Worum geht's?
Das Recht auf Auskunft ist im Datenschutz eines der wichtigsten Betroffenenrechte. Flattert bei Ihnen im Unternehmen das erste Auskunftsersuchen ein, stellt Sie das erstmal vor eine neue Herausforderung. Was müssen Sie jetzt beachten? Erstmal kurz zum Allgemeinen: Die Datenschutz-Grundverordnung, kurz DSGVO, beinhaltet verschiedene Betroffenenrechte, die laut Rechtsprechung seit dem 25. Mai 2018 anwendbar sind. Dabei geht es im Wesentlichen darum, welche privaten Daten von Betroffenen in Ihrem Unternehmen gespeichert werden und wofür diese genutzt werden.
Ein wichtiger Bestandteil der Datenschutzgrundverordnung ist der Art. 15 DSGVO. Dieser beinhaltet das Auskunftsrecht der betroffenen Person über ihre personenbezogenen Daten. Aber was genau bedeutet die Auskunft für Sie als Unternehmen?
Besteht eine Auskunftspflicht? Wann hat eine Person laut Datenschutzgrundverordnung ein Recht auf Auskunft? Und wie gestaltet sich eine Auskunftsanfrage? Welche Kosten entstehen dabei für den Antragsteller? Dies und mehr lesen Sie in diesem Artikel.
1. Was ist das Auskunftsrecht?
Das Auskunftsrecht, verankert in Art. 15 DSGVO, ermöglicht Betroffenen, Auskunft über ihre gespeicherten personenbezogenen Daten zu verlangen. Dies schließt Stammdaten, Kommunikationsdetails und interne Vermerke ein. Unternehmen sind zur Bereitstellung vollständiger Dokumentenkopien verpflichtet.
Das bedeutet, dass Sie als Unternehmen der betroffenen Person Einblick darüber geben müssen, welche Daten und Informationen über ihn bei Ihnen gespeichert sind. Sie stehen in der Informationspflicht. Sofern sich der Inhalt und der Sinn der Information erst aus dem Kontext einer Korrespondenz ergibt, müssen Sie dem Antragsteller laut Auskunftsrecht die vollständigen Dokumente der Datenverarbeitung als Kopie herausgeben.
2. Wie teuer ist die Auskunftsanfrage?
Grundsätzlich ist die Auskunft über personenbezogene Daten kostenlos. Laut Art. 15 DSGVO gilt dies allerdings nur für die erste Kopie der Auskunftserteilung der betroffenen Person. Bei unbegründeten oder sich häufig wiederholenden Anfragen dürfen Sie als Unternehmen entweder ein Entgelt verlangen oder die Auskunft verweigern (Art. 12 Abs. 5 DSGVO).
3. Datenschutz: Auskunft ist nicht grenzenlos möglich
Trotz Auskunftsrecht muss der Datenschutz gewahrt werden. Hier gilt für Sie, dass Sie nur Auskunft über die Daten erteilen müssen, wenn die Rechte und Freiheiten anderer Personen beachtet werden.
Datenschutz Dritter muss gewahrt werden
Trotz Recht auf Auskunft gilt es, den Datenschutz dritter Personen zu wahren. Auch Betriebs- und Geschäftsgeheimnisse Ihres Unternehmens bleiben damit sicher. Im besten Fall schwärzen Sie entsprechende Passagen, die laut Datenschutz geschützt werden müssen. Eine vollständige Verweigerung der Auskunft ist nämlich laut Artikel 15 DSGVO nicht möglich.
Zum Schutz der öffentlichen Sicherheit sind aber weitere Einschränkungen des Auskunftsrechts möglich. Diese regelt z. B. das Bundesdatenschutzgesetz (BDSG), die Abgabenordnung oder das Sozialgesetzbuch (SGB) X.
Unternehmen versuchen oft, den Aufwand der Auskunft als unverhältnismäßig einzustufen. Grundsätzlich geht es bei der Unverhältnismäßigkeit aber nicht nur um den Aufwand. Daten, die ggf. nicht beauskunftet werden müssen, können zwar ausschließlich gespeicherte Daten sein, allein wegen des Umfangs kann allerdings nicht von einem zu hohen Aufwand ausgegangen werden.
Gerade für personenbezogene Daten, die in einem hohen Umfang gespeichert werden, kann ein Auskunftsrecht umso mehr gegeben sein. Dementsprechend wird der unverhältnismäßige Aufwand in den seltensten Fällen als Argument für eine nicht erteilte Auskunft gesehen.
Sachfremder Grund beim Auskunftsbegehren
Auch wenn der Auskunftssuchende einen sachfremden Grund für die Auskunft nennt, kann dies rechtsmissbräuchlich sein. Die Folge: Sie dürfen als Unternehmer die Auskunft verweigern – und zwar gemäß Art. 12 Absatz 5 Satz 2 Buchstabe b). Ein sachfremder Grund gehört nämlich zu den exzessiven Anträgen.
Beispiel: Ein Kunde verlangt von seiner Versicherungsgesellschaft - bei der er privat krankenversichert war - Auskunft nach Art. 15 DSGVO. Das tut er nur, um zu überprüfen, ob die erfolgten Prämienanpassungen rechtmäßig erfolgt sind (LG Düsseldorf, Urt. v. 13.02.2023 - Az.: 9 O 46/22).
In unserem Beispiel möchte der Kunde im Wesentlichen seine möglichen Ansprüche gegen die Versicherungsgesellschaft prüfen. Es geht ihm gerade nicht darum, Auskunft darüber zu erlangen, wie seine personenbezogenen Daten von dem Unternehmen gespeichert und verarbeitet werden. Genau dazu dient das Auskunftsrecht gemäß Art. 15 DSGVO aber. Deshalb ist der Antrag rechtsmissbräuchlich und das Unternehmen hat ein Weigerungsrecht.
Aufgepasst:
Ob ein sachfremder Grund vorliegt und ein Weigerungsrecht für den Unternehmer besteht ist immer eine Frage des Einzelfalls.
Sollte kein sachfremder Grund bestehen und Sie als Unternehmer verweigern die Auskunft, kann dies eine Verletzung des Auskunftsrechts darstellen und hohe Bußgelder nach sich ziehen.
Praxis-Tipp:
Liegt Ihnen als Unternehmer ein Auskunftsersuchen vor, bei dem Sie vermuten, dass es auf sachfremden Gründen beruht, holen Sie zunächst anwaltlichen Rat ein. Sollten Sie nämlich ungerechtfertigt eine Auskunft nicht erteilen, kann das schwere Folgen haben. Unsere Kanzlei Siebert Lexow hilft Ihnen gern weiter.
4. Was muss eine Auskunft nach Art. 15 DSGVO enthalten?
Ein allgemeingültiges Formular für die Auskunftserteilung der Daten existiert laut Datenschutzgrundverordnung nicht. Sie können das Schreiben als Unternehmen selbst gestalten. Die Betroffenenrechte setzen voraus, dass die Auskunft folgendermaßen gestaltet sein muss:
Der Inhalt der Datenauskunft gemäß DSGVO ist klar geregelt. Die folgenden Informationen müssen Sie in der Auskunftserteilung für die betroffene Person gemäß DSGVO-Auskunftsrecht bereitstellen:
- Verarbeitungszwecke
- Welche Daten werden verarbeitet?
- Empfänger und künftige Empfänger der personenbezogenen Daten
- Geplante Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
- Rechte auf Berichtigung, Einschränkung oder Löschung der Verarbeitung
- Widerspruchsrecht gegen die Verarbeitung
- Beschwerderecht des Antragstellers bei der Aufsichtsbehörde
- Herkunft der Daten, wenn nicht bei Ihnen erhoben
- Daten, die über einen Dienst oder ein Gerät erhoben werden, z. B. Suchaktivitäten oder Standortdaten
Negativauskunft Muster
Wenn Sie keine personenbezogenen Daten der betroffenen Person verarbeiten, können Sie diese in einer sogenannten Negativauskunft darüber informieren. Als Beispiel dafür haben wir ein kleines Muster für Sie:
Sehr geehrte Frau Mustermann,
personenbezogene Daten zu Ihnen haben wir nicht gespeichert. Ausgenommen sind Ihre Daten, die Sie uns mit Ihrem Auskunftsersuchen mitgeteilt haben.
Hinweise zu unserem Datenschutz finden Sie unter www.beispielunternehmen.de/datenschutz.
Mit freundlichen Grüßen
Beispielunternehmen
Laut Art. 5 Abs. 2 DSGVO besteht eine Rechenschaftspflicht:
Wichtig: Vergessen Sie nicht, die Auskunft intern zu dokumentieren. Diese Pflicht ergibt sich im Übrigen auch für Negativauskünfte.
5. Wie darf eine betroffene Person ihr Auskunftsrecht wahrnehmen?
Als Auskunftsersuchen laut DSGVO genügt bereits ein formloser Antrag ohne Begründung des Auskunftsanspruchs der betroffenen Person. Da Sie als Unternehmen sicherstellen müssen, dass unbefugte Dritte nicht an die Daten anderer Personen gelangen, sollten Sie den Antragsteller in jedem Fall eindeutig identifizieren können.
Gibt es Zweifel an der Identität der betroffenen Person, können Sie laut Art. 12 Abs. 6 Datenschutzgrundverordnung in Einzelfällen auch eine Kopie des Personalausweises verlangen. Zur Identifizierung genügen allerdings Name, Anschrift, Geburtsdatum und Gültigkeitsdauer. Alles andere kann von der betroffenen Person geschwärzt werden. Eine Speicherung der Ausweiskopie ist nicht erlaubt.
Wichtig: Bei der Weitergabe der personenbezogenen Daten ist Vorsicht geboten. Per Telefon ist es schwierig, die Identität der betroffenen Person zweifelsfrei festzustellen. Eine sichere Übermittlung der Auskunft gemäß Artikel 15 DSGVO sollten Sie daher lieber schriftlich oder per verschlüsselter E-Mail vornehmen.
6. Wann muss laut Art. 15 DSGVO die Auskunft über personenbezogene Daten erfolgen?
Verlangt eine betroffene Person gemäß Artikel 15 DSGVO Auskunft über seine personenbezogenen Daten, müssen Sie diese unverzüglich zur Verfügung stellen. Laut Art. 12 Abs. 3 DSGVO beträgt die Frist einen Monat nach Antragstellung.
In komplexen Fällen können Sie die Frist für die Auskunftserteilung auf zwei Monate verlängern. Sollte eine Verlängerung nötig sein, schreibt das Auskunftsrecht vor, dass Sie die betroffene Person innerhalb des ersten Monats der Bearbeitung ihrer Auskunft darüber informieren müssen.
7. Muster für eine Datenauskunft nach DSGVO
Im Folgenden finden Sie ein Muster für eine Datenauskunft nach Art. 15 DSGVO. Dieses können Sie kostenlos downloaden, anpassen und für Ihr Unternehmen verwenden.
Jetzt Muster herunterladen
8. Gesetzestext des Art. 15 DSGVO
- Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
- Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
- Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
- Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Zur Übersicht aller Artikel des DSGVO Gesetzestextes
Mehr Details zur Datenschutzgrundverordnung - DSGVO
- Zurück zur Übersicht: "Datenschutz"
- Recht auf Berichtigung und Löschung
- Recht auf Datenübertragbarkeit
Alles, was Sie wissen müssen
Report absenden