26. Februar 2020 Auskunfterteilung nach Art. 15 DSGVO – und nun?

Haben Sie auch schon ein Auskunftbegehren nach Artikel 15 DSGVO bekommen? Wir beleuchten, was in so einem Fall zu tun ist und wie sich das Ganze einfach, sicher und DSGVO-konform abbilden lässt.

Datenschutz oder die Datenschutzgrundverordnung (DSGVO), die ja im Sinne nichts anderes macht, als diesen zu regeln, werden aktuell in der Öffentlichkeit vor allem als Datenlecks und den daraus resultierenden (Rekord)Strafen wahrgenommen. Entsprechend richten sich die Bemühungen der meisten Unternehmen DSGVO-konform zu werden auch genau darauf aus: die Daten sichern. Was viele dabei vergessen: Es gibt viele weitere Rechte und Pflichten, wie beispielsweise den Artikel 15 der DSGVO, das Auskunftsrecht. 

auskunft_860

In einer Studie des Capgemini Research Institute wurde von den befragten Unternehmen auch angegeben, dass zahlreiche Anfragen von Inhabern der jeweiligen Daten, die bei den Unternehmen verarbeiten werden, sog. Betroffenen, bei den verantwortlichen Stellen eingingen. Mehr als 1.000 Anfragen dieser Art, den sog. Betroffenenrechten aus Art. 15 ff DSGVO, erhielten 50 Prozent der US-Unternehmen und 46 Prozent der französischen Unternehmen. 45 Prozent der niederländischen und 36 Prozent der deutschen Unternehmen erhielten ebenfalls Anfragen von Betroffenen. 

Das Bestehen eines Auskunftsrechts für Betroffene ist aus datenschutzrechtlicher Sicht daher keine Neuigkeit. Wie die DSGVO sieht auch das Bundesdatenschutzgesetz (BDSG) in der Fassung bis zum 25.05.2018 ein Auskunftsrecht für betroffene Personen vor. In Bezug auf die Anforderungen und den Inhalt der Auskunft gehen die Bestimmungen der DSGVO jedoch über die Bestimmungen des alten BDSG hinaus. 

Während der Auskunftsanspruch der §§ 19, 34 BDSG nur eine Auskunft über die gespeicherten Daten vorsieht, geht Artikel 15 DSGVO darüber hinaus und sieht eine Auskunft über die verarbeiteten Daten vor. Das heißt in der Praxis, dass nun nicht mehr Auskunft über die Speicherung der Daten selbst gegeben werden muss, sondern die Verarbeitung umfasst auch das Auslesen, Abfragen, Verändern, Übermitteln, Verbreiten oder Abgleichen von Daten. Quasi jede Handlung, bei der Daten verwendet werden, stellt eine Verarbeitung dar. Wie also muss man mit einer Anfrage umgehen? 

Betrifft die Anfrage das Unternehmen überhaupt?

Am Anfang steht immer die Frage: Bin ich zuständig? Das ist kein Versuch, sich lästige Arbeit vom Hals zu halten, sondern elementar für korrekte Auskunftserteilungen. Wenn beispielsweise ein IT-Dienstleister Daten im Auftrag verarbeitet, ist er verpflichtet, den Auftraggeber über das Auskunftsersuchen zu benachrichtigen (meist ist das vertraglich auch ausdrücklich geregelt). Tritt ein Konzern nach außen einheitlich auf, besteht aber aus mehreren Gesellschaften, muss die Auskunft bei derjenigen Gesellschaft gestellt werden, welche die Daten des Antragstellers verarbeitet. Die Konzernstrukturen sind den Antragstellern aber häufig nicht bekannt. 

Nachweis der Identität des Antragstellers

Die Anfrage nach einer Auskunft kann formlos erfolgen. Viele Anträge erreichen Unternehmen daher per E-Mail. Um sicherzustellen, dass der Antragsteller tatsächlich die Person ist, die er vorgibt zu sein, sollten weitere Informationen angefragt werden, die eine eindeutige Identifizierung sicherstellen. Es kann beispielsweise verlangt werden, dass die Postadresse mitgeteilt wird. Ausweiskopien können nur in besonderen Fällen verlangt werden. 

Exzessive Anfragen

Zwar müssen auf exzessive Anträge keine Auskunft erteilen werden, es ist allerdings zu beachten, dass Antragsteller das Recht auf Auskunft mehrmals geltend machen können. Feste Zahlen gibt es hier nicht, allerdings darf die Auskunft nur bei einem missbräuchlichen Vorgehen verweigert werden. 

Keine Daten vom Anfragenden? Negativauskunft!

Es kann ja durchaus vorkommen, dass die Daten des Antragstellers bereits gelöscht, noch nie Daten gespeichert oder Daten unumkehrbar anonymisiert wurden; also keine Daten des Antragstellers verarbeitet werden. Über verarbeitete Daten kann also keine Auskunft erteilt werden. Allerdings muss dem Antragsteller mitgeteilt werden, dass keine Daten zu ihm verarbeiten werden (sog. Negativauskunft). 

Das Auskunftsrecht kann auch ausgeschlossen sein

Grundsätzlich steht jedem Betroffenen das Auskunftsrecht zu. In den in §§ 27 Abs. 2, 28 Abs. 2 und 29 Abs. 1 Satz 2 und 34 DSGVO geregelten Fällen kann dieses Recht jedoch ausgeschlossen sein. Die Voraussetzungen dieser Regelungen sind komplex und sollten einer juristische Einzelfallprüfung unterzogen werden. 

Auskunft auf personenbezogene Daten beschränkt

Die Auskunft beschränkt sich auf personenbezogene Daten. Das sind Informationen, anhand derer eine natürliche Person identifizierbar ist. Es muss also bei allen gespeicherten Informationen geprüft werden, ob diese einen Personenbezug haben. Ganz offensichtlich ist dies beim Namen der Fall, auch zählen die E-Mail-Adresse oder die IP-Adresse dazu. Sollten Unternehmen Informationen pseudonymisiert verarbeiten (bspw. durch Vergabe einer individuellen ID), müssen sie auch über diese Auskunft erteilen. 

Informationen, die in ein Auskunftschreiben gehören

Ein Unternehmen muss in seinem Auskunftschreiben alle Daten aufführen, die zum Betroffenen gespeichert sind, das heißt alle Informationen, die als personenbezogene Daten des Antragstellers identifiziert wurden. Zusätzlich müssen die in Art. 15 DSGVO aufgezählten Metainformationen mitgeteilt werden. Diese stehen in der Regel in der datenschutzrechtlichen Informationsübersicht (bei Websites: die Datenschutzerklärung). Es genügt nicht, lediglich auf die Datenschutzerklärung zu verweisen. 

Zeitlicher Rahmen

Länger als einen Monat darf die Auskunftserteilung nur in besonderen Fällen dauern. Krankheit oder Urlaub von Mitarbeitern werden in der Regel nicht als Ausnahmefall akzeptiert. Die Frist läuft ab dem Zugang des Auskunftantrags. 

In welcher Form muss die Auskunft erteilt werden?

Die DSGVO enthält kein Formular zur Auskunftserteilung. Jedes Unternehmen kann das Auskunftschreiben selbst gestalten. Es sollte darauf geachtet werden, dass die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgt. Die Auskunft muss also für einen Laien ohne Weiteres nachvollziehbar sein.

Die Auskunft kann schriftlich oder elektronisch erteilt werden. Wenn der Antrag elektronisch gestellt wurde (z.B. durch ein Onlineformular), muss in der Regel auch die Auskunftserteilung elektronisch erfolgen – außer der Antragsteller verlangt die Zusendung per Post. Wenn der Antragsteller die Auskunft mündlich verlangt, muss diese mündlich erteilt werden – in diesem Fall muss dann sichergestellt werden, dass tatsächlich mit dem Antragsteller gesprochen wird. 

Datenkopie oder Auskunft?

Eine „Datenkopie“ ist nicht mit der „normalen“ Auskunftanfrage zu verwechseln. Verlangt der Antragsteller eine „Datenkopie“ müssen die Daten so herausgegeben werden, wie Sie im jeweiligen Unternehmen vorliegen. Da eine solche Datenkopie in der Regel Informationen enthält, die sich nicht auf den Antragsteller beziehen, dürfen diese unkenntlich gemacht werden (z.B. durch Schwärzen der entsprechenden Passagen). Ferner dürfen Informationen zu anderen Personen geschwärzt werden, wenn ansonsten deren Rechte und Freiheiten beeinträchtigt würden. 

Die erste Datenkopie muss das Unternehmen unentgeltlich zur Verfügung stellen. Für jede weitere Kopie kann ein angemessenes Entgelt verlangt werden. Hat sich der Datenbestand allerdings signifikant verändert, muss in der Regel unentgeltlich eine neue Kopie zur Verfügung gestellt werden.

Bei der Übermittlung sollte darauf geachtet werden, dass angemessene technische Sicherheitsmaßnahmen eingehalten werden, um die Daten vor dem unberechtigten Zugriff von Dritten zu schützen. Dazu kann ein Fernzugang zu einem sicheren System bereitgestellt werden, welcher dem Antragsteller direkten Zugang zu seinen personenbezogenen Daten ermöglicht. 

Rechtzeitig organisatorische Maßnahmen treffen

Auch wenn Unternehmen bisher noch keinen Auskunftantrag erhalten haben, empfiehlt es sich, rechtzeitig organisatorische Vorkehrungen zu treffen, um Auskunftsersuchen schnell und vollständig beantworten zu können. Denn Gemäß der Art. 12 Abs. 1 und Art. 5 Abs. 2 DSGVO haben Verantwortliche bereits vorbereitend geeignete organisatorische Maßnahmen zu treffen, um betroffenen Personen beantragte Auskünfte fristgerecht und in einer geeigneten Form zur Verfügung zu stellen. 

Informieren Sie sich jetzt zu den FTAPI SecuForms und den vielfältigen Anwendungsmöglichkeiten.

Mehr erfahren

Eine Möglichkeit, Auskunftbegehren einfach, sicher und DSGVO-konform abzubilden sind die FTAPI SecuForms in Verbindung mit dem FTAPI Processes-Modul. Damit lässt sich ein automatisiertes Formular für die Firmen-Webseite erstellen mit dem der komplette Prozess abgebildet werden kann: 

  • Anfrage mit Identitätsnachweis über SecuForm (Ende-zu-Ende-verschlüsselt)
  • Eingangsnachweis
  • Generierung eines sicheren Links aus den gesammelten Daten
  • Übermittlung des Links per verschlüsselter Mail oder Brief
  • Löschen der Daten nach 30 Tagen

Damit erfüllt man alle Anforderungen:

  • Einfache Möglichkeit Anfrage zu stellen
  • Verschlüsselung aller Daten (eingehend und ausgehend)
  • Identitätsnachweis
  • Statusnachweis/Eingangsbestätigung
  • Möglichkeit auch viele/große Daten zur Verfügung zu stellen.
  • Löschung der Anfrage und der damit entstandenen Daten.
zurück