Auskunftsersuchen und Auskunftsrecht?
Die DSGVO sieht beides vor. Wir erklären, was es dabei zu beachten gibt und stellen Ihnen ein Auskunftsrecht-Muster zur Verfügung.
Die Datenschutzgrundverordnung DSGVO sieht zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten viele verschiedene Instrumente vor, sog. Betroffenenrechte.
Betroffenenrechte im Sinne der Datenschutzgrundverordnung bezeichnen Rechte der von einer Datenverarbeitung betroffenen Person gegenüber dem Verantwortlichen.So können sich die Betroffenen z.B. gegen unrichtige oder unvollständige Datensätze zur Wehr setzen oder Auskunft verlangen, wie ihre Daten in der Praxis verarbeitet werden.
1. Definition Auskunftsersuchen, Auskunftsrecht?
3. Vorsicht, Betrüger! Wann bei Auskunft über gespeicherte Daten Vorsicht geboten ist
4. In welchen Fällen kann man in der Praxis vom Auskunftsrecht Gebrauch machen?
5. Wie muss ein Auskunftsersuchen aussehen? (Form und Fristen)
6. DSGVO Auskunftsrecht: Muster
7. Wir beantworten Ihre Fragen zum Thema Auskunftsersuchen
Das Auskunftsrecht ist ein sogenanntes Betroffenenrecht. Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Person. Das heißt, dass Sie als Betroffener jedes Unternehmen, von dem Sie glauben, dass es Ihre personenbezogenen Daten verarbeitet, Auskunft verlangen können. Die angefragten Unternehmen müssen Ihnen dann in der Regel binnen eines Monats Auskunft über gespeicherte Daten erteilen.
Mit Ihrem Auskunftsersuchen können Sie sich auch an Behörde, Ämter und sonstige öffentliche Stellen wenden. Diese haben meistens auf Ihren Internetseiten dafür vorgesehene Kontaktformulare, die die Geltendmachung des Auskunftsrechts erleichtern sollen. Die Auskunftspflicht der öffentlichen Stellen und zugleich das Auskunftsrecht des Einzelnen sind in den entsprechenden Gesetzen der jeweiligen Bundesländer geregelt.
Beachten Sie bitte in diesem Zusammenhang, dass das Auskunftsrecht in bestimmten, gesetzlich festgelegten Fällen, oder gegenüber bestimmten Behörden, wie z.B. gegenüber Polizei, Staatsanwaltschaft der Verfassungsschutz eingeschränkt sein kann. Auch der Auskunftsanspruch gegenüber Sozialbehörden oder Bundesnachrichtendienst enthält Besonderheiten.
Erhält ein Unternehmen ein Auskunftsersuchen, dann muss es rasch tätig werden: Auskunftserteilungen müssen unverzüglich erfolgen, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Diese Frist beginnt ab Eingang des Auskunftsersuchens. Sollte die Beantwortung der Anfrage aus driftigem Grund mehr Zeit in Anspruch nehmen, muss dies der betroffenen Person innerhalb eines Monats unter Angaben von Gründen mitgeteilt werden.
Eine Auskunftserteilung kann je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen;
Elektronische Daten sollten nur verschlüsselt übertragen werden;
Sollte ein Auskunftsrecht mündlich (am Telefon) erteilt werden, muss vorher die Identität des Betroffenen nach Art. 12 I S. 3 DSGVO zweifelsfrei festgestellt werden (was sehr schwierig ist, daher lieber Schriftform!);
Sollten gegenständliche Daten Rückschlüsse auf andere Personen zulassen sollten, müssten diese Stellen zwingend unkenntlich gemacht werden (z.B. durch Schwärzung);
Die Antwort muss in klarer und verständlicher Sprache erfolgen (Grundsatz der Transparenz);
Die Auskunft muss intern dokumentiert werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).
Es kommt immer wieder vor, dass Unternehmen von zweifelhaften Anwaltskanzleien angerufen werden. Haben Sie jemanden am Telefon Ihres Unternehmens, der Auskunft verlangt, gehen Sie nicht darauf ein und verweisen Sie lediglich darauf, dass Betroffenenanfragen – wie das Auskunftsrecht – schriftlich bei Ihnen einzureichen sind.
Gehen Sie also auf Auskunftsersuchen am Telefon nur insofern ein, als dass Sie auf einen schriftlichen Antrag verweisen. Denn die Identität einer Person am Telefon kann nie zweifelsfrei überprüft werden.
Dasselbe gilt für die angeblichen telefonischen Hinweise auf Abmahnungen. Sollten Sie von einer Abmahnung betroffen sein, unternehmen Sie bei einer ungeprüften Rechtslage keine weiteren Schritte. Das abgemahnte Verhalten und somit die Datenschutzverletzung muss in jedem Falle zuerst geprüft werden. Wenden Sie sich in diesem Fall immer an Ihren Datenschutzbeauftragten oder an eine andere fachkündige Person.
Wenn Sie (als Betroffener) wissen wollen, ob ein Unternehmen oder eine Behörde Daten über Sie verarbeitet und gespeichert hat, dann können Sie von Ihrem Auskunftsrecht Gebrauch machen.
Ein Anspruch auf Auskunft ist zweistufig aufgebaut. Im ersten Schritt ist zu klären, ob das betreffende Unternehmen bzw. die betreffende Behörde personenbezogene Daten von Ihnen verarbeitet (hat). Erst wenn dies feststeht, können Sie im zweiten Schritt Auskunft über die Daten selbst verlangen. Informationen über folgende Punkte sind zu geben (Art. 15 Abs. 1, 2. HS DSGVO):
Einzelnes personenbezogenes Datum
Kategorien personenbezogener Daten: Bitte geben Sie keine abstrakten Kategorien, sondern deren konkreten Inhalt an.
Empfänger der Daten
Geplante Speicherdauer
Hinweis auf sonstige Betroffenenrechte und
Beschwerdemöglichkeit bei der Aufsichtsbehörde
Falls die Daten in ein unsicheres Drittland übertragen werden, muss ebenfalls über die getroffenen, geeigneten Garantien informiert werden, Artikel 46 DSGVO.
Zudem ermöglichst das Auskunftsrecht Ihnen die weiteren Betroffenenrechte geltend zu machen, wie das Recht auf Berichtigung Ihrer Daten (Art. 16 DSGVO), das Recht auf Löschung Ihrer Daten (Art. 17 DSGVO). Sie können darüber hinaus eine Einschränkung der Verarbeitung Ihrer Daten verlangen (Art. 18 DSGVO) oder der Verarbeitung Ihrer Daten ganz widersprechen (Art. 21 DSGVO).
Im Übrigen können Sie auch gegenüber dem Bundesnachrichtendienst von Ihrem Auskunftsrecht Gebrauch machen, wenn Sie wissen wollen, ob dieser personenbezogene Daten von Ihnen verarbeitet. Der BND ist aber anders als andere Unternehmen und Behörden nicht zur Auskunft verpflichtet – etwa dann nicht, wenn es ihn bei seiner Aufgabenerfüllung hindern würde.
Ein Auskunftsersuchen nach DSGVO muss nicht immer in Schriftform erfolgen und die Auskunftserteilung als alleineigen Gegenstand haben. Oftmals erhalten Unternehmen lediglich kurze E-Mails oder Anrufe zu dem Thema – ernst zu nehmen sind diese Anfragen aber trotzdem. Wie in den vorherigen Punkten bereits erwähnt, sollten Sie eine Auskunftserteilung nur schriftlich beantworten. Dies dient der Rechtssicherheit und schützt Sie vor eventuellen Datenschutzverletzungen.
Haben Sie einen Datenschutzbeauftragten in Ihrem Unternehmen, so wird dieser alle eingehenden Betroffenenanfragen für Sie übernehmen. Sollten Sie keinen Datenschutzbeauftragten haben, so ist bereits im Vorfeld ein Mitarbeiter festzulegen, der sich um alle eingehenden Betroffenenanfragen kümmert. Diese Mitarbeiter müssen nicht nur entsprechend geschult werden (Stichwort: Mitarbeiterschulung), sondern ihre Zuständigkeit muss auch im Unternehmen bekannt gegeben werden. Sie müssen dafür sorgen, dass die entsprechenden Kommunikations- bzw. Meldewege intern geregelt sind.
Wie bereits erwähnt, braucht es kein formelles Anschreiben, wenn Sie von Ihrem Recht auf Auskunft Gebrauch machen wollen. Als DSGVO Auskunft-Muster können Sie daher folgenden Satz verwenden:
| Sehr geehrte Firma XY, ich mache hiermit auf mein Recht auf Auskunft nach Art. 15 DSGVO Gebrauch: Bitte informieren Sie mich zeitnah schriftlich über die von mir verarbeiteten personenbezogenen Daten. Mit freundlichen Grüßen Ihr Name |
Dieses DSGVO Auskunft-Musterschreiben können Sie bei allen Unternehmen und Behörden verwenden, von denen Sie Informationen über die von Ihnen verarbeiteten personenbezogenen Daten erhalten möchten.
Auskunftsrecht und Datenschutz: Auskunft am Telefon möglich?
Grundsätzlich ist das Beantworten eines Auskunftsersuchen am Telefon möglich. Dazu müssen Sie sich aber absolut sicher sein, dass Sie es wirklich mit dem Betreffenden zu tun haben – doch auch trotz mehrerer verschiedener Verifizierungsmethoden ist dies kaum nachzuprüfen und so bleiben Zweifel an der Identität meist bestehen. Unser Tipp: Beantworten Sie Auskunftsersuchen von Betroffenen grundsätzlich nur schriftlich. Wenn Sie ein Auskunftsersuchen am Telefon erhalten, dann bitten Sie um dieses in schriftlicher Form.
Auskunftsrecht DSGVO: Welcher Artikel regelt das Auskunftsrecht?
Das Auskunftsrecht ist in Art. 15 DSGVO geregelt. Demnach kann eine betroffene Person von Ihnen eine Bestätigung darüber verlangen, ob betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, müssen Sie Auskunft über die in Art. 15 DSGVO genannten Informationen geben. Werden hingegen keine personenbezogene bzw. anonymisierte Daten zu der anfragenden Person verarbeitet, müssen Sie eine Negativauskunft erteilen. Das Auskunftsrecht gibt der betroffenen Person die Grundlage dafür, aufgrund der ihr dargelegten Informationen über Art, Inhalt und Zweck seiner Datenverarbeitung das Recht auf Einschränkung, Berichtigung, Löschung („Vergessenwerden“) oder Widerspruch auszuüben wie auch die Rechtmäßigkeit der Verarbeitung überprüfen zu lassen.
Auskunft personenbezogene Daten: Vorlage nötig?
Jeder Betroffene hat das Recht, nach Artikel 15 DSGVO Auskunft von Unternehmen zu verlangen, welche personenbezogenen Daten von ihm verarbeitet wurden bzw. verarbeitet werden. Um von diesem Recht Gebrauch zu machen, braucht es keine vorgeschriebene Vorlage. Die Auskunft kann formlos erfolgen (vgl. Punkt "DSGVO Auskunftsrecht: Muster"). Es reicht also, wenn Sie schreiben, dass Sie auf Ihr Recht auf Auskunft nach Art. 15 DSGVO Gebrauch machen und über die von Ihnen verarbeiteten Daten informiert werden wollen.
Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.
Dominik Fünkner
(zertifizierter Datenschutzbeauftragter & Geschäftsführer)
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr
