Datenschutz Verstehen – Auskunftsrecht und Auskunftsersuchen DSGVO
Kurze Zusammenfassung
Die Auskunftsrechte und das Auskunftsersuchen sind zum Schutz von Personen und ihrer Daten sehr wichtig. Sie sind Teil der Betroffenenrechte und dienen dazu, den in Art. 5 Abs. 1 lit. a) DSGVO festgelegten Grundsatz der Transparenz zu gewährleisten. Dazu legt die Datenschutzgrundverordnung nicht nur Pflichten für datenverarbeitende Unternehmen fest, sondern wendet sich auch direkt an die von der Datenverarbeitung betroffenen Personen und räumt ihnen umfangreiche Rechte ein. In Bezug auf das Auskunftsrecht gibt es für Unternehmen wichtige Punkte zu beachten, die im weiteren Verlauf erörtert werden.
Definition Auskunftsersuchen
Eines der Ziele der Datenschutzverordnung (DSGVO) ist es, den betroffenen Personen Rechte einzuräumen und ihnen die Kontrolle über ihre personenbezogenen Daten zu geben. Hierzu zählt unter anderem das Recht ein Auskunftsersuchen zu tätigen bei verantwortlichen Unternehmen.
Gemäß Artikel 15 DSGVO besitzen Einzelpersonen das Recht, Auskunftsersuchen zu stellen. Diese Auskunftsersuchen ermöglichen es ihnen, eine Kopie ihrer personenbezogenen Daten und andere relevante Informationen von den für die Verarbeitung Verantwortlichen zu erhalten. Im Kontext der DSGVO ist ein Auskunftsersuchen eine Möglichkeit für betroffene Personen, zu erfragen, ob ein Unternehmen ihre personenbezogenen Daten speichert oder verwendet.
Ein Auskunftsersuchen kann mündlich oder schriftlich erfolgen. Unternehmen sind verpflichtet, innerhalb eines Monats auf solche Anfragen zu reagieren. Bei komplexen oder zahlreichen Auskunftsersuchen ist es den Unternehmen gestattet, diese Frist auf bis zu drei Monate zu verlängern. In solchen Fällen müssen die Unternehmen dennoch innerhalb eines Monats kommunizieren, warum eine Verlängerung der Frist erforderlich ist.
Das Ziel des Auskunftsersuchens besteht darin, den betroffenen Personen ausreichende, transparente und leicht zugängliche Informationen über die Verarbeitung ihrer personenbezogenen Daten zur Verfügung zu stellen, damit sie sich von der Rechtmäßigkeit der Verarbeitung überzeugen und die Richtigkeit der verarbeiteten Daten überprüfen können. Die DSGVO gibt den Datenschutzbehörden die Möglichkeit, bei Nichtauskunft und Nichteinhaltung der Vorschriften ein Verbot der Verarbeitung oder ein Bußgeld zu verhängen. Das Recht auf Löschung oder das „Recht auf Vergessenwerden“ gibt den betroffenen Personen das Recht, dass ihre Daten ohne unangemessene Verzögerung gelöscht werden.
Inhalt des Auskunftsersuchens
Das in Artikel 15 DSGVO verankerte Auskunftsersuchen gibt den betroffenen Personen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden oder nicht (Recht auf Bestätigung), und wenn dies der Fall ist, das Recht, eine Kopie der verarbeiteten personenbezogenen Daten zu erhalten (Recht auf Erhalt einer Kopie). Darüber hinaus muss der für die Verarbeitung Verantwortliche den betroffenen Personen zusätzliche Informationen zur Verfügung stellen, beispielsweise über die Zwecke der Verarbeitung (Art. 15 Abs. 1 lit. a) DSGVO), die Empfänger der betreffenden personenbezogenen Daten (Art. 15 Abs. 1 lit. c) DSGVO) oder die Aufbewahrungsfrist für personenbezogene Daten (Art. 15 Abs. 1 lit. d) DSGVO). Macht eine betroffene Person von ihrem Auskunftsrecht Gebrauch, muss der für die Verarbeitung Verantwortliche dem Antrag gemäß Art. 12 Abs. 2 der Datenschutz-Grundverordnung nachkommen. Unter Berücksichtigung der Komplexität des Antrags kann der für die Verarbeitung Verantwortliche die Frist um zwei weitere Monate verlängern (Art. 12 Abs. 3 DSGVO). Personen haben das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden, und, wenn dies der Fall ist, Zugang zu diesen zu bekommen. Gemäß Art. 4 Abs. 1 DSGVO sind personenbezogene Daten Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie z.B. Name, Anschrift, IP-Adresse und andere Faktoren. Gemäß dem ersten Satz von Art. 15 Abs. 3 DSGVO stellt der Verantwortliche sicher, dass die betroffene Person unentgeltlich Zugang zur ersten Kopie der personenbezogenen Daten erhält, auf die sich die Verarbeitung bezieht.
Der Verantwortliche muss sicherstellen, dass nicht nur die Stammdaten weitergegeben werden, sondern auch die folgenden Informationen:
- die Zwecke der Verarbeitung;
- die Kategorisierung der betroffenen personenbezogenen Daten;
- die Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder werden, insbesondere Empfänger in Drittländern oder internationale Organisationen;
- geplante Speicherdauer der personenbezogenen Daten;
- das Recht, von dem Verantwortlichen die Berichtigung oder Löschung der die betroffene Person betreffenden personenbezogenen Daten oder die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen oder dieser Verarbeitung zu widersprechen;
- das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
- für den Fall, dass die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über deren Herkunft der Daten, Mitteilungen, Vermerke, usw;
- das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling, gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die zugrunde liegende Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person.
- Recht auf Berichtigung, Löschung und Einschränkung
- Widerspruchsrecht
- Beschwerderecht bei der Aufsichtsbehörde
- Bei Übermittlung der Daten in Drittstaaten Art.15 Abs.2 DSGV, Art. 46 DSGVO
Wer kann Auskunftsersuchen tätigen?
Nur die betroffenen Personen haben das Recht, auf ihre personenbezogenen Daten zuzugreifen und eine Kopie dieser Daten sowie andere zusätzliche Informationen zu erhalten. Ein Dritter kann auch einen Antrag auf Auskunft im Namen einer anderen Person mit Bevollmächtigung stellen. Darüber hinaus haben die betroffenen Personen gemäß Artikel 80 der DSGVO das Recht, eine gemeinnützige Einrichtung, Organisation oder Vereinigung damit zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, Rechtsmittel einzulegen und Schadensersatz zu fordern.
Zuallererst sollte die Identität der anfragenden Person von Unternehmen sicher überprüft werden, um den unbefugten Zugriff auf personenbezogene Daten zu verhindern.
Muster Auskunftsersuchen
Betroffene Personen können mündliche oder schriftliche Anträge (wie E-Mail, Anrufe) stellen und sollten die Rückmeldung am besten in schriftlicher Form unverzüglich und innerhalb eines Monats nach Eingang des Antrags erhalten.
Muster:
„Sehr geehrte Damen und Herren,
Auskunftsersuchen zu personenbezogenen Daten
[Geben Sie Ihren vollständigen Namen und andere relevante Details an, um Sie zu identifizieren].
Bitte teilen Sie mir die personenbezogenen Daten mit, die Sie über mich gespeichert haben und auf deren Erhalt ich nach den Datenschutzgesetzen Anspruch habe.
Wenn Sie zusätzliche Informationen benötigen, lassen Sie es mich bitte bald wissen.
[Falls zutreffend, geben Sie an, ob Sie die Daten lieber in einem bestimmten elektronischen Format oder in Papierform erhalten möchten].
Mit freundlichen Grüßen“
Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!
Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.
Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.
Was sollten Unternehmen beim Auskunftsersuchen beachten?
Unternehmen, die mit sensiblen Daten umgehen, müssen frühzeitig organisatorische Vorkehrungen treffen, um den Schutz dieser Daten zu gewährleisten. Artikel 12 DSGVO regelt die wirksame Ausübung des Auskunfts- und Informationsrechts der betroffenen Person, indem er Klarheit und Zugänglichkeitsstandards für die Kommunikation mit der betroffenen Person vorgibt. Demnach sollten die Unternehmen der betroffenen Person alle Informationen in knapper, transparenter, verständlicher und leicht zugänglicher Form unter Verwendung einer klaren und einfachen Sprache zur Verfügung stellen. Geeignete technische und organisatorische Maßnahmen TOM sind wichtig, um den Prozess der Beantwortung von Auskunftsersuchen zu unterstützen. Gegen Unternehmen können gemäß Artikel 83 Absatz 5 der DSGVO Geldbußen in Höhe von bis zu 20.000.000 EUR oder bis zu 4 % ihres weltweiten Gesamt-Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden, wenn sie die Rechte der betroffenen Personen, z. B. das Auskunftsrecht, verletzen. Eine der Aufgaben ist es, für die korrekte Bearbeitung des Auskunftsersuchens verantwortlich zu sein. Ansonsten ist es wichtig, einen der Mitarbeiter als Verantwortlichen für solche Anfragen zu benennen. Eine der Aufgaben des Datenschutzbeauftragten ist es, für die ordnungsgemäße Bearbeitung des Auskunftsersuchens verantwortlich zu sein. Ansonsten ist es wichtig, einen entsprechend geschulten Mitarbeiter als Verantwortlichen für solche Anfragen zu benennen, was nach der Schulung erfolgen kann. Nach Erhalt des Auskunftsersuchens ist es zunächst wichtig, die Aufzeichnungen im Dokumentationssystem zu speichern. Die Dokumentationspflicht wird es den Unternehmen ermöglichen, die Dauer und Qualität der Auskunftserteilung zu überwachen.
Vorgehen DSGVO-konforme Auskunftsbearbeitung
Nach Erhalt des Auskunftsersuchens ist es wichtig, zunächst festzustellen und zu überprüfen, ob es sich um ein Ersuchen gemäß den Bestimmungen der DSGVO handelt.
Es ist wichtig, die folgenden Fragen zu stellen:
- Besteht eine Verpflichtung zur Auskunftserteilung?
- Werden die Daten der Person überhaupt von uns verarbeitet?
- Ist die Person berechtigt?
- Welche Daten verarbeiten wir von dieser Person?
- In welcher Form soll die Auskunft erteilt werden?
Eingangsbestätigung
Jede Verarbeitung personenbezogener Daten sollte rechtmäßig, fair und transparent sein. Es sollte für den Einzelnen klar und transparent sein, dass betreffende personenbezogene Daten erhoben, verwendet, abgefragt oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden oder werden sollen. Informationspflicht gemäß Artikel 13 der DSGVO ist ein wesentlicher Bestandteil der Verpflichtung einer Organisation, transparent zu sein.
Grundsätzlich sollte die Beantwortung des Auskunftsersuchens der betroffenen Person den Zweck, die Empfänger der Daten und die Rechtsgrundlage der Verarbeitung sowie die Dauer der Verarbeitung enthalten. Es ist wichtig, die Empfangsbestätigung zu übermitteln und damit zu wissen, dass seine Anfrage bearbeitet wird und in welchem Zeitrahmen mit der Bearbeitung zu rechnen ist.
Besteht eine Auskunftspflicht?
Wenn das Unternehmen eine große Menge an Informationen über eine Person verarbeitet, kann das Unternehmen sie bitten, die Informationen zu spezifizieren und die Angelegenheit oder die Verarbeitung Tätigkeiten zu klären, auf die sich ihre Anfrage bezieht, bevor sie die Anfrage beantwortet. Die Frist für die Beantwortung der Anfrage wird unterbrochen, bis das Unternehmen eine Klarstellung erhält. Dies wird als „Anhalten der Uhr“ bezeichnet.
Bei Konzernen ist das jeweilige Unternehmen für die Beantwortung der Anfrage der betroffenen Person verantwortlich. Bei gemeinsam Verantwortlichen sollte das Unternehmen, das die Anfrage erhalten hat, für die Beantwortung verantwortlich sein. Jede betroffene Person hat das Recht, ihr Recht auf Information auszuüben. Allerdings gibt es Ausnahmen von der Auskunftspflicht nach §34 Abs.1 Nr.2 BDSG, insbesondere wenn die Daten nur gespeichert werden, weil sie aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen;
- wenn die Daten ausschließlich für Zwecke der Datensicherheit oder der Datenschutzkontrolle verwendet werden;
- wenn eine gesetzliche Verpflichtung zur Verschwiegenheit besteht;
- wenn die Speicherung oder Übermittlung zum Zwecke der wissenschaftlichen Forschung erforderlich ist;
- wenn die Daten für eigene Zwecke gespeichert werden und aus allgemein zugänglichen Quellen stammen;
- wenn die Daten für eigene Zwecke des Unternehmens gespeichert werden und die Erteilung der Auskunft den Geschäftszweck erheblich gefährden würde.
Betroffene Personen können auch einen Antrag auf Datenkopie stellen und in diesem Fall ist es wichtig, alle Daten zur Verfügung zu stellen, indem die Daten, die den Anfragenden nicht betreffen, nach §34 BDSG unkenntlich gemacht werden.
Wann ist keine Auskunftspflicht nötig?
Die Unternehmen können sich weigern, dem Auskunftsersuchen einer betroffenen Person nachzukommen, wenn das Auskunftsersuchen offenkundig unbegründet oder unverhältnismäßig ist, insbesondere weil es sich um eine Wiederholung handelt; in diesem Fall kann der Verantwortliche entweder eine angemessene Gebühr erheben
oder sich weigern, dem Auskunftsersuchen nachzukommen. Der Verantwortliche trägt die Beweislast dafür, dass das Auskunftsersuchen offenkundig unbegründet oder überzogen ist. Andere Gründe für die Verweigerung der Beantwortung von Auskunftsersuchen sind, dass die Unternehmen nachweisen können, dass die Auskunftsersuchen häufig wiederholt (exzessivität) gestellt werden, dass der Verdacht auf Missbrauch besteht und dass die Auskunftsersuchen keinen anderen Zweck als die Störung des Betriebs haben. Weigert sich das Unternehmen, einem Ersuchen nachzukommen, ist es wichtig, die Person innerhalb eines Monats zu benachrichtigen und die Gründe für die Ablehnung zu erläutern. Weigert sich das Unternehmen, auf eine Auskunft zu antworten, ist es wichtig, innerhalb eines Monats auf die Anfrage zu antworten und die Gründe für die Ablehnung anzugeben. Wenn die personenbezogenen Daten gelöscht, nicht gespeichert und nicht anonymisiert gespeichert wurden, ist es nicht erforderlich, negative Angaben zu machen. Wenn das Unternehmen nicht mehr im Besitz der personenbezogenen Daten der betroffenen Person ist, z. B. weil die Daten bereits gelöscht und nicht gespeichert wurden, und wenn die Daten unwiderruflich anonymisiert wurden, muss das Unternehmen dem Anfragenden eine Negativauskunft erteilen.
Frist für die Auskunftserteilung
Das Unternehmen muss einen Antrag der betroffenen Person unverzüglich, spätestens jedoch einen Monat nach Eingang des Antrags, beantworten. Es ist möglich, die Frist für die Beantwortung auf bis zu 3 Monate zu verlängern, wenn die Auskunft komplex ist. Im Falle einer Verlängerung der einmonatigen Frist muss das Unternehmen die betroffene Person innerhalb eines Monats unter Angabe von Gründen über diese Verlängerung informieren. Verarbeitet das Unternehmen eine große Menge an Informationen über eine Person, kann es die betroffene Person auffordern, die Informationen oder Vorbereitungstätigkeiten zu spezifizieren, auf die sich ihre Anfrage bezieht, wenn dies nicht klar ist.
Identität prüfen
Da personenbezogene Daten geschützt werden müssen, müssen die Unternehmen Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Jedes Ersuchen einer betroffenen Person um Zugang zu den Daten durch Unbefugte stellt eine Verletzung dar. Gleichzeitig muss das Unternehmen die Anträge der betroffenen Person unverzüglich und in einer Weise bearbeiten, die es den Betroffenen ermöglicht, ihre Rechte wahrzunehmen. Auskünfte können nur an die betroffene Person erteilt werden, weshalb es sehr wichtig ist, ihre Identität zu überprüfen. Dies ist besonders bei telefonischen Anfragen wichtig, um Betrugsfälle zu vermeiden. Im Zweifelsfall ist es notwendig, weitere Informationen über die Person einzuholen, um die Identität zu bestätigen. Bitte beachten Sie, dass die Kopien von Ausweisdokumenten nur in Ausnahmefällen möglich sind.
Welche Daten betrifft die Auskunft?
Auskünfte können nur über die personenbezogenen Daten der betroffenen Person erteilt werden. Falls eine Pseudonymisierung verwendet wird, ist es wichtig, die Daten bekannt zu machen. Alle Daten, unabhängig davon, ob sie in analoger oder elektronischer Form vorliegen (einschließlich der Kommentare), sollten als Teil der Antwort auf die Anfrage der betroffenen Person mitgeteilt werden. Die Informationen in der Rückmeldung auf die Auskunft der betroffenen Person sollten ihrer personenbezogenen Daten und andere ergänzende Informationen gemäß Artikel 15 der DSGVO enthalten. Die ergänzenden Informationen, die auch als Informationsübersicht bezeichnet werden, sind die Informationen, die weitgehend mit der Datenschutzerklärung des Unternehmens übereinstimmen. Es ist wichtig, festzuhalten, wann die Anfrage gestellt wurde, wann die Anfrage beantwortet wurde, wer die Informationen zur Verfügung gestellt hat und welche Informationen bereitgestellt wurden.
Form der Auskunft
Die DSGVO schreibt kein bestimmtes Formular für die Rückmeldung auf Auskunftsersuchen vor, sodass es möglich ist, ein eigenes zu entwerfen und zu formulieren. Artikel 12 befasst sich mit der Form der Informationen, die den betroffenen Personen zur Verfügung gestellt werden müssen. Sie müssen in knapper, transparenter, verständlicher und leicht zugänglicher Form mitgeteilt werden, und die Verantwortlichen sollten in ihrer schriftlichen oder elektronischen Kommunikation eine klare und einfache Sprache verwenden. Stellt die betroffene Person den Auskunftsersuchen auf elektronischem Wege, müssen die Informationen in einer gängigen elektronischen Form zur Verfügung gestellt werden, sofern die betroffene Person nichts anderes verlangt. Bitte beachten Sie, dass die betroffene Person angeben kann, in welcher Form sie eine Rückmeldung auf ihren Auskunftsantrag erhalten möchte.
Auskunftsersuchen Antwort Muster
„[Name] [Anschrift]
[Datum]
Sehr geehrte/r [Name der betroffenen Person]
Antrag auf Zugang zu den Daten der betroffenen Person
vielen Dank für Ihr Schreiben vom [Datum], mit dem Sie einen Antrag auf Zugang zu den Daten von [betroffene Person] gestellt haben. Wir freuen uns, die von Ihnen angeforderten personenbezogenen Daten beizufügen.
- die Zwecke der Verarbeitung;
- die Kategorien der betroffenen personenbezogenen Daten;
- die Empfänger oder Kategorien von Empfängern, an die personenbezogene Daten weitergegeben wurden oder werden, insbesondere in Drittländern oder internationalen Organisationen, einschließlich geeigneter Garantien für die Übermittlung von Daten;
- soweit möglich, die vorgesehene Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen des Rechts, die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung personenbezogener Daten der betroffenen Person zu verlangen oder gegen eine solche Verarbeitung Widerspruch einzulegen
- das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen;
- falls die Daten nicht bei der betroffenen Person erhoben wurden: die Quelle dieser Daten;
- das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Profiling, und aussagekräftige Informationen über die zugrunde liegende Logik sowie die Bedeutung und die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person.
Mit freundlichen Grüßen“
Sophia Müller ist bei der Keyed GmbH als Datenschutz Consultant tätig und unterstützt unsere Kunden im Aufbau von einem Datenschutz-Management-System. Durch die Klärungen zahlreicher datenschutzrechtlicher Fragestellungen und dem Jurastudium an der WWU in Münster, bringt Frau Sophia Müller die nötige Sachkenntnis mit.
