Wie prognostiziert hat seit Wirksamwerden der Datenschutzgrundverordnung die Zahl der Auskunftsersuchen, die Unternehmen erreichen, deutlich zugenommen. Auch uns erreichen daher nahezu täglich Fragen von Unternehmen, wie sie damit im Allgemeinen aber auch in Spezialfällen umgehen sollen. Die häufigsten Fragen haben wir hier zusammengestellt und beantwortet:
Übersicht
Was ist ein Auskunftsanspruch nach DSGVO überhaupt?
Der Auskunftsanspruch gem. Art. 15 DSGVO gibt jedermann die Möglichkeit zu erfahren, welche personenbezogenen Daten Unternehmen über sie speichern. Der Anspruch ist ein wesentlicher Teil der so genannten Betroffenenrechte der Datenschutzgrundverordnung. Unternehmen sind verpflichtet, Auskunftsersuchen zu erfüllen.
Muss das Auskunftsersuchen begründet sein?
Nein. Auskunft darf vom Betroffenen grundsätzlich zu jeder Zeit und ohne Begründung verlangt werden.
Woher wissen wir, ob das Auskunftsersuchen von dem richtigen Kunden stammt?
Auskünfte über gespeicherte Daten dürfen natürlich nur an die betreffenden Personen erteilt werden. Sollten berechtigte Zweifel an der Identität des Anspruchstellers bestehen, können weitere Informationen verlangt werden, die eine eindeutige Identifizierung ermöglichen. Genau genommen müssen bei solchen Zweifel weitere Identifikationsmerkmale abgefragt werden. Diese können – je nach Sensibilität der gespeicherten Daten – die Kundennummer, eine Postadresse oder etwa das Geburtsdatum sein – Daten die andere nicht ohne weiteres wissen können. Bestehen keine Zweifel – etwa weil das Auskunftsbegehren von der E-Mail-Adresse stammt, mit der die bisherige Kommunikation geführt wurde – dürfen auch weitere Identifikationsmerkmale nicht gefordert werden. Die Auskunft darf nicht unnötig erschwert werden.
Dürfen wir eine Kopie des Personalausweises verlangen?
Nicht standardmäßig abgefragt werden dürfen Ausweiskopien. Zulässig ist das nur im Ausnahmefall, wenn es um besonders sensible Daten geht oder ernsthafte Zweifel an der Identität es Anfragenden bestehen. Hier sind zudem die besonderen Vorschriften von § 20 Abs. 2 PAuswG zu beachten.
Wie antworten wir, wenn bestimmte Informationen dem Antragsteller nicht zugeordnet werden können (z.B. pseudonyme Tracking-Daten)?
In manchen Fällen ist es nach der Anonymisierung oder Pseudonymisierung von personenbezogenen Daten nicht mehr oder nur mit großem Aufwand möglich, die ursprünglichen, unverschlüsselten Daten des Betroffenen wiederherzustellen. Hier besteht keine Verpflichtung, die erforderlichen Mittel nur wegen des Auskunftsersuchens des Betroffenen einzusetzen. Der Auskunftspflicht muss nicht mit einer solchen „Reidentifizierung“ nachgekommen werden. Eine Auskunft über Daten, die etwa bei Nutzung der Unternehmenswebsite angefallen sein mögen, muss daher im Regelfall nicht erfolgen.
Wie ist das Auskunftsersuchen eines Nicht-Kunden zu handhaben?
Wenn überhaupt keine Daten des Betroffenen verarbeitet werden, ist die einzig verbleibende Pflicht die zur Negativauskunft, in der man dem Betroffenen mitteilt, dass man über keine ihn betreffenden Daten verfügt.
Müssen wir auch Auskunft über das Auskunftsersuchen selbst erteilen?
Ein Problem ist, dass ja personenbezogene Daten auch im Auskunftsersuchen vorhanden sind. Wenn man vollständig korrekt antworten möchte, müsste man also auch insoweit Auskunft erteilen. Dies bedeutet aber, dass man auch über die sonstigen Angaben aus Art. 15 Abs. 1 DSGVO machen muss. Auch über Speicherdauer, Zweck und Beschwerderechte muss also informiert werden. Eine Negativauskunft gibt es dann nicht mehr.
Aus unserer Sicht wäre das bloße Förmelei und das kann nicht Sinn der Vorschrift sein. Es erscheint daher auch möglich, in der Negativauskunft lediglich in einem Nebensatz auf die Existenz des Auskunftsbegehrens hinzuweisen („Mit Ausnahme der in Ihrem Auskunftsbegehren enthaltenen Angaben speichern wir keine…“). Wer sicher gehen möchte, belehrt vollständig.
Innerhalb welcher Frist muss unsere Antwort erfolgen?
Grundsätzlich muss die Auskunft unverzüglich – also so schnell das im normalen Geschäftsgang möglich und tunlich ist – erteilt werden. Als Grenze legt Art. 12 Abs. 3 einen Monat fest. Eine Fristverlängerung ist nur in besonderen Ausnahmefällen möglich. Ein solcher Ausnahmefall liegt nicht schon vor, wenn bestimmte Mitarbeiter krank oder im Urlaub sind. Eine unvorhersehbare Vielzahl oder eine besondere Komplexität von Auskunftsersuchen kann eine Verlängerung der Frist ausnahmsweise rechtfertigen. Der Betroffene muss über den Grund der Verzögerung innerhalb der Monatsfrist informiert werden.
Auf welchen Zeitpunkt kommt es für die Auskunftserteilung an, den Zeitpunkt des Eingangs des Ersuchens oder den Zeitpunkt von dessen Beantwortung?
Häufig ändert sich der Datenbestand zwischen Eingang und Auskunftserteilung. Der DSGVO lässt sich nicht zweifelsfrei entnehmen, auf welchen Zeitpunkt es dabei ankommen soll. Einerseits möchte der Betroffene den Stand der Dinge wissen. Andererseits kann im Zeitpunkt der Erteilung der Auskunft eben auch lediglich über den Stand der dann (noch oder schon) gespeicherten Daten Auskunft erteilt werden. In der Praxis ergibt sich wohl kein großer Unterschied, weil der Betroffene ggf. nachweisen müsste, dass die Auskunft fehlerhaft ist, was ihm regelmäßig schwer fallen dürfte.
Wie genau muss der Verarbeitungszweck erklärt werden?
Nach Art. 15 Abs. 1 lit. a DSGVO muss auch der Verarbeitungszweck mitgeteilt werden. Wie detailliert dem Betroffenen die Zwecke der Verarbeitung erläutert werden müssen, ist je nach Verarbeitungstätigkeit unterschiedlich. Zumindest muss der konkrete Geschäftszweck (oder Forschungs-, Wissenschaftszweck etc.) dargelegt werden. Die bloße Information, dass die Daten aus berechtigten Interessen verarbeitet werden, genügt nicht. Ausreichend wäre je nach Fallgestaltung aber zum Beispiel „Marketing“ oder „Werbung“.
Was geben wir bei der Speicherdauer an?
Jedes Unternehmen muss für alle gespeicherten personenbezogenen Daten wissen, wann diese gelöscht werden sollen. Dies ist jedenfalls grundsätzlich auch im Verzeichnis der Verarbeitungstätigkeiten festzuhalten. Insofern muss man lediglich dort schauen, die Frist auf den konkreten Fall anwenden und die Mitteilung machen. Soweit die Theorie.
In der Praxis ist es häufig schwierig sein, die Speicherdauer zu ermitteln. Allerdings muss dem Betroffenen jedenfalls mitgeteilt werden, nach welchen Kriterien die Speicherdauer im Unternehmen bestimmt wird, zum Beispiel anhand von gesetzlichen Speicher- und Löschfristen.
Müssen wir wirklich eine Kopie aller gespeicherten Daten übersenden?
Grundsätzlich muss zunächst nur Auskunft über die Art der gespeicherten Daten Auskunft erteilt werden. Verlangt der Betroffene eine Kopie der Daten, muss nach Art. 15 Abs. 3 DSGVO auch eine Kopie übermittelt werden. Diese Kopie muss grundsätzlich vollständig sein – aber natürlich nur die personenbezogenen Daten umfassen. Bei großen Datenmengen kann empfehlenswert sein, bei dem Betroffenen nachzufragen, ob er wirklich alle Daten erhalten oder sein Auskunftsersuchen präzisieren möchte.
Wann kann die Auskunft verweigert werden?
Es gibt einige Ausnahmen vom Auskunftsrecht. Wenn etwa durch die Auskunftserteilung die Rechte Dritter betroffen sind, muss die Auskunft insoweit nicht erteilt werden. Dies können das Persönlichkeits- aber auch Urheberrechte sein.
Auch bei rechtsmissbräuchlichen Anfragen kann das Ersuchen abgelehnt werden. Das ist aber dünnes Eis und sollte jeweils genau geprüft werden. Dass jemand mehrfach Auskunftsersuchen stellt, muss ein Unternehmen hinnehmen und macht die Ersuchen nicht rechtsmissbräuchlich. Macht aber etwa ein Rechtsanwalt für viele Mandanten mit gleichlautenden Schreiben Auskunftsansprüche (und Kosten) geltend, ohne dass irgendein Zusammenhang der Mandanten mit dem Unternehmen erkennbar ist, mag ein Rechtsmissbrauch nahe liegen.
Was ist, wenn in den Daten auch Namen Dritter enthalten sind?
Dass in Dokumenten neben den personenbezogenen Daten des Betroffenen weitere Daten enthalten sind, genügt nicht, um die Auskunft zu verweigern. Gegebenenfalls müssen die Daten, die den Betroffenen direkt betreffen, geschwärzt werden. Dass ist aber nicht erforderlich, wenn der Betroffene diese Informationen schon hat – eine Rechtsverletzung also gar nicht eintreten kann.
Was sind die Folgen eines Verstoßes gegen die Auskunftspflicht?
Ein Verstoß oder ein Versäumnis der Auskunftspflicht ist ein Verstoß gegen die DSGVO. Geschieht dies gehäuft oder regelmäßig, kann eine Behörde ein Bußgeld verhängen. Dass dabei der Bußgeldrahmen ausgeschöpft wird, ist nicht zu erwarten.
Außerdem können Betroffene Schadensersatz verlangen, wenn ihnen durch die fehlerhafte oder ausbleibende Auskunft Schäden entstanden sind. Das ist nicht ausgeschlossen, aber eher unwahrscheinlich, weil der Betroffene nachweisen muss, dass der Schaden entstanden ist und gerade auf dem Datenschutzverstoß beruht.
Stimmt es, dass die Auskunftserteilung kostenfrei erteilt werden muss?
Ja. Die erste Auskunft ist über die Verarbeitung personenbezogener Daten ist immer unentgeltlich zu erteilen. Für alle weiteren oder missbräuchlichen Anfragen darf Kostenerstattung erlangt werden, es sei denn, der vom Verarbeiter verarbeitete Datensatz hat sich inzwischen wesentlich verändert. Dann wird das Ersuchen wie eine ganz neue Anfrage betrachtet.