Manche Unternehmen sehen sich in ihrer täglichen Arbeit mit einer Vielzahl an Auskunftsanfragen konfrontiert. Je nach Umfang der gespeicherten Daten und der Gestaltung der Anfrage kann die Beantwortung einen hohen Aufwand für die Unternehmen bedeuten. Deshalb kann sich die Frage stellen, ob und unter welchen Voraussetzungen eine Auskunftserteilung verweigert werden kann.
Der Inhalt im Überblick
Auskunft nach § 34 BDSG
Das Auskunftsrecht nach § 34 BDSG ist das zentrale Recht der Betroffenen im Datenschutz. Durch dieses erhalten die Betroffenen erst die Möglichkeit, herauszufinden, wer was über sie weiß, um dann ihre weiteren Rechte auf Berichtigung, Löschung und Sperrung oder Widerspruch geltend machen zu können. Damit ist das Auskunftsrecht eine wichtige Grundlage für den Schutz des informationellen Selbstbestimmungsrechts.
Gemäß § 34 Abs. 1 S. 1 BDSG können Betroffene grundsätzlich Auskunft verlangen über:
- die zu ihrer Person gespeicherten Daten, auch soweit sie sich auf die Herkunft der Daten beziehen,
- den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
- den Zweck der Speicherung.
Sind über den Betroffenen keine Daten gespeichert, muss ihm das ebenfalls mitgeteilt werden (sog. Negativauskunft).
Form des Auskunftsersuchens
Für das Auskunftsverlangen ist weder eine Angabe von Gründen, noch eine bestimmte Form erforderlich. Der Betroffene muss auch keinen bestimmten Anlass für sein Begehren oder ein besonderes Interesse an der Auskunft darlegen.
Zwar soll der Betroffene nach § 34 Abs. 1 S. 2 BDSG die Art der Daten näher bezeichnen, über die Auskunft erteilt werden soll. Dabei handelt es sich aber nur um eine Soll-Vorschrift, sodass die Auskunftserteilung nicht aufgrund der fehlenden Konkretisierung verweigert werden darf. Lehnt der Betroffene auch auf eine Rückfrage hin die Präzisierung seines Verlangens ab, müssen Unternehmen umfassend Auskunft erteilen.
Gesetzliche Ausnahmen von der Auskunftspflicht
§ 34 Abs. 7 BDSG und § 34 Abs. 1 S. 4 und Abs. 3 S. 3 BDSG sehen einige gesetzliche Ausnahmen vor, in denen eine Pflicht zur (umfassenden) Auskunftserteilung ausnahmsweise nicht besteht.
Die Ausnahmetatbestände sind im Hinblick auf den grundgesetzlichen Schutz des informationellen Selbstbestimmungsrechts allgemein eng auszulegen. Relevant sind vor allem die Fälle, in denen besondere Geheimhaltungsinteressen der Unternehmen an den betroffenen Daten bestehen.
Wichtig ist, dass Unternehmen die Verweigerung der Auskunft grundsätzlich unter Angabe der die Ausnahme rechtfertigenden Vorschrift schriftlich begründen müssen. Sie dürfen die Anfrage nicht einfach unbeantwortet lassen oder kommentarlos bestimmte Daten weglassen. Ebenso darf nicht wahrheitswidrig behauptet werden, es wären keine Daten zu dem Betroffenen gespeichert.
Mangelnde Identifizierung des Betroffenen
Der Auskunftsanspruch nach § 34 BDSG steht nur dem Betroffenen zu. Da die Auskunft an einen Dritten (ohne entsprechende Vollmacht) eine grundsätzlich unbefugte Datenübermittlung ist und eine Ordnungswidrigkeit darstellen kann, sind Unternehmen berechtigt und bei Zweifeln auch dazu verpflichtet, die Identität des Auskunftsersuchenden zu prüfen.
Weist der Betroffene in diesen Fällen seine Identität nicht glaubwürdig nach (stimmen z.B. die von ihm angegebenen Daten nicht mit den gespeicherten überein), besteht keine Pflicht zur Auskunft, solange bis er einen zutreffenden Identitätsnachweis vorlegt.
Die Art und Weise der Identifizierung hängt dabei im Wesentlichen davon ab, über welche Daten die Unternehmen bereits verfügen und wie groß die Sensibilität der zu beauskunftenden Daten ist. Hat der Betroffene gegenüber dem Unternehmen beispielsweise eine Telefonnummer angegeben, kann eine telefonische Rückfrage zur Identitätsprüfung erfolgen. Gegebenenfalls kann auch eine Kopie eines Personalausweises oder Reisepasses angefordert werden.
Zuordnung der Daten nicht möglich
Sollten bei einem Unternehmen gespeicherte Daten mit den aus dem Auskunftsverlangen ersichtlichen Angaben keinem bestimmten Betroffenen zugeordnet werden können, kann die Auskunftspflicht ebenfalls entfallen.
Allerdings darf ein Auskunftsantrag nicht allein mit dem Hinweis abgelehnt werden, dass keine Namen und Anschriften gespeichert wurden. Vielmehr ist den Betroffenen in solchen Fällen mitzuteilen, dass nur Auskunft erteilt werden kann, wenn sie ergänzende Angaben machen.
Verweigern sie eine Ergänzung ihrer Anfrage und ist sonst eine sichere Zuordnung der Person und Daten unmöglich, entfällt die Auskunftspflicht, da das Unternehmen sich in diesem Fall darauf berufen kann, dass bei ihm keine personenbezogenen Daten vorliegen.
Rechtsmissbrauch
In Ausnahmefällen kann die Auskunftsverteilung auch verweigert werden, wenn der Betroffene sich rechtsmissbräuchlich verhält.
Rechtsmissbrauch kann beispielsweise aufgrund der Häufigkeit eines Auskunftsverlangens gegeben sein. Das wird teilweise bei einem mehrfachen Verlangen nach inhaltsgleicher Auskunft im Abstand von weniger als acht Wochen ohne besondere Gründe angenommen.
Hierbei handelt es sich aber um absolute Ausnahmen, sodass in Zweifelsfällen vorsorglich Auskunft erteilt werden sollte.
Jedenfalls Anfragen beantworten
Auf die Beantwortung eines Auskunftsverlangens haben die Betroffenen nach § 34 BDSG einen gesetzlichen Anspruch. Wird ein Auskunftsbegehren ignoriert, kann der Betroffene bei der zuständigen Datenschutzaufsichtsbehörde eine Beschwerde einreichen.
Die Nichtbeantwortung einer Auskunftsanfrage ist – ebenso wie eine unrichtige, unvollständige oder nicht rechtzeitige Auskunft – eine Ordnungswidrigkeit und kann mit einer Geldbuße geahndet werden. Deshalb sollten Unternehmen auf Anfragen grundsätzlich immer antworten und auch eine Verweigerung der Auskunft möglichst ausführlich begründen.
Mir stellt sich die Frage, wie genau die „rechtzeitige Auskunft“ definiert ist. Gibt es hier eine vorgeschriebene Zeitspanne, innerhalb der die Anfrage beantwortet werden muss? Ist es möglich, einen Zwischenbescheid zu schicken, dass die Anfrage zeitnah bearbeitet wird? Wenn ja, muss hier ein konkretes Datum genannt werden? Sollte die Bearbeitung länger dauern, steht dann schon eine Ordnungswidrigkeit mit entsprechender Geldbuße im Raum?
Grüße
Sylvia
Das Gesetz nennt keine konkrete Frist für die Auskunftserteilung, es gilt aber der Grundsatz der „Unverzüglichkeit“. Im Rahmen der üblichen Geschäftszeiten wird hier eine Frist von ca. zwei Wochen angemessen sein. Besondere Umstände können aber auch eine längere Frist rechtfertigen, dann sollte die verantwortliche Stelle den Betroffenen aber tatsächlich zwischenzeitlich informieren, um die Einschaltung der Aufsichtsbehörde zu vermeiden. Ein gesetzlicher Anspruch auf einen solchen Zwischenbescheid oder die Nennung eines konkreten Datums besteht nicht. Sollte die Auskunftserteilung nicht rechtzeitig erfolgen, stellt dies eine Ordnungswidrigkeit nach § 43 Abs. 1 Nr. 8a BDSG dar.
Wie lange darf sich eine auskunftspflichtige Stelle Zeit für eine Auskunft lassen? Gibt es da Richtwerte?
Grundsätzlich sind doch nur staatliche Stellen befugt, eine Kopie des Personalausweises zu verlangen. Stimmt das? Falls ja: Wie kann ein Unternehmen eine Identität prüfen?
Danke für eine Antwort.
Hinsichtlich der zulässigen Fristen zur Auskunftserteilung darf ich Sie auf die Antwort zum vorherigen Kommentar verweisen.
Nähere Informationen zum Kopieren von Personalausweisen finden Sie in unserem Beitrag: https://www.dr-datenschutz.de/wann-ist-das-kopieren-des-personalausweises-erlaubt/. Unter den dort genannten Voraussetzungen sind grundsätzlich nicht nur staatliche Stellen, sondern auch Unternehmen zum Anfertigen von Ausweiskopien befugt.
Ist die Kopie des Ausweises nicht gewollt, gibt es alternative Wege, um die Identität des Auskunftsersuchenden festzustellen. Die Art und Weise der Identifizierung hängt dabei im Wesentlichen davon ab, über welche Daten das Unternehmen bereits verfügt. So kann – sofern der Betroffene gegenüber dem Unternehmen eine Telefonnummer angegeben hat – beispielsweise eine telefonische Rückfrage zur Identitätsprüfung erfolgen. Möglich wäre auch die Anforderung weiterer legitimierender Informationen (z.B. Geburtsdatum, Postanschrift, ggf. Identitätsbestätigung per Fax, o.Ä.). Wichtig ist, dass die zur Identifizierung erhaltenen Daten jeweils nur zur Identifizierung verwendet werden dürfen und danach unverzüglich zu löschen sind.
Am § 34 erkennt man am besten den rechtlichen Status des BDSG: Auskunfteien wie Schufa, Bürgel oder Creditreform geben weder preis, wie besondere personenbezogene Daten erhoben werden, noch was im Detail gespeichert wird. Der Auskunftspflicht kommen sie darüber hinaus nur sehr eingeschränkt nach.
An wen kann man sich wenden, wenn eine Firma nicht auf das Auskunftsersuchen reagiert?
Wird ein Auskunftsersuchen ignoriert, kann sich der Betroffene an die zuständige Datenschutzaufsichtsbehörde wenden. Eine Übersicht über die Aufsichtsbehörden und Landesdatenschutzbeauftragten bietet zum Beispiel das Datenschutz-Wiki.
Gilt die Auskunftspflicht auch für Gewerbetreibende natürliche Personen? Kann ich aufgrund der DSGVO eine neue Auskunft verlangen?
Verantwortlich für die Verarbeitung personenbezogener Daten kann auch eine natürliche Person sein. Hinsichtlich der Häufigkeit der Auskunft sagt das Gesetz, dass häufige Wiederholungen ohne nachvollziehbaren Anlass ein Ablehnung der Auskunft oder eine Kostenerstattungspflicht des Auskunftsersuchenden begründen können, vgl. Art. 12 Abs. 5 und Art.
15 Abs. 3 Satz 2 DSGVO („bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person“). Wenn Sie nun in diesem Jahr bereits einmal Auskunft verlangt haben, ist ein zweites Mal eher nicht exzessiv, da der Umfang des Auskunftsrechts erweitert wurde.
Kann und darf ein Rechtsanwalt ohne Vollmacht, sondern in eigener Sache Auskunft über mögliche gespeicherte Daten bei einer Behörde z.B. Pass oder Anschriften über einen Dritten verlangen?
Wenn ja mit welcher Grundlage? Macht sich die Behörde mit Auskunft strafbar?
Da ein Rechtsanwalt ohne entsprechende Bevollmächtigung nicht wirksam Rechtshandlungen, wie beispielsweise Auskunftsersuchen, für jemand anderen vornehmen kann, ist er als unbeteiligter Dritter anzusehen. Insoweit findet sich die Antwort auf Ihre Frage bereits im Beitrag:
„Der Auskunftsanspruch nach § 34 BDSG steht nur dem Betroffenen zu. Da die Auskunft an einen Dritten (ohne entsprechende Vollmacht) eine grundsätzlich unbefugte Datenübermittlung ist und eine Ordnungswidrigkeit darstellen kann, sind Unternehmen berechtigt und bei Zweifeln auch dazu verpflichtet, die Identität des Auskunftsersuchenden zu prüfen.“