es sich tatsächlich um die Betroffenen handelt? Und was machen Sie jetzt am besten in welcher Reihenfolge?

Das Auskunftsrecht (Art. 15 DSGVO) ist ein zentrales Betroffenenrecht. Gerade für Organisationen, die nicht regelmäßig mit Betroffenenanfragen konfrontiert sind, kann die vollständige Beantwortung von Auskunftsersuchen allerdings schnell zur Herausforderung werden. Werden derartige Ersuche nicht entsprechend und fristgerecht bearbeitet, können die Folgen von Beschwerden bei den Aufsichtsbehörden bis hin zu Klagen reichen.

Wie also funktioniert die Bearbeitung von Auskunftsersuchen? Wir haben die wichtigsten Fragen rund um Fristen, Authentifizierungsverfahren, den idealen Ablauf und Möglichkeiten zur Vorbereitung für Sie beantwortet.  

Welche Frist gilt?

Für die Beantwortung von Auskunftsersuchen haben Sie regulär eine Frist von einem Monat. Dieser beginnt bei Eingang. Je nach Komplexität und Menge der Daten sollten Verantwortliche sofort handeln, um die Frist einhalten zu können.

Ist absehbar, dass Sie Auskunftsersuchen nicht innerhalb des Monats bearbeiten können, müssen Sie die Betroffenen informieren und eine Begründung vorlegen. Dann können Sie die Frist um maximal zwei Monate verlängern. Mögliche Gründe können eine hohe Anzahl von eingegangen Betroffenenanfragen oder die hohe Komplexität des spezifischen Auskunftsersuchens sein. 

Wie funktioniert die Authentifizierung?

Sie sind verpflichtet, die Wahrnehmung der Betroffenenrechte so einfach wie möglich zu gestalten. Gleichzeitig müssen Sie aber auch sicherstellen, dass wirklich die jeweiligen Betroffenen das Auskunftsersuchen gestellt haben. Verschicken Sie Daten an die falsche Person, handelt es sich um einen ggf. meldepflichtigen Vorfall mit zum Teil erheblichen Konsequenzen für die Betroffenen – je nachdem, um welche Daten es sich handelt und wie sensibel diese sind.

In diesem Minenfeld ist es nicht immer einfach, die geeignete Authentifizierung zu finden. Die gute Nachricht zuerst: Sie müssen und dürfen nicht bei jedem Auskunftsersuchen routinemäßig eine Authentifizierung verlangen. Das ist nur nötig und vorgeschrieben, wenn berechtigte Zweifel an der Identität der anfragenden Person bestehen. Das kann z. B. der Fall sein, wenn sich Betroffene auf einmal von einer unbekannten Post- oder E-Mail-Adresse an Sie wenden. Dann müssen Sie ein Authentifizierungsverfahren einleiten.

Dafür haben Sie verschiedene Optionen: 

  • Abfrage zusätzlicher Informationen: z. B. Adresse oder Geburtsdatum (per Telefon)
  • Übermittlung eines Ausweisdokuments: z. B. geschwärzte Kopie des Personalausweises
  • Identifizierung über eIDAS Dienste: z. B. Online-Ausweisfunktion des elektronischen Personalausweises, De-Mail
  • Post-/Video-Ident-Identifizierung: per Dienstleister oder durch die Verantwortlichen selbst
  • Identifizierung über Nutzerkonto: idealerweise mit Zwei-Faktor-Authentisierung

Insgesamt bieten die verschiedenen Authentifizierungsverfahren auch unterschiedliche Sicherheitsniveaus. Welches Verfahren angemessen ist, hängt ganz von den jeweiligen Risiken für die Betroffenen ab. In Ihre Risikoeinschätzung sollte beispielsweise die Sensibilität der Daten einfließen und welche Konsequenzen Betroffene bei Verlust oder unrechtmäßiger Offenlegung der Daten zu befürchten hätten. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte auch das Verfahren sein.

Achtung: Verlangen Sie eine Kopie des Personalausweises, unterliegen Sie dem Personalausweisgesetz und müssen darauf hinweisen, dass Betroffene nicht benötigte Daten schwärzen dürfen. Für die Authentifizierung werden nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer des Ausweises benötigt. Außerdem müssen Sie den Betroffenen einen sicheren Übertragungsweg anbieten – einfache E-Mails bieten kein angemessenes Schutzniveau. Außerdem unterliegen diese Daten einer strengen Zweckbindung. Nach erfolgreicher Identitätsprüfung sollten Sie das Ergebnis dokumentieren und die Daten angemessen vernichten. 

Was ist der optimale Ablauf bei der Bearbeitung von Auskunftsersuchen?

Geht ein Auskunftsersuchen in Ihrer Organisation ein, gibt es bestimmte Schritte, die bei der Bearbeitung typischerweise durchlaufen werden. Wie genau diese Schritte aussehen, hängt natürlich immer vom Einzelfall ab. Klassischerweise strukturiert sich der Ablauf aber in die folgenden fünf Punkte:

1. Eingang des Auskunftsersuchens

Ein Auskunftsersuchen geht in Ihrer Organisation ein – das kann postalisch, telefonisch, per E-Mail oder über die Homepage sein. Der erste Schritt ist, sicherzustellen, dass das Ersuchen auch bei den verantwortlichen Mitarbeitenden bzw. im Datenschutzteam landet. Die Mitarbeitenden, bei denen Auskunftsersuchen eingehen, sollten diese entsprechend weiterleiten. Aus Höflichkeit und Transparenz können Sie den Betroffenen zudem eine Eingangsbestätigung schicken; das ist allerdings keine Pflicht.

2. Identitätsprüfung

Im nächsten Schritt überprüfen Sie, ob es sich bei den anfragenden Personen auch tatsächlich um die Betroffenen handelt. Dafür vergleichen Sie – je nachdem, über welchen Weg das Ersuchen eingegangen ist – die Post- oder E-Mail-Adressen mit den im CRM hinterlegten Stammdaten. Stimmen diese nicht überein und sollten Sie Zweifel an der Identität der Anfragenden haben, leiten Sie ein Authentifizierungsverfahren auf Basis der zu erwartenden Risiken ein (s. o.).

3. Bearbeitung

Bevor Sie die Daten der Betroffenen zusammensuchen, kann es sich anbieten, diese um eine Präzisierung ihres Ersuchens zu bitten. Sind nur bestimmte Informationen oder Zeiträume relevant? So können Sie konkret auf die Wünsche der Betroffenen eingehen und sparen sich potentiell, unnötig viele Daten mühsam zusammenzusuchen.

Für eine erfolgreiche Bearbeitung des Auskunftsersuchens ist es unerlässlich, zunächst mit den verschiedenen Fachbereichen zu kommunizieren und ins CRM zu schauen, um herauszufinden, wo überall Daten der Betroffenen verarbeitet werden. Wenn Sie im nächsten Schritt in Ihr Verzeichnis der Verarbeitungstätigkeiten (VVT) schauen, können Sie sich direkt auf die betroffenen Bereiche konzentrieren. Hieraus sollten Sie Verarbeitungszwecke, Kategorien von Daten, Empfänger:innen, falls möglich Speicherdauer, Herkunft der Daten und mögliches Profiling etc. ablesen können. All diese Daten müssen Sie den Betroffenen zur Verfügung stellen. So können Sie alle benötigen Informationen zusammentragen.

4. Beantwortung

Wenn Sie alle Informationen und ggf. Kopien der Daten gesammelt haben, senden Sie diese den Betroffenen zu. Dabei müssen Sie auf einen angemessenen Übertragungsweg achten, der ein ausreichendes Sicherheitsniveau je nach Sensibilität der zu übertragenden Daten bietet. Außerdem sollte die Beantwortung auf dem gleichen Wege erfolgen wie das Ersuchen bei Ihnen eingegangen ist. Beachten Sie zudem die Frist und dass die Beantwortung in einfacher Sprache erfolgen sollte.

5. Abschluss des Verfahrens

Mit der Beantwortung des Auskunftsersuchens sind Sie noch nicht ganz fertig. Sie sollten zum Abschluss den Vorgang genau dokumentieren und zudem die Speicherfrist festlegen. Dann können Sie das Verfahren schließen. 

Wie kann ich mich auf Auskunftsersuchen vorbereiten?

Damit Sie nicht von Auskunftsersuchen überrascht werden, können Sie bereits im Vorfeld Ihre Hausaufgaben erledigen und sich einen umfassenden Plan zurechtlegen. Wie ist der genaue Ablauf? Wer ist verantwortlich? Welches Authentifizierungsverfahren ist bei welcher Kategorie von Daten zu wählen? All diese Fragen sollten Sie in einer Datenschutzorganisation inklusive festgelegter Rollen beantworten.

Außerdem sollten Sie – wie gesetzlich vorgeschrieben, wenn Datenschutzbeauftragte bestellt sind – eine spezifische Datenschutz-E-Mail-Adresse einrichten und die Datenschutzinformationen leicht zugänglich machen. So wissen Betroffene, an wen sie sich wenden und wie sie ihre Betroffenenrecht wahrnehmen können.

Nur Mitarbeitende, die wissen, wie Auskunftsersuchen aussehen und wie Betroffenenrechte funktionieren, können angemessen mit diesen umgehen. Sonst passiert es schnell, dass Ersuchen in irgendwelchen Postfächern verschwinden, während die Frist verstreicht. Daher sollten Mitarbeitende in regelmäßigen Abständen für den Datenschutz sensibilisiert werden – inklusive des Umgangs mit Betroffenenanfragen. Außerdem sollten Sie Ihre Datenschutzorganisation kommunizieren und Mitarbeitende über den konkreten Ablauf informieren.

Abschließend hilft ein ordentlich geführtes VVT enorm bei der schnellen Bearbeitung von Auskunftsersuchen. Halten Sie das Verzeichnis daher stets aktuell und vermeiden Sie so hohen Aufwand, wenn die Frist schon drängt.

Sie haben Betroffenenanfragen erhalten und sind unsicher, wie Sie damit umgehen sollten? Sie möchten eine umfassende Datenschutzorganisation aufbauen und benötigen Unterstützung? 

Sprechen Sie uns an!
Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Und Sie sind konstant auf dem Laufenden!

Newsletter Anmeldung

Quellen

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (2019): „Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DSGVO“, 6. Februar 2019, https://www.baden-wuerttemberg.datenschutz.de/identitaetspruefung-bei-elektronischen-auskunftsersuchen-nach-art-15-ds-gvo/, letzter Zugriff am 08. November 2021.

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies