Auskunftsersuchen und Auskunftsrecht

Die Datenschutzgrundverordnung DSGVO sieht zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten viele verschiedene Instrumente vor, sog. Betroffenenrechte.

Betroffenenrechte im Sinne der Datenschutzgrundverordnung bezeichnen Rechte der von einer Datenverarbeitung betroffenen Person gegenüber dem Verantwortlichen.So können sich die Betroffenen z.B. gegen unrichtige oder unvollständige Datensätze zur Wehr setzen oder Auskunft verlangen, wie ihre Daten in der Praxis verarbeitet werden.

Das Auskunftsrecht ist ein sogenanntes Betroffenenrecht. Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Person. Das heißt, dass Sie als Betroffener jedes Unternehmen, von dem Sie glauben, dass es Ihre personenbezogenen Daten verarbeitet, Auskunft verlangen können. Die angefragten Unternehmen müssen Ihnen dann in der Regel binnen eines Monats Auskunft über gespeicherte Daten erteilen.

Auskunftspflicht Behörden

Mit Ihrem Auskunftsersuchen können Sie sich auch an Behörde, Ämter und sonstige öffentliche Stellen wenden. Diese haben meistens auf Ihren Internetseiten dafür vorgesehene Kontaktformulare, die die Geltendmachung des Auskunftsrechts erleichtern sollen. Die Auskunftspflicht der öffentlichen Stellen und zugleich das Auskunftsrecht des Einzelnen sind in den entsprechenden Gesetzen der jeweiligen Bundesländer geregelt.

Beachten Sie bitte in diesem Zusammenhang, dass das Auskunftsrecht in bestimmten, gesetzlich festgelegten Fällen, oder gegenüber bestimmten Behörden, wie z.B. gegenüber Polizei, Staatsanwaltschaft der Verfassungsschutz eingeschränkt sein kann. Auch der Auskunftsanspruch gegenüber Sozialbehörden oder  Bundesnachrichtendienst enthält Besonderheiten.

Erhält ein Unternehmen ein Auskunftsersuchen, dann muss es rasch tätig werden: Auskunftserteilungen müssen unverzüglich erfolgen, spätestens innerhalb eines Monats  (Art. 12 Abs. 3 DSGVO). Diese Frist beginnt ab Eingang des Auskunftsersuchens. Sollte die Beantwortung der Anfrage aus driftigem Grund mehr Zeit in Anspruch nehmen, muss dies der betroffenen Person innerhalb eines Monats unter Angaben von Gründen mitgeteilt werden.

Zudem sind für Unternehmen folgende Vorgaben zu beachten:

• Eine Auskunftserteilung kann je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen;

• Elektronische Daten sollten nur verschlüsselt übertragen werden;

• Sollte ein Auskunftsrecht mündlich (am Telefon) erteilt werden, muss vorher die Identität des Betroffenen nach Art. 12 I S. 3 DSGVO zweifelsfrei festgestellt werden (was sehr schwierig ist, daher lieber Schriftform!);

• Sollten gegenständliche Daten Rückschlüsse auf andere Personen zulassen sollten, müssten diese Stellen zwingend unkenntlich gemacht werden (z.B. durch Schwärzung);

• Die Antwort muss in klarer und verständlicher Sprache erfolgen (Grundsatz der Transparenz);

• Die Auskunft muss intern dokumentiert werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

Wenn Sie (als Betroffener) wissen wollen, ob ein Unternehmen oder eine Behörde Daten über Sie verarbeitet und gespeichert hat, dann können Sie von Ihrem Auskunftsrecht Gebrauch machen.

Ein Anspruch auf Auskunft ist zweistufig aufgebaut. Im ersten Schritt ist zu klären, ob das betreffende Unternehmen bzw. die betreffende Behörde personenbezogene Daten von Ihnen verarbeitet (hat). Erst wenn dies feststeht, können Sie im zweiten Schritt Auskunft über die Daten selbst verlangen. Informationen über folgende Punkte sind zu geben (Art. 15 Abs. 1, 2. HS DSGVO):

• Einzelnes personenbezogenes Datum

• Verarbeitungszwecke

• Kategorien personenbezogener Daten: Bitte geben Sie keine abstrakten Kategorien, sondern deren konkreten Inhalt an.

• Empfänger der Daten

• Geplante Speicherdauer

• Hinweis auf sonstige Betroffenenrechte und

• Beschwerdemöglichkeit bei der Aufsichtsbehörde

• Falls die Daten in ein unsicheres Drittland übertragen werden, muss ebenfalls über die getroffenen, geeigneten Garantien informiert werden,  Artikel 46 DSGVO.

Zudem ermöglichst das Auskunftsrecht Ihnen die weiteren Betroffenenrechte geltend zu machen, wie das Recht auf Berichtigung Ihrer Daten (Art. 16 DSGVO), das Recht auf Löschung Ihrer Daten (Art. 17 DSGVO).  Sie können darüber hinaus eine Einschränkung der Verarbeitung Ihrer Daten verlangen (Art. 18 DSGVO) oder der Verarbeitung Ihrer Daten ganz widersprechen (Art. 21 DSGVO).

Im Übrigen können Sie auch gegenüber dem Bundesnachrichtendienst von Ihrem Auskunftsrecht Gebrauch machen, wenn Sie wissen wollen, ob dieser personenbezogene Daten von Ihnen verarbeitet. Der BND ist aber anders als andere Unternehmen und Behörden nicht zur Auskunft verpflichtet – etwa dann nicht, wenn es ihn bei seiner Aufgabenerfüllung hindern würde.

Ein Auskunftsersuchen nach DSGVO muss nicht immer in Schriftform erfolgen und die Auskunftserteilung als alleineigen Gegenstand haben. Oftmals erhalten Unternehmen lediglich kurze E-Mails oder Anrufe zu dem Thema – ernst zu nehmen sind diese Anfragen aber trotzdem. Wie in den vorherigen Punkten bereits erwähnt, sollten Sie eine Auskunftserteilung nur schriftlich beantworten. Dies dient der Rechtssicherheit und schützt Sie vor eventuellen Datenschutzverletzungen.

Haben Sie einen Datenschutzbeauftragten in Ihrem Unternehmen, so wird dieser alle eingehenden Betroffenenanfragen für Sie übernehmen. Sollten Sie keinen Datenschutzbeauftragten haben, so ist bereits im Vorfeld ein Mitarbeiter festzulegen, der sich um alle eingehenden Betroffenenanfragen kümmert. Diese Mitarbeiter müssen nicht nur entsprechend geschult werden (Stichwort: Mitarbeiterschulung), sondern ihre Zuständigkeit muss auch im Unternehmen bekannt gegeben werden. Sie müssen dafür sorgen, dass die entsprechenden Kommunikations- bzw. Meldewege intern geregelt sind.