Das Auskunftsrecht nach Art. 15 DSGVO ist eines der wichtigsten Betroffenenrechte. In den letzten Jahren zeichnet sich ein besorgniserregender Trend ab: DSGVO-Auskunftsanfragen werden zunehmend aus fragwürdigen Gründen geltend gemacht und bereiten für datenverarbeitende Unternehmen, Geschäftsführer, IT-Leiter, Personalleitern sowie für Datenschutzbeauftragte Kopfzerbrechen. So dient der Auskunftsanspruch einerseits als Druckmittel in Kündigungsschutzverfahren, andererseits wird er häufig als prozesstaktisches Mittel eingesetzt, um vorteilhafte Informationen für rechtliche Auseinandersetzungen zu gewinnen.
Inhaltsverzeichnis
- Worum geht es bei der Auskunftsanfrage nach DSGVO
- Bereiten Sie sich auf DSGVO-Auskunftsanfragen vor:
- Eingang eines Auskunftsersuchens: Was zu tun ist:
- Antworten Sie rechtssicher: Form und Fristen
- Fazit: Nehmen Sie Auskunftsanfragen nicht auf die leichte Schulter
- Häufige Fragen zu Auskunftsanfragen nach DSGVO
Worum geht es bei der Auskunftsanfrage nach DSGVO
Art. 15 DSGVO gewährt betroffenen Personen das Recht, umfassende Informationen über die Verarbeitung personenbezogener Daten zu erhalten. Neben den Zwecken der Verarbeitung müssen Unternehmen (sog. „Verantwortliche“) auch Angaben zu Empfängern, Datenkategorien und anderen relevanten Informationen machen.
Insbesondere bei Meinungsverschiedenheiten zwischen der anfragenden Person und dem Unternehmen, werden Auskunftsersuchen häufig aus datenschutzfremden Gründen geltend gemacht, z.B.:
- Sammlung prozessrelevanter Informationen oder Beweise
- Ausübung von Druck auf (ehemalige) Arbeitgeber
- Spekulation auf Schadensersatz bei verspäteter oder fehlerhafter Auskunft
- Ausübung von Druck auf Unternehmen
Bereiten Sie sich auf DSGVO-Auskunftsanfragen vor:
Bei Auskunftsanfragen nach DSGVO ist strukturiertes und zügiges Handeln erforderlich. Noch immer gibt es viele Unternehmen, die noch kein geeignetes Vorgehen im Umgang mit Datenschutzanfragen entwickeln haben. Mit den nachfolgenden Punkten schaffen Sie eine solide Grundlage, um Auskunftsanfragen angemessen zu bearbeiten:
- Verzeichnis der Verarbeitungstätigkeiten: Ein Überblick über die datenschutzrelevanten Geschäftsprozesse erleichtert die Zuordnung und Bereitstellung der angefragten Informationen.
- Löschkonzept: Nur gespeicherte Daten können Gegenstand einer Anfrage sein. Klare Löschregeln reduzieren unnötigen Bearbeitungsaufwand.
- Klare Verantwortlichkeiten definieren: Ein Meldeprozess mit klaren Verantwortlichkeiten stellt sicher, dass Anfragen von Betroffenen den richtigen Weg nehmen und die notwendigen Informationen zusammengetragen werden.
- Schulung der Mitarbeiter: Eine wirksame Datenschutzschulung mit Praxistipps ist essentiell, um die Mitarbeiter in die Lage zu versetzen, Auskunftsanfragen zu identifizieren und an die zuständige Stelle weiterzuleiten.
Eingang eines Auskunftsersuchens: Was zu tun ist:
- Dokumentation:
Erfassen Sie das Eingangsdatum der Auskunftsanfrage. So behalten Sie die Monatsfrist im Blick. Auch die Form des Eingangs – schriftlich, in elektronischer Form oder mündlich – sollte dokumentiert werden. Daraus lässt sich die Form des Antwortschreibens ableiten. - Anspruchsberechtigung prüfen:
Der Anspruch auf Auskunft steht ausschließlich natürlichen Personen zu. Bei Anfragen durch Vertreter, etwa Anwälte, sollte eine gültige Vollmacht vorgelegt werden. - Identitätsprüfung:
Eine Identitätsprüfung ist erforderlich, wenn begründete Zweifel bestehen – etwa, wenn E-Mail-Adressen oder die Postanschrift des Betroffenen nicht bekannt waren. Wichtig: Beachten Sie bei der Identitätsprüfung den Grundsatz der Datenminimierung: Verlangen Sie nur so viele Informationen, wie unbedingt notwendig, und stellen Sie sichere Übertragungswege mit besonderer Sorgfalt bereit.
Antworten Sie rechtssicher: Form und Fristen
Form der Beantwortung
Die Form der Anfrage gibt in der Regel die Form der Antwort vor: Elektronische Anfragen sollten bevorzugt per E-Mail beantwortet werden. Um einen Datenschutzverstoß zu vermeiden, ist auf eine ausreichende Verschlüsselung zu achten. Vor einer Beantwortung ist intern zu testen, ob sich z.B. ein verschlüsseltes Dokument auf der Seite des Empfängers problemlos öffnen lässt.
Frist der Beantwortung
Die DSGVO verlangt eine Antwort „unverzüglich“, spätestens aber innerhalb eines Monats nach Eingang. Die Frist beginnt mit Eingang des Schreibens oder – sofern eine Identitätsprüfung erforderlich ist – zum Zeitpunkt der Identitätsfeststellung. Eine Fristverlängerung um weitere zwei Monate ist möglich, wenn dies auf Grund der Komplexität und der Anzahl der Anträge erforderlich ist. Im Falle einer Fristverlängerung ist die betroffene Person zu informieren (gemäß Art. 12 Abs. 3 Satz 3 DSGVO).
Fazit: Nehmen Sie Auskunftsanfragen nicht auf die leichte Schulter
Ein strukturierter Umgang mit Auskunftsanfragen reduziert nicht nur Risiken, sondern spart auch wertvolle Ressourcen und im besten Fall den Anspruch auf Schadensersatz. Mit einem klaren Prozess und geschulten Mitarbeitern lassen sich auch umfangreiche Betroffenenanfragen effizient bewältigen. Zur Erleichterung der Bearbeitung empfiehlt sich die Erstellung von Musterschreiben und Formulierungshilfen für die Beantwortung typischer Auskunftsersuchen von betroffene Personen. In jedem Fall sollten Sie jedoch Ihren Datenschutzbeauftragten einbeziehen.
Brauchen Sie Unterstützung bei Auskunftsanfragen?
Die ALPHATECH Consulting GmbH ist Ihr verlässlicher Partner für datenschutzrechtliche Herausforderungen. Wir unterstützen Sie mit unseren externen Datenschutzbeauftragten bei der rechtssicheren Bearbeitung von Auskunftsanfragen nach DSGVO – individuell, unkompliziert und lösungsorientiert.
Häufige Fragen zu Auskunftsanfragen nach DSGVO
Das Recht auf Auskunft ermöglicht es betroffenen Personen, von einem Unternehmen oder einer Organisation zu erfahren, welche personenbezogenen Daten über sie verarbeitet werden, zu welchem Zweck und an wen diese Daten weitergegeben wurden. Es fördert Transparenz und Kontrolle über persönliche Informationen.
Jede Person, deren personenbezogene Daten verarbeitet werden, kann dieses Recht ausüben. Das schließt Kunden, Mitarbeiter, Geschäftspartner und andere Personen ein, deren Daten gespeichert oder verarbeitet werden.
Das Unternehmen muss umfassend informieren, unter anderem über:
•Die verarbeiteten personenbezogenen Daten.
•Die Zwecke der Verarbeitung.
•Die Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben wurden.
•Die geplante Speicherdauer oder Kriterien für deren Festlegung.
•Rechte der betroffenen Person, wie das Recht auf Berichtigung oder Löschung.
•Das Bestehen eines Beschwerderechts bei der Datenschutzbehörde.
Ja, ein Unternehmen muss auf einen Auskunftsantrag unverzüglich, spätestens jedoch innerhalb eines Monats reagieren. In Ausnahmefällen kann die Frist um zwei weitere Monate verlängert werden, wenn der Antrag besonders komplex ist. In diesem Fall muss das Unternehmen den Antragsteller über die Verzögerung informieren.
Grundsätzlich ist die Auskunft nach DSGVO kostenlos. Wenn jedoch ein Antrag offensichtlich unbegründet oder exzessiv ist (z. B. bei wiederholten Anträgen), kann ein angemessenes Entgelt verlangt oder der Antrag abgelehnt werden.
Wenn ein Unternehmen nicht auf einen Auskunftsantrag reagiert, kann die betroffene Person Beschwerde bei der zuständigen Datenschutzbehörde einlegen oder rechtliche Schritte einleiten.
Ja, in bestimmten Fällen kann das Recht auf Auskunft eingeschränkt sein, z. B. wenn dadurch Rechte und Freiheiten anderer Personen beeinträchtigt werden (z. B. Geschäftsgeheimnisse) oder wenn gesetzliche Vorschriften eine Ausnahme vorsehen.
Unternehmen sollten ein internes Verfahren zur Bearbeitung von Auskunftsersuchen einrichten. Dazu gehören klare Prozesse zur Identitätsprüfung, Dokumentation und rechtzeitige Bearbeitung. Schulungen für Mitarbeiter und die Unterstützung durch Datenschutzbeauftragten sind ebenfalls hilfreich.
Häufige Fehler, wie das Übermitteln unvollständiger oder fehlerhafter Informationen, können durch folgende Maßnahmen vermieden werden:
Regelmäßige Überprüfung der Datenschutzprozesse.
Nutzung von Vorlagen für die Beantwortung von Anträgen.
Einbeziehung von Datenschutzberatern, um rechtliche Risiken zu minimieren.
Nein, der Betroffene darf grundsätzlich zu jeder Zeit und ohne Begründung sein Recht auf Auskunft geltend machen.
Nur in Ausnahmefällen, z.B. bei offenkundig unbegründeten oder exzessiven Anträgen kann sich das Unternehmen nach Art. 12 Abs. 5 Satz 2 DSGVO weigern, dem Auskunftsbegehren nachzukommen.
Ja, die Verfolgung datenschutzfremder Zwecke stehen einem Auskunftsanspruch nicht entgegen (EuGH, Urt. v. 26.10.2023 – C-307/22) .
Exzessive Anträge sind insbesondere im Fall der häufigen Wiederholung gegeben. Weitere Beispiele für eine exzessive Geltendmachung können sein: Der Antrag soll den Verantwortlichen schädigen bzw. schikanieren.
Wenn eine andere Person, z.B. ein Ehepartner, als Vertreter für eine betroffene Person Auskunft über deren personenbezogene Daten verlangt, muss ein eindeutiger und zweifelsfreier Nachweis erbracht werden, dass der Vertreter zur Geltendmachung der Anfrage bevollmächtigt ist und Anspruch auf Kopien hat. Diese Vollmacht muss ausdrücklich das Auskunftsbegehren einschließen. Ansonsten besteht das Risiko einer Datenschutzverletzung.
Ein Auskunftsantrag kann schriftlich, elektronisch oder mündlich gestellt werden. Es wird jedoch empfohlen, den Antrag schriftlich einzureichen, um einen Nachweis zu haben. Unternehmen müssen sicherstellen, dass die Identität des Antragstellers überprüft wird, um Missbrauch zu verhindern.
