Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten?

§ 34 BDSG

Die fortschreitende technische Entwicklung führt zu steigenden Gefahren des Datenmissbrauchs. Es fallen immer mehr Daten an, die nahezu unbegrenzt gespeichert, verknüpft und ausgewertet werden können. Um dem Missbrauch von personenbezogenen Daten vorzubeugen, sowie Betroffene über die Erhebung und Verwendung der Daten zu informieren, werden Betroffenen besondere Rechte, wie das Recht auf Information bei erstmaliger Erhebung bzw. Speicherung (§ 33 Bundesdatenschutzgesetz, kurz BDSG), das Recht auf Auskunft (§ 34 BDSG), sowie das Recht auf Berichtigung, Sperrung und Löschung der Daten (§35 BDSG), zugesprochen.

Das Recht auf Information hat den Zweck, dass personenbezogene Daten nicht ohne Kenntnis der Betroffenen erhoben bzw. verarbeitet werden dürfen, da insbesondere bei einer Erhebung und Nutzung ohne Kenntnisnahme der Betroffenen die anderen Rechte eingeschränkt werden. Weiß der Betroffene nicht, dass Daten über ihn erhoben, verarbeitet oder genutzt werden, so wird er sehr wahrscheinlich nicht auf die Auskunft bestehen, wobei das Auskunftsrecht wiederrum für die Berichtigung, Sperrung und Löschung bedeutend ist. Müssen Unternehmen / Firmen, Vereine, Behörden etc. über die erstmalige Erhebung bzw. Verwendung ohne Tätigwerden der Betroffenen informieren, so liegt das Auskunftsrecht in den Händen der Betroffenen, da die verantwortlichen Stellen erst nach einem Auskunftsverlangen aktiv werden müssen. Die Unterrichtung des Betroffenen stärkt somit die Position des jeweiligen Menschen und schafft Transparenz darüber wer personenbezogene Daten über die natürlichen Personen vorhält.

Auskunftsrecht der Betroffenen

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 2Laut § 34 BDSG haben Betroffene das Recht auf Auskunft, wobei dieses Recht nur natürlichen Personen gewährt wird, da auch nur diese vom deutschen Datenschutzrecht bzw. dem Bundesdatenschutzgesetz erfasst und damit geschützt werden.

Verlangt ein Betroffener eine Auskunft, so sind die verantwortlichen Stellen dazu verpflichtet, unverzüglich bzw. spätestens innerhalb von zwei Wochen, eine Auskunft zu erteilen. Bei einem Auskunftsersuchen ist weder eine Form zu beachten noch muss der Betroffene konkretisieren, über welche Daten er Auskunft erhalten möchte.  Dies bedeutet, dass der Betroffene seinen Auskunftswunsch sowohl in schriftlicher Form mittels Brief, E-Mail, Telefax als auch in mündlicher Form per Telefon oder persönlichem Gespräch äußern kann. Zudem werden im Internet teilweise Formulare angeboten, die Betroffene ebenfalls zum Auskunftsverlangen nutzen können.

Von dem Auskunftsrecht machen Betroffene in der Praxis häufig im Rahmen von Auskunfteien, wie zum Beispiel der Schufa, Gebrauch, da zahlreiche bzw. vermutlich nahezu alle natürlichen Personen von der Datenspeicherung (böse Stimmen könnten gar „Datenkrake Schufa“ sagen) der Schufa betroffen sind. Die Auskunft kann grds., wie bereits erläutert, sowohl schriftlich als auch mündlich erfolgen. Es bietet sich die Nutzung fertiger Formulare seriöser Quellen aus dem Internet an. Ein Formular findet sich sowohl auf der Webseite der Schufa (gut versteckt) ratsamer ist allerdings der auf der Homepage der Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDi) zu findende Vordruck. Beim Ausfüllen des Schufa-Formulars sollte beachtet werden, dass zum einen kein Häkchen bei der kostenpflichtigen Bonitätsauskunft gesetzt und zum anderen die Bankdaten nicht angegeben werden, da die Auskunft einmal im Kalenderjahr kostenlos ist. Diese jährliche kostenlose Selbstauskunft steht einem jedem Betroffenen zu.

Auskunftspflicht der verantwortlichen Stellen

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 3Bei Eingehen eines Auskunftsanspruchs sollte die verantwortliche Stelle schnell handeln und umgehend ihren Datenschutzbeauftragten einschalten, da eine Beantwortung, wie bereits erläutert, unverzüglich bzw. spätestens innerhalb von zwei Wochen (kein schuldhaftes Zögern!) erfolgen muss.

Die verantwortliche Stelle muss den Betroffenen, wenn beim Auskunftsersuchen nicht explizit gefordert, über alle gespeicherten personenbezogenen Daten, über die Herkunft der Daten, über den Empfänger im Fall einer Datenübermittlung, sowie über den Zweck der Datenspeicherung informieren, wobei die Angaben – abhängig vom vorliegenden Zweck zur Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten – erweitert werden müssen. Liegen der verantwortlichen Stelle keinen personenbezogenen Daten vor, so muss sie den Betroffenen bei einem Auskunftsanspruch darüber informieren (sog. Negativauskunft).

Eine besondere Problematik stellt allerdings die sichere Identifizierung der Betroffenen dar, insbesondere wenn der Auskunftswunsch mittels E-Mail, Telefon oder Fax geäußert wird. Wenn Zweifel an der Identität des Betroffenen bestehen, sollte die verantwortliche Stelle -bevor sie dem Auskunftsersuchen nachgeht-, prüfen, ob es sich tatsächlich um den Betroffenen handelt. Welche Methode für die Identitätsprüfung geeignet ist, hängt, wie im Datenschutz üblich, von der Situation/den Gegebenheiten ab. Ein in der Praxis häufig diskutiertes Thema ist die Prüfung mittels Personalausweiskopie, da dies, bis auf wenige Ausnahmen, wie zum Beispiel für Banken gemäß Geldwäschegesetz (GwG), verboten ist. Eine geeignete Möglichkeit könnte bei Auskunftsersuchen mittels E-Mail oder Telefon, das Abfragen von vorliegenden Informationen, wie dem Geburtsdatum in Kombination mit x weiteren Informationen über den Betroffenen, sein (gängig z. B. bei Callcentern). Alternativ könnte man den Betroffenen unter der gespeicherten Nummer zurückrufen, was auch bei einem Auskunftswunsch mittels Fax dringendst anzuraten ist. Bei einer Identifizierung des Betroffenen sollte die verantwortliche Stelle dem Auskunftsersuchen nachgehen.

Grundsätzlich ist die verantwortliche Stelle zur schriftlichen Auskunftserteilung verpflichtet, außer eine andere Form ist, aufgrund von besonderen Umständen, angemessen oder die verantwortliche Stelle kann sich aus der Pflicht entziehen. Dies ist bei einem Auskunftsersuchen allerdings nur bei wenigen Ausnahmen, wie zum Beispiel bei Interesse der öffentlichen Sicherheit, möglich. Zudem sollten verantwortliche Stellen darauf achten, dass sie personenbezogene Daten, die sie im Rahmen des Auskunftsverlangens erhalten, nicht zu anderen Zwecken als der Auskunftserteilung verwenden (sog. Zweckbindung). Die Erteilung der Auskunft sollte grundsätzlich bei Verlangen unentgeltlich und bei einer geschäftsmäßigen Speicherung zum Zweck der Datenübermittelung einmal im Kalenderjahr unentgeltlich erfolgen, wobei für eine Auskunftserteilung, die der Betroffene wirtschaftlich nutzen kann, Entgelt verlangt werden kann.

Bei verspäteter, fehlerhafter oder nicht erteilter Auskunft handelt es sich um eine Ordnungswidrigkeit, die bei Einschalten der Aufsichtsbehörde zu Bußgeldern führen kann. Des Weiteren kann die Aufsichtsbehörde, Maßnahmen zur Beseitigung anordnen oder die Verarbeitung der Daten untersagen.

Müssen Sie eine Datenauskunft gemäß § 34 BDSG gegenüber einem Betroffenen erteilen? Dann nehmen Sie Kontakt zu uns auf und nutzen Sie unsere maßgeschneiderten Dienstleistungen:

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.