Viele unserer Mandanten erhalten in letzter Zeit Auskunftsanfragen nach Artikel 15 DSGVO. Meistens per E-Mail, einmal tatsächlich auch per Fax. Eine bestimmte Person verlangt darin Auskunft über die Datenverarbeitung. Wie soll man damit umgehen? Das möchte ich in diesem Beitrag für Sie kurz skizzieren. Außerdem stelle ich Ihnen eine Checkliste zu den Fragen: Wie ist bei einer Auskunftsanfrage konkret vorzugehen? Was ist zu beachten? zur Verfügung.
Umfangreicher Auskunftsanspruch nach Art. 15 DSGVO
Ausgangspunkt ist der Auskunftsanspruch nach Artikel 15 der Datenschutzgrundverordnung (DSGVO).
Danach hat „die betroffene Person“ (so nennt das Datenschutzrecht die Personen, deren Daten verarbeitet werden) das Recht, von dem Verantwortlichen (das ist in der Regel das Unternehmen, das personenbezogene Daten verarbeitet) eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und eine Reihe von bestimmten weiteren Informationen, die in Artikel 15 Absatz 1 DSGVO im Einzelnen aufgelistet sind.
Das müssen Sie zum Auskunftsanspruch nach DSGVO wissen
Folgendes sollten Sie auf jeden Fall wissen, wenn Sie sich mit einem Auskunftsanspruch konfrontiert sehen:
-
- Der Auskunftsanspruch wird sehr weit verstanden.
- Es ist über jedwede Datenverarbeitung Auskunft zu erteilen.
- Dazu sind auf Verlangen auch Kopien aller Daten herauszugeben (Art. 15 Absatz 3 DSGVO).
- Zu den Daten. Über die Auskunft zu erteilen ist, gehören auch interne Vermerke, Notizen etc. (vgl. https://meindatenschutzpartner.de/dsgvo/auskunftsanspruch/auskunftsanspruch-erfasst-auch-notizen-vermerke-und-protokolle/)
- Auch der E-Mail-Verkehr bzw. die Korrespondenz mit der Person ist zu beauskunften.
- Dabei ist die Schwelle der Unzumutbarkeit aufgrund der Menge an Daten sehr hoch.
- Findet gar keine Datenverarbeitung zu der Person statt, ist auch das zu beauskunften (so genannte „Negativauskunft“, vgl. https://meindatenschutzpartner.de/dsgvo/pflicht-zu-negativauskunft/)
- Die vollständige Auskunft ist bis spätestens 1 Monat nach Zugang der Anfrage zu erteilen.
- Bei Verspätung, unvollständiger Auskunft o.ä ist mit einer Beschwerde der Person bei der Aufsichtsbehörde und einem entsprechenden Verfahren zu rechnen, das auch mit einem Bußgeld enden kann.
- Darüber hinaus sprechen deutsche Gerichte zzt. bis zu 5.000 Euro immateriellen Schadensersatz zu, falls die Auskunft verspätet, gar nicht oder unvollständig erteilt wurde.
Checkliste für die Auskunftserteilung
Folgendes müssen Sie sich fragen, bevor Sie die Auskunft erteilen:
-
- Wer ist die anfragende Person? Ist sie auch diejenige, die sie vorgibt zu sein? (Sie müssen sicher sein mit der richtigen Person zu kommunizieren und sind berechtigt nachzufragen und Nachweise vorlegen zu lassen. Die Frist beginnt erst mit ausreichender Sicherheit, dass die richtige Person anfragt).
- Wenn die Person identifiziert ist: Schicken Sie eine Eingangsbestätigung („Wir haben ihre Anfrage erhalten und melden uns baldmöglichst wieder“ oder so ähnlich).
- Notieren Sie auf jeden Fall die Monatsfrist. Bis dahin muss alles erledigt sein.
- Nächste Frage, die Sie sich stellen müssen: Haben wir überhaupt Daten zu der anfragenden Person? Wenn Nein: Negativauskunft erteilen. Wenn Ja: Daten zusammenstellen.
- Weiter: Welche Datenquellen haben wir überhaupt im Unternehmen? (Sie müssen wissen, wo Sie suchen sollten. Dazu ist es erforderlich alle Tools, Anwendungen, Datenbanken etc. zu kennen, damit überhaupt die Auskunft vollständig erteilt werden kann. Das kann und sollte man übrigens vorbereiten).
- Nächste Frage: Wie stelle ich die Daten zusammen? (Es sollte vorab in einem Auskunftskonzept Vorlagen, ein Muster zur Auskunftserteilung geben, damit Sie jetzt nicht in Hektik geraten, weil noch nichts da ist).
- Vor der Erteilung der Auskunft: Gegenprüfen, ob Sie alles haben, die Daten auch transparent, vollständig und systematisch zur Verfügung gestellt werden. Prüfen Sie auch, ob Sie alle Infos berücksichtigt haben.
- Fragen Sie sich vor der Versendung an die Person, ob Sie selbst mit der Antwort zufrieden und ausreichend informiert wären.
- Dokumentation nicht vergessen (Sie müssen nachweisen können, dass Sie beauskunftet haben, wie sie das getan haben, dass Sie dies innehrlab der Frist getan haben, dass die Auskunft vollständig war usw. Denn es gilt in der DSGVO eine Rechenschaftspflicht des Verantwortlichen).
Wobei kann ich Ihnen helfen?
Letztlich bei allem. Angefangen von der gemeinsamen Erstellung eines Konzepts zur Auskunftserteilung, das die Kommunikationswege, die Verantwortlichkeiten, die Mustertexte usw. beinhaltet, bis hin zur konkreten Begleitung und Unterstützung in der Auskunftserteilung selbst. Natürlich berate und vertrete ich Sie auch dann wen die Aufsichtsbehörde ins Spiel kommen sollte.
Rufen Sie mich an oder schreiben Sie mir eine E-Mail und informieren Sie sich, was ich alles für Sie tun können:
Telefon: 0721 / 120 5090
E-Mail: info@meindatenschutzpartner.de
Timo Schutt
Fachanwalt für IT-Recht
Externer Datenschutzbeauftragter