Navigation und Service

Direkt zu:

Logo der Stiftung Datenschutz

Eine Plattform für die Datendebatte

Wie können personenbezogene Daten effektiv und effizient geschützt werden? Wie bleibt Innovation trotzdem möglich? Die Bundesstiftung bietet ein Forum für die notwendige Diskussion.

Eine Plattform für die Datendebatte

Wie können personenbezogene Daten effektiv und effizient geschützt werden? Wie bleibt Innovation trotzdem möglich? Die Bundesstiftung bietet ein Forum für die notwendige Diskussion.

Inhalt

Auskunftspflicht

Rechtsgrundlage

Artikel 15 Datenschutzgrundverordnung und Erwägungsgründe 63 und 64, Artikel 12 Datenschutzgrundverordnung und Erwägungsgründe 58 und 59 sowie § 34 BDSG(neu)

Entsprechend den Informationspflichten müssen der betroffenen Person auch bei ihrem Recht auf Auskunft alle Mitteilungen über die Verarbeitung ihrer personenbezogenen Daten in präziser, transparenter, verständlicher sowie leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Dies muss unentgeltlich erfolgen (Artikel 12 DSGVO). 

Inhalt der Auskunftspflicht

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. 

Dies bedeutet, dass der Verantwortliche der betroffenen Person immer eine Antwort bzw. eine Auskunft geben muss, auch wenn er keine Daten über diese Person speichert. 

Im Einzelnen besteht ein Recht auf Auskunft über die folgenden Informationen: 

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, wobei bei einer Übermittlung in ein Drittland die betroffene Person auch das Recht hat, über die geeigneten Garantien unterrichtet zu werden;

Hinweis zur Auskunftspflicht bei einer Datenübermittlung in Drittländer:

Hinsichtlich der Definition von Drittländern wird auf die Ausführungen „Datenübermittlung in Drittländer“ verwiesen. Keine Drittländer sind die EU-Mitgliedstaaten und die Vertragsstaaten des EWR. Nach einer Mitteilung der Europäischen Kommission wird auch das Vereinigte Königreich ab 30.09.2019 als Drittland einzustufen sein.  

  1. die geplante Speicherdauer oder Kriterien für die Festlegung dieser Dauer;
  2. die Betroffenenrechte (Berichtigungs-, Löschungs-, Widerspruchsrechte oder Rechte auf Einschränkung der Verarbeitung);
  3. Beschwerderecht bei einer Aufsichtsbehörde;
  4. Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
  5. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Das sagen die Aufsichtsbehörden

Gemäß der Datenschutzgrundverordnung soll die Auskunft über die Kategorien personenbezogener Daten, die verarbeitet werden, erteilt werden. Hier könnte sich nun die Frage stellen, ob aufgrund einer möglichen Kategoriebildung weniger detailliert beauskunftet werden darf. Dies würde jedoch dem Transparenzgedanken der Datenschutzgrundverordnung widersprechen, insbesondere Artikel 5 Absatz 1a) DSGVO, da die Daten in einer für die betroffene Person nachvollziehbaren Weise zu verarbeiten sind. 

Die Aufsichtsbehörden vertreten hierzu die Auffassung, dass die betroffene Person ganz konkret Auskunft darüber verlangen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden (z. B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde).

Wie muss die Auskunft erfolgen?

Die Informationen sind nach der Vorgabe der Datenschutzgrundverordnung in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln (Artikel 12 DSGVO). Außerdem muss die Übermittlung unentgeltlich erfolgen. Dies muss nicht in schriftlicher Form, sondern kann auch in elektronischer Form oder per Fernzugriff erfolgen. Auf Wunsch der betroffenen Person kann die Auskunft ebenso mündlich erteilt werden. In diesem Falle sind jedoch an die Identitätsfeststellung erhöhte Anforderungen zu stellen. Im Falle von begründeten Zweifeln kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Die Aufsichtsbehörden verweisen auf die zusätzliche Angabe einer Postadresse.

Form: Schriftlich, elektronisch, mündlich, per Fernzugriff (zu einem sicheren System)
Bei elektronischen Auskunftsanfragen: Kopie der Informationen in einem gängigen elektronischen Format (z.B. pdf)
Bei mündlichen Auskunftsanfragen: erhöhte Anforderungen an die Identitätsfeststellung 

Frist der Auskunftserteilung

Die Frist für die Auskunftserteilung ist nicht in Artikel 15 DSGVO sondern in Artikel 12 Absatz 3 DSGVO geregelt („Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person“).Danach sind Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. In diesem Falle unterrichtet der Verantwortliche die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.

Frist: innerhalb eines Monat nach Eingang des Antrags
Fristverlängerung von zwei Monaten: Ausnahmefall!

Was Unternehmen außerdem beachten sollten:

  • Die Auskunft ist unentgeltlich zu erteilen, nur bei exzessiven Anträgen kann ausnahmsweise ein Entgelt verlangt werden. 
  • Das Auskunftsrecht soll die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf aber nicht dazu führen, dass jegliche Auskunft verweigert wird.
  • Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so darf er verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Die Aufsichtsbehörden nennen hier beispielhaft Versicherungsunternehmen sowie Banken, die im Einzelfall umfangreiche Vertragsbeziehungen zu den betroffenen Personen haben können.
  • Der deutsche Gesetzgeber hat die Auskunftspflicht weiter eingeschränkt. Für Unternehmen können etwa dann Ausnahmen von der Auskunftspflicht bestehen, wenn die Auskunftserteilung in den Fällen einer gesetzlichen/satzungsmäßigen Aufbewahrungspflicht oder einer Datenspeicherung für Zwecke der Datensicherung/Datenschutzkontrolle einen unverhältnismäßigen Aufwand darstellen würde. Dann muss sich jedoch ebenfalls sichergestellt sein, dass die Verarbeitung für andere Zwecke durch geeignete technische oder organisatorische Maßnahmen ausgeschlossen ist.  

    Aufgrund der Androhung der Bußgelder empfehlen die Aufsichtsbehörden die zügige Umsetzung von organisatorischen Maßnahmen, um das Auskunftsrecht sicherzustellen!

Links

Datenschutzkonferenz

Die Datenschutzkonferenz hat ein Kurzpapier „Auskunftsrecht der betroffenen Person“ veröffentlicht, abrufbar unter  https://www.lda.bayern.de/media/dsk_kpnr_6_auskunftsrecht.pdfDarin sind die wesentlichen Anforderungen an das Auskunftsrecht  zusammengefasst. Auch hier wird in Bezug auf die Rechte Dritter und die Geschäftsgeheimnisse lediglich allgemein darauf hingewiesen, dass dadurch das Auskunftsrecht eingeschränkt sein kann. Es werden aber keine Kriterien oder näheren Anforderungen benannt, etwa zum Abwägungsprozess. 

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Hier sind allgemeine Hinweise zu Informationspflichten, aber auch Auskunftsrechten zu finden. Der Landesbeauftragte weist nochmals besonders darauf hin, dass bei der Auskunft stets die Identität des Anfragenden nachgewiesen werden muss und bei Zweifeln daran die Auskunft nicht zu erteilen ist. (https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/informationspflichten-und-auskunftsrechte)

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Die Berliner Beauftragte informiert unter https://www.datenschutz-berlin.de/betroffenenrechte.html und unter dem Abschnitt „Transparenz“ über das Auskunftsrecht.

ZDH (Zentralverband des Deutschen Handwerks)

Speziell für das Handwerk hat der Zentralverband des Deutschen Handwerks ein Hinweisblatt zur Erteilung von Auskünften erstellt und eine Muster für Auskunftsersuchen veröffentlicht: https://www.zdh.de/fileadmin/user_upload/themen/Recht/Datenschutz/Handwerksbetriebe/ZDH_Praxis_Datenschutz_Erteilung_von_Auskuenften_Handwerksbetriebe.pdf (Erteilung von Auskünften) und https://www.zdh.de/fileadmin/user_upload/themen/Recht/Datenschutz/Handwerksbetriebe/Anlage_Muster_Auskunft_Kunde.docx (Muster Auskunft Kunde)

Industrie- und Handelskammern

Weitere Hinweise zu den Informationspflichten sind außerdem den Hinweisen der Industrie- und Handelskammern zu entnehmen, die in ihren Ausführungen zur Umsetzung der Datenschutzverordnung regelmäßig auch auf die Betroffenenrechte, wie Auskunftsrechte, eingehen.

Die IHK Rheinhessen stellt unter https://www.rheinhessen.ihk24.de/blob/mzihk24/fairplay/downloads/3878452/d548b77cae083a2aa03c895814bdad20/Merkblatt-EU-DS-GVO-Betroffenenrechte-data.pdfeinen Überblick speziell über die Betroffenenrechte zur Verfügung. Darin erfolgen ebenso Ausführungen zum Auskunftsrecht Artikel 15 DSGVO.

Die IHK Frankfurt hat ebenso eine Zusammenfassung über die Betroffenenrechte veröffentlicht. Auch hier erfolgt ein kurzer Hinweis auf das Auskunftsrecht, abrufbar unter https://www.frankfurt-main.ihk.de/recht/themen/datenschutzrecht/betroffenenrechte/index.html

Die IHK Kassel hat einen Newslettter zu den Betroffenenrechten unter https://www.ihk-kassel.de/solva_docs/NewsletterEU_DS_GVO8_2017_Betroffenenrechte.pdf.

EU Kommission
Die EU Kommission beantwortet unter https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/what-personal-data-and-information-can-individual-access-request_de  die Frage, auf welche personenbezogenen Daten eine Person auf Antrag zugreifen kann.

ICO: Britische Datenschutzbehörde (Information Commissioner's Office)
Die britische Datenschutzbehörde stellt unter https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/ eine englischsprachige Checkliste zu Auskunftsersuchen bereit.

Data Protection Commissioner (Datenschutzbehörde Irland)
Die irische Datenschutzbehörde gibt unter https://dataprotection.ie/documents/AccessGuidance.pdf Empfehlungen für Unternehmen und natürliche Personen im Hinblick auf Auskunftsrechte.