Auskunftsersuchen und Auskunftsrecht?

Die DSGVO sieht beides vor. Wir erklären, was es dabei zu beachten gibt und stellen Ihnen ein Auskunftsrecht-Muster zur Verfügung.

Definition Auskunftsersuchen, Auskunftsrecht

Das Auskunftsrecht ist ein sogenanntes Betroffenenrecht. Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Person. Das heißt, dass Sie als Betroffener jedes Unternehmen, von dem Sie glauben, dass es Ihre personenbezogenen Daten verarbeitet, Auskunft verlangen können. Die angefragten Unternehmen müssen Ihnen dann in der Regel binnen eines Monats Auskunft über gespeicherte Daten erteilen.

Auskunftspflicht Behörden

Mit Ihrem Auskunftsersuchen können Sie sich auch an Behörde, Ämter und sonstige öffentliche Stellen wenden. Diese haben meistens auf Ihren Internetseiten dafür vorgesehene Kontaktformulare, die die Geltendmachung des Auskunftsrechts erleichtern sollen. Die Auskunftspflicht der öffentlichen Stellen und zugleich das Auskunftsrecht des Einzelnen sind in den entsprechenden Gesetzen der jeweiligen Bundesländer geregelt.

Beachten Sie bitte in diesem Zusammenhang, dass das Auskunftsrecht in bestimmten, gesetzlich festgelegten Fällen, oder gegenüber bestimmten Behörden, wie z.B. gegenüber Polizei, Staatsanwaltschaft der Verfassungsschutz eingeschränkt sein kann. Auch der Auskunftsanspruch gegenüber Sozialbehörden oder Bundesnachrichtendienst enthält Besonderheiten.

Rechtliche Grundlage Auskunftsersuchen: Wann müssen Unternehmen Auskunft geben und welche Informationen müssen erteilt werden?

Erhält ein Unternehmen ein Auskunftsersuchen, dann muss es rasch tätig werden: Auskunftserteilungen müssen unverzüglich erfolgen, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Diese Frist beginnt ab Eingang des Auskunftsersuchens. Sollte die Beantwortung der Anfrage aus triftigem Grund mehr Zeit in Anspruch nehmen, muss dies der betroffenen Person innerhalb eines Monats unter Angaben von Gründen mitgeteilt werden.

Zudem sind für Unternehmen folgende Vorgaben zu beachten:

• Eine Auskunftserteilung kann je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen;
• Elektronische Daten sollten nur verschlüsselt übertragen werden;
• Sollte ein Auskunftsrecht mündlich (am Telefon) erteilt werden, muss vorher die Identität des Betroffenen nach Art. 12 I S. 3 DSGVO zweifelsfrei festgestellt werden (was sehr schwierig ist, daher lieber Schriftform!);
• Sollten gegenständliche Daten Rückschlüsse auf andere Personen zulassen sollten, müssten diese Stellen zwingend unkenntlich gemacht werden (z.B. durch Schwärzung);
• Die Antwort muss in klarer und verständlicher Sprache erfolgen (Grundsatz der Transparenz);
• Die Auskunft muss intern dokumentiert werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

Vorsicht, Betrüger! Wann bei Auskunft über gespeicherte Daten Vorsicht geboten ist

Es kommt immer wieder vor, dass Unternehmen von zweifelhaften Anwaltskanzleien angerufen werden. Haben Sie jemanden am Telefon Ihres Unternehmens, der Auskunft verlangt, gehen Sie nicht darauf ein und verweisen Sie lediglich darauf, dass Betroffenenanfragen – wie das Auskunftsrecht – schriftlich bei Ihnen einzureichen sind.

Gehen Sie also auf Auskunftsersuchen am Telefon nur insofern ein, als dass Sie auf einen schriftlichen Antrag verweisen. Denn die Identität einer Person am Telefon kann nie zweifelsfrei überprüft werden.

Dasselbe gilt für die angeblichen telefonischen Hinweise auf Abmahnungen. Sollten Sie von einer Abmahnung betroffen sein, unternehmen Sie bei einer ungeprüften Rechtslage keine weiteren Schritte. Das abgemahnte Verhalten und somit die Datenschutzverletzung muss in jedem Falle zuerst geprüft werden. Wenden Sie sich in diesem Fall immer an Ihren Datenschutzbeauftragten oder an eine andere fachkundige Person.

In welchen Fällen kann man in der Praxis vom Auskunftsrecht Gebrauch machen?

Wenn Sie (als Betroffener) wissen wollen, ob ein Unternehmen oder eine Behörde Daten über Sie verarbeitet und gespeichert hat, dann können Sie von Ihrem Auskunftsrecht Gebrauch machen.

Ein Anspruch auf Auskunft ist zweistufig aufgebaut. Im ersten Schritt ist zu klären, ob das betreffende Unternehmen bzw. die betreffende Behörde personenbezogene Daten von Ihnen verarbeitet (hat). Erst wenn dies feststeht, können Sie im zweiten Schritt Auskunft über die Daten selbst verlangen. Informationen über folgende Punkte sind zu geben (Art. 15 Abs. 1, 2. HS DSGVO):

• Einzelnes personenbezogenes Datum
• Verarbeitungszwecke
• Kategorien personenbezogener Daten: Bitte geben Sie keine abstrakten Kategorien, sondern deren konkreten Inhalt an.
• Empfänger der Daten
• Geplante Speicherdauer
• Hinweis auf sonstige Betroffenenrechte und
• Beschwerdemöglichkeit bei der Aufsichtsbehörde
• Falls die Daten in ein unsicheres Drittland übertragen werden, muss ebenfalls über die getroffenen, geeigneten Garantien informiert werden, Artikel 46 DSGVO.

Zudem ermöglicht das Auskunftsrecht Ihnen die weiteren Betroffenenrechte geltend zu machen, wie das Recht auf Berichtigung Ihrer Daten (Art. 16 DSGVO), das Recht auf Löschung Ihrer Daten (Art. 17 DSGVO). Sie können darüber hinaus eine Einschränkung der Verarbeitung Ihrer Daten verlangen (Art. 18 DSGVO) oder der Verarbeitung Ihrer Daten ganz widersprechen (Art. 21 DSGVO).

Im Übrigen können Sie auch gegenüber dem Bundesnachrichtendienst von Ihrem Auskunftsrecht Gebrauch machen, wenn Sie wissen wollen, ob dieser personenbezogene Daten von Ihnen verarbeitet. Der BND ist aber anders als andere Unternehmen und Behörden nicht zur Auskunft verpflichtet – etwa dann nicht, wenn es ihn bei seiner Aufgabenerfüllung hindern würde.

Wie muss ein Auskunftsersuchen aussehen?

Ein Auskunftsersuchen nach DSGVO muss nicht immer in Schriftform erfolgen und die Auskunftserteilung als alleinigen Gegenstand haben. Oftmals erhalten Unternehmen lediglich kurze E-Mails oder Anrufe zu dem Thema – ernst zu nehmen sind diese Anfragen aber trotzdem. Wie in den vorherigen Punkten bereits erwähnt, sollten Sie eine Auskunftserteilung nur schriftlich beantworten. Dies dient der Rechtssicherheit und schützt Sie vor eventuellen Datenschutzverletzungen.

Haben Sie einen Datenschutzbeauftragten in Ihrem Unternehmen, so wird dieser alle eingehenden Betroffenenanfragen für Sie übernehmen. Sollten Sie keinen Datenschutzbeauftragten haben, so ist bereits im Vorfeld ein Mitarbeiter festzulegen, der sich um alle eingehenden Betroffenenanfragen kümmert. Diese Mitarbeiter müssen nicht nur entsprechend geschult werden (Stichwort: Mitarbeiterschulung), sondern ihre Zuständigkeit muss auch im Unternehmen bekannt gegeben werden. Sie müssen dafür sorgen, dass die entsprechenden Kommunikations- bzw. Meldewege intern geregelt sind.

DSGVO Auskunftsrecht: Muster

Wie bereits erwähnt, braucht es kein formelles Anschreiben, wenn Sie von Ihrem Recht auf Auskunft Gebrauch machen wollen. Als DSGVO Auskunft-Muster können Sie daher folgenden Satz verwenden:

Sehr geehrte Firma XY, ich mache hiermit mein Recht auf Auskunft nach Art. 15 DSGVO geltend: Bitte informieren Sie mich zeitnah schriftlich über die von mir verarbeiteten personenbezogenen Daten. Mit freundlichen Grüßen Ihr Name

Dieses DSGVO Auskunft-Musterschreiben können Sie bei allen Unternehmen und Behörden verwenden, von denen Sie Informationen über die von Ihnen verarbeiteten personenbezogenen Daten erhalten möchten.

Wir beantworten Ihre Fragen zum Thema Auskunftsersuchen

Auskunftsrecht und Datenschutz: Auskunft am Telefon möglich?

Grundsätzlich ist das Beantworten eines Auskunftsersuchen am Telefon möglich. Dazu müssen Sie sich aber absolut sicher sein, dass Sie es wirklich mit dem Betreffenden zu tun haben – doch auch trotz mehrerer verschiedener Verifizierungsmethoden ist dies kaum nachzuprüfen und so bleiben Zweifel an der Identität meist bestehen. Unser Tipp: Beantworten Sie Auskunftsersuchen von Betroffenen grundsätzlich nur schriftlich. Wenn Sie ein Auskunftsersuchen am Telefon erhalten, dann bitten Sie um dieses in schriftlicher Form.

Auskunftsrecht DSGVO: Welcher Artikel regelt das Auskunftsrecht?

Das Auskunftsrecht ist in Art. 15 DSGVO geregelt. Demnach kann eine betroffene Person von Ihnen eine Bestätigung darüber verlangen, ob betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, müssen Sie Auskunft über die in Art. 15 DSGVO genannten Informationen geben. Werden hingegen keine personenbezogene bzw. anonymisierte Daten zu der anfragenden Person verarbeitet, müssen Sie eine Negativauskunft erteilen. Das Auskunftsrecht gibt der betroffenen Person die Grundlage dafür, aufgrund der ihr dargelegten Informationen über Art, Inhalt und Zweck seiner Datenverarbeitung das Recht auf Einschränkung, Berichtigung, Löschung („Vergessenwerden“) oder Widerspruch auszuüben wie auch die Rechtmäßigkeit der Verarbeitung überprüfen zu lassen.

Auskunft personenbezogene Daten: Vorlage nötig?

Jeder Betroffene hat das Recht, nach Artikel 15 DSGVO Auskunft von Unternehmen zu verlangen, welche personenbezogenen Daten von ihm verarbeitet wurden bzw. verarbeitet werden. Um von diesem Recht Gebrauch zu machen, braucht es keine vorgeschriebene Vorlage. Die Auskunft kann formlos erfolgen (vgl. Punkt "DSGVO Auskunftsrecht: Muster"). Es reicht also, wenn Sie schreiben, dass Sie auf Ihr Recht auf Auskunft nach Art. 15 DSGVO Gebrauch machen und über die von Ihnen verarbeiteten Daten informiert werden wollen.