Datenschutz-Grundverordnung (DS-GVO) – Was Sie beim Auskunftsersuchen beachten sollten

Recht auf Auskunft DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO) sieht – ebenso wie das Bundesdatenschutzgesetz (BDSG) -besondere Rechte für Betroffene vor, die sogar mit der DS-GVO teilweise verschärft werden sollen. Auch haben Betroffene weiterhin ein Recht auf Auskunft. In Art. 15 DS-GVO heißt es dazu, dass jeder Betroffene das Recht hat, vom Verantwortlichen (vormals verantwortliche Stelle gemäß § 3 Nr. 7 BDSG) eine Bestätigung darüber zu verlangen, ob dieser personenbezogene Daten über den Betroffenen verarbeitet. Sollte dies der Fall sein, so hat der Betroffene ein Recht auf Auskunft. Welche Informationen Sie ihm mitteilen müssen, in welchen Zeitraum und in welcher Form erklärt Ihnen im Folgenden Ihr externer Datenschutzbeauftragter.

Auskunftsersuchen – Was nun?

Betroffene haben das Recht Auskunft darüber zu verlangen, welche personenbezogenen Daten eine Organisation, zum Beispiel ein Unternehmen oder eine Behörde, über sie verarbeitet. Dabei ist es, wie bereits in dem Beitrag „Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten?“ erläutert, uninteressant in welcher Form das Auskunftsersuchen eingeht. Dies bedeutet, dass der Betroffene seinen Auskunftswunsch sowohl in schriftlicher Form mittels Brief, E-Mail, Telefax als auch in mündlicher Form per Telefon oder persönlichem Gespräch äußern kann. Zudem werden im Internet teilweise Formulare angeboten, die Betroffene ebenfalls zum Auskunftsverlangen nutzen können.

Dabei steht dem Betroffenen gemäß Art. 15 Abs. 1 DS-GVO ein abgestuftes Auskunftsrecht zu. Der Betroffene kann, wie bereits erläutert, zum einen in Erfahrung bringen, ob der Verantwortliche personenbezogene Daten über ihn verarbeitet. Zum anderen kann er ganz konkret Auskunft darüber verlangen, welche personenbezogenen Daten über Ihnen verarbeitet werden. Verantwortliche sollten zudem berücksichtigten, dass auch eine Negativauskunft erteilt werden muss, wenn keine personenbezogenen Daten über den Betroffenen verarbeitet werden.

Frist für die Auskunftserteilung

Organisationen, bei den ein Auskunftsersuchen eingeht, sollten unverzüglich handeln. Denn nach Art. 12 Abs. 3 DS-GVO müssen Verantwortliche unverzüglich, in jeden Fall aber innerhalb eines Monats nach Eingang des Antrags die erforderlichen Informationen zur Verfügung stellen. Zwar kann die Frist um weitere zwei Monate verlängert werden, wenn

dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist, allerdings sollte hierüber der Betroffene informiert werden. Aus diesem Grund sollten Organisationen vorbereitend Maßnahmen ergreifen, um bei Auskunftsersuchen schnell reagieren zu können.

Form der Auskunftserteilung

Zur Form der Auskunftserteilung heißt es in Art. 12 Abs. 1 Satz 2 und 3 DS-GVO: „Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“ Dabei sollte jedoch berücksichtigt werden, dass der Betroffene das Recht hat, eine Kopie seiner personenbezogenen Daten zu erhalten, wobei nach Art. 15 Abs. 3 Satz 3 DS-GVO der Verantwortliche die Informationen in einem gängigen elektronischen Format zur Verfügung stellen sollte, sofern das Auskunftsersuchen elektronisch einging und nichts anders vereinbart wurde.

Hat der Verantwortliche jedoch begründete Zweifel an der Identität des Betroffenen, wenn der Wunsch nach Auskunft zum Beispiel telefonisch geäußert wird, so kann nach Art. 12 Abs. 6 DS-GVO zusätzliche Informationen zur Bestätigung der Identität anfordern.

Inhalte/Umfang der Auskunftserteilung

Neben der Kopie seiner personenbezogenen Daten hat der Betroffene nach Art. 15 Abs. 1 DS-GVO ein Recht auf „folgende Informationen:

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“

Auch sollte der Betroffene darüber informiert werden, ob seine personenbezogenen Daten in ein Drittland oder an internationale Organisationen übermittelt werden sowie über geeignete Garantien gemäß Art. 46 DS-GVO, die in diesem Zusammenhang getroffen werden sollten.

Sanktionen

Unterlassene oder nicht vollständige Auskunftserteilungen an Betroffene sind nach Art. 83 Abs. 5 lit. b DS-GVO mit einer hohen Geldbuße von bis zu 20.000.000 Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs bedroht.

Aus diesem Grund sollten Verantwortliche frühzeitig Vorkehrungen ergreifen, um schnell und ordnungsgemäß auf Auskunftsersuchen reagieren zu können.

Haben Sie weitere Fragen zum Umgang mit Auskunftsersuchen, dann nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches und kostenloses sowie auf Ihre Bedürfnisse abgestimmtes Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.