Auskunftsrecht: DSGVO-Wissen für Betroffene & Unternehmen

Fachbeitrag

Das Auskunftsrecht aus Art. 15 DSGVO ist eins der zentralen Betroffenenrechte und dient der Transparenz. Nur der informierte Betroffene kann die Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten prüfen und feststellen, ob er ggf. weitere Ansprüche geltend machen kann. Dieser Beitrag soll die wichtigsten Fragen zum Auskunftsrecht beantworten.

Was beinhaltet das Auskunftsrecht?

Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und darüber hinausgehende Informationen zu deren Verarbeitung.

Das Auskunftsrecht untergliedert sich demnach in zwei Stufen. Zunächst können betroffene Personen von dem Verantwortlichen eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Werden keine personenbezogenen Daten eines Antragstellers verarbeitet, ist der Antragsteller darüber zu informieren (sog. „Negativauskunft„). Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten. Zusätzlich hat der Verantwortliche nach Art. 15 Abs. 1 DSGVO auch die folgenden Informationen bereitzustellen:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Widerspruchsrecht gegen diese Verarbeitung
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren

Werden personenbezogene Daten in Drittländer übermittelt, haben betroffene Personen darüber hinaus nach Art. 15 Abs. 2 DSGVO das Recht, über die in Zusammenhang mit der Datenübermittlung getroffenen geeigneten Garantien gemäß Art. 46 DSGVO (z.B. vereinbarte EU-Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften) informiert zu werden.

Wer ist berechtigt Auskunft zu verlangen?

Die Auskunft ist nach Art. 15 DSGVO nur der betroffenen Person zu erteilen. Diese kann eine dritte Person mit der Ausübung bevollmächtigen oder gem. Art. 80 DSGVO eine der dort genannten Organisationen mit der Rechtsausübung beauftragen. Der Verantwortliche muss dafür sorgen, dass Daten nicht in die „falschen Hände“ gelangen und ggf. die Identität überprüfen. Werden Auskünfte ohne Berechtigung erteilt, liegt regelmäßig eine Datenpanne nach Art. 33 DSGVO vor.

Wie ist das Auskunftsrecht durchzusetzen?

Nach Art. 12 Abs. 1 DSGVO können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden. Erfolgt die Auskunftserteilung mündlich, muss die Identität der betroffenen Person jedoch in anderer Form nachgewiesen werden. Wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch stellt, sind die zur Verfügung zu stellenden Informationen gemäß Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z.B. als PDF). In Erwägungsgrund 63 zur DSGVO heißt es diesbezüglich, dass der Verantwortliche nach Möglichkeit den Fernzugang zu einem sicheren System bereitstellen können sollte, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. In jedem Fall ist bei der Auskunftserteilung darauf zu achten, dass angemessene Sicherheitsanforderungen eingehalten werden.

Innerhalb welchen Zeitraums muss die Anfrage beantwortet werden?

Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, sind ihr die zu erteilenden Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann in komplexen Fällen um zwei Monate verlängert werden. Über Fristverlängerungen ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang ihres Antrags zu informieren.

Wird die Monatsfrist versäumt, kann ggf. ein Anspruch auf Schadensersatz entstehen, wenn der Betroffene sich aufgrund des Verzuges (der ohne Mahnung eintritt) einen Anwalt nimmt, um seinen Anspruch durchsetzen.

Wie häufig kann Auskunft verlangt werden und welche Kosten entstehen hierdurch?

Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Nach Art. 12 Abs. 5 DSGVO hat der Verantwortliche diese Informationen grundsätzlich kostenlos zur Verfügung zu stellen.

Verlangt die betroffene Person über die kostenlos zur Verfügung gestellte Kopie hinaus weitere Kopien, kann der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Außerdem kann der Verantwortliche im Falle unbegründeter oder exzessiver Anträge durch eine betroffene Person gemäß Art. 12 Abs. 5 DSGVO entweder ein angemessenes Entgelt verlangen oder eine Auskunftserteilung verweigern. Allerdings hat der Verantwortliche auch den Nachweis dafür zu erbringen, dass der Antrag ausnahmsweise als unbegründet eingestuft wird. Nach Art. 12 Abs. 4 DSGVO ist die betroffene Person über die Gründe der verweigerten Auskunftserteilung zu informieren.

Dies bedeutet jedoch nicht, dass der Verantwortliche der betroffenen Person nach einmaliger Auskunftserteilung keine weiteren kostenlosen Auskünfte mehr zu erteilen braucht. In Erwägungsgrund 63 zur DSGVO heißt es, dass betroffene Personen ihr Recht auf Auskunftserteilung in angemessenen Abständen wahrnehmen können sollten.

Kann die Auskunft verweigert werden?

Auskunftsersuchen sind durch den Verantwortlichen nicht in jedem Fall zu beantworten. Neben der Möglichkeit, eine Auskunftserteilung bei unbegründeten oder exzessiven Anträgen zu verweigern, können Verantwortliche, die eine große Menge von Informationen über die betroffene Person verarbeiten, gemäß Erwägungsgrund 63 zur Datenschutz-Grundverordnung verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung zu erfolgen hat. Gemäß Art. 15 Abs. 4 DSGVO kann von einer Auskunftserteilung ausnahmsweise auch dann abgesehen werden, wenn dies die Rechte und Freiheiten anderer Personen beeinträchtigen würde.

Weiter kann die Auskunft nach § 34 BDSG verweigert werden, wenn

  • die Daten nur noch aufgrund gesetzlicher Aufbewahrungsvorschriften gespeichert bleiben müssen und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2a BDSG),
  • wenn es sich ausschließlich um Archiv- und Protokollierungsdaten handelt und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2 b BDSG) oder
  • wenn ein Interesse an Geheimhaltung besteht (§ 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG).

Die Ablehnungsgründe müssen gemäß § 34 Abs. 2 BDSG dokumentiert werden und der Betroffene informiert, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.

Was müssen Verantwortliche beachten?

Für Verantwortliche im Sinne der DSGVO, also insbesondere Unternehmen, empfiehlt es sich, rechtzeitig organisatorische Vorkehrungen zu treffen, um Auskunftsersuchen schnell und vollständig beantworten zu können. Denn gemäß der Art. 12 Abs. 1 und Art. 5 Abs. 2 DSGVO haben Verantwortliche bereits vorbereitend geeignete organisatorische Maßnahmen zu treffen, um betroffenen Personen beantragte Auskünfte fristgerecht und in einer geeigneten Form zur Verfügung zu stellen.

Festzuhalten ist, dass Auskunftsersuchen ernst zu nehmen sind, da die unzulässige Weigerung einer Auskunft oder das Aussitzen des Ersuchens zu einem hohen Bußgeld führen kann. Hierbei sind nach Art. 83 Abs. 5 DSGVO Bußgelder bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes möglich.

Lesen Sie morgen mehr zu einer aktuellen Entscheidung des BAG und dem Umfang des Auskunftsrechts im Beschäftigungsverhältnis.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

8 Kommentare zu diesem Beitrag

  1. Welche Daten darf ein Unternehmen (sinnvoll) abfragen, um dem Auskunftsersuchen nachkommen zu können? Beispiel: ich bin mit einer E-Mail Adresse bei einer Online Händler-Plattform registriert, von dem ich Auskunft verlange da ein Datenleck bekannt wurde. Für diese Adresse habe ich per E-Mail von dieser Adresse aus um Auskunft gebeten. Ob ich da je was gekauft habe, mal egal. Der Shop antwortet nun, er benötige erst einmal eine Vielzahl von Daten, um dem Auskunftsbegehren nachkommen zu können:

    „Vor- und Nachnamen
    Geburtsdatum
    E-Mail-Adresse, die du bei einem Kauf mit XYZ verwendet hast
    die XYZ-Rechnungsnummer zu einer deiner Bestellungen
    den Namen eines Händlers, bei dem du eine Bestellung getätigt hast
    den genauen Rechnungsbetrag einer deiner Bestellungen
    deine Rechnungsadresse (solltest du das Produkt MMM genutzt haben)

    Solltest du innerhalb der letzten 24 Monate umgezogen sein, bitten wir dich uns zwecks Prüfung deine alte und neue Meldeanschrift mitzuteilen.

    Bitte beachte, dass wir aus Sicherheitsgründen deinen Datenauszug verschlüsselt übermitteln. Damit du den Sicherheitscode zur Entschlüsselung des Datenauszugs erhalten kannst, benötigen wir des Weiteren eine aktuelle Handynummer.“

    Ich verstehe, dass man sicherstellen muss, dass die Auskunftsdaten zur richtigen Person und an die richtige Person erfolgen, aber da wird ja mehr abgefragt als die vermutlich jemals über mich gespeichert hatten. Ist das Zielsetzung der Auskunftserteilung, dass man erstmal mehr preisgeben muss, als man sonst mitgeteilt bekommen hätte?

    Sollte man es versuchen mit Name, Geburtsdatum und beim Rest sagen: weiß ich nicht?

    mfg
    derbo73

    • Die Beweislast für das Erheben des Auskunftsanspruch liegt grundsätzlich beim Betroffenen. Kann dieser den Beweis erbringen, liegt der Ball beim Verantwortlichen. Spätestens bei der Nachfrage des Betroffenen sollte der Verantwortliche jedoch reagieren, denn zumindest in dieser Nachfrage liegt ein Auskunftsersuchen.

  2. Der Auftragsdatenverarbeiter weigert sich mir eine Kopie der von ihm verarbeiteten personenbezogenen Daten zukommen zu lassen. Er weigert sich sich auch eine Kopie der nicht bei mir erhobenen Daten zur Verfügung zu stellen. Ein Kinderarzt hatte im März 2020 dem Gutachter (Verarbeiter) eine Stellungnahme zukommen lassen. Als Vater bin ich mit meinem Sohn verknüpft. Bis zum 27.09.2021 hatte ich Sorgerecht. Wie ich jedoch herausgefunden habe weicht die Stellungnahme des Arztes von dem Inhalt des Datenverarbeiter ab. Ich habe den Datenverarbeiter um Auskunft gemäß Art 15. DSGVO für mich und meinen Sohn gestellt. Nun beruft sich der Datenverarbeiter darauf, dass ich seit dem 27.09.2021 kein Sorgerecht habe, und er mir keine Auskunft erteilen will. Der Verarbeiter beruft sich auf das Berufsgeheimnis und das ich kein Sorgerecht mehr habe. Wie sieht die rechtliche Grundlage aus?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.