Auskunftsersuchen von Behörden und Auskunftsrecht: DSGVO-Leitfaden für Unternehmen

Auskunftsersuchen von Behörden an Unternehmen: Das Doppeltürmodell

Wenn Ermittlungsbehörden wie Polizei oder Staatsanwaltschaft Informationen über Personen bei Ihrem Unternehmen anfragen, stehen Sie vor komplexen rechtlichen Fragen: Dürfen Sie die Daten ohne Weiteres herausgeben? Was ist zu beachten?

Rechtmäßigkeit der Datenweitergabe: Das Doppeltürmodell verstehen

Das Bundesverfassungsgericht hat in seinen Entscheidungen vom 24. Januar 2012 und 6. März 2014 das sogenannte "Doppeltürmodell" etabliert. Es bedarf einer:

• Rechtsgrundlage seitens Ihres Unternehmens für die Herausgabe der Daten an die Behörde UND

• Rechtsgrundlage seitens der Behörde für die Anforderung von Daten

• Beide "Türen" müssen rechtmäßig geöffnet werden - andernfalls ist die Datenweitergabe unzulässig.

Mögliche Rechtsgrundlagen für Unternehmen

Rechtliche Verpflichtung gem. Art. 6 I c DSGVO:

• Kann sich aus spezialgesetzlichen Normen ergeben (z.B. § 170 TKG im Telekommunikationsbereich)

• § 24 BDSG Abs. 1: Die Verarbeitung personenbezogener Daten zu einem anderen Zweck ist zulässig, wenn sie:

• zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit erforderlich ist

• zur Verfolgung von Straftaten erforderlich ist

• sofern nicht die Interessen der betroffenen Person überwiegen

• Kontroverse um behördliche Anordnungen: Die Rechtsprechung bewertet unterschiedlich, ob eine behördliche Anordnung allein ausreicht:

• Position 1: Behördliche Anordnung begründet Pflicht nach Art. 6 I c DSGVO

• Position 2: Anordnung begründet berechtigtes Interesse nach Art. 6 I f DSGVO

• Position 3: Gesonderte gesetzliche Übermittlungsbefugnis erforderlich

Rechtsgrundlagen der Behörden

Häufigste Rechtsgrundlage: § 161 Abs. 1 S. 1 StPO: "Die Staatsanwaltschaft ist befugt, von allen Behörden Auskunft zu verlangen und Ermittlungen jeder Art vornehmen zu lassen."

Nicht ausreichend: Allgemeine Amtshilfe ohne konkrete Befugnis zur Auskunftsanforderung.

Praktisches Vorgehen bei Behördenauskunftsersuchen

Sofortmaßnahmen:

1. Authentizität prüfen: Telefonische Rückversicherung bei der anfragenden Stelle

2. Kooperationsbereitschaft signalisieren, aber kritisch nachfragen

3. Rechtsgrundlage erfragen: Plausibilitätskontrolle der behördlichen Befugnis

4. Konkretisierung verlangen: Nur die tatsächlich benötigten Daten übermitteln

Besondere Vorsicht bei:

• Besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO)

• Umfangreichen Datenanfragen ohne erkennbare Eingrenzung

Dokumentationspflicht:  

Dokumentieren Sie den gesamten Vorgang, um die Rechtmäßigkeit der Datenweitergabe nachweisen zu können - essenziell für Compliance-Audits.

Informationspflichten gegenüber Betroffenen

Nach Erwägungsgrund 31 DSGVO gelten Behörden unter bestimmten Umständen nicht als "Empfänger". Dennoch sind Informationspflichten zu beachten:

Ausnahmen von der Informationspflicht (§ 32, 33 BDSG):

• Gefährdung der öffentlichen Sicherheit oder Ordnung

• Beeinträchtigung von Strafverfolgungsmaßnahmen

• Vertrauliche Übermittlung an öffentliche Stellen würde gefährdet

Auskunftsersuchen und Auskunftsrecht nach DSGVO

Neben Behördenauskunftsersuchen müssen Unternehmen auch Auskunftsanfragen von betroffenen Personen professionell bearbeiten. Die DSGVO regelt beide Szenarien mit unterschiedlichen Anforderungen.

Definition Auskunftsersuchen, Auskunftsrecht

Das Auskunftsrecht ist ein sogenanntes Betroffenenrecht. Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Person. Das heißt, dass Sie als Betroffener jedes Unternehmen, von dem Sie glauben, dass es Ihre personenbezogenen Daten verarbeitet, Auskunft verlangen können. Die angefragten Unternehmen müssen Ihnen dann in der Regel binnen eines Monats Auskunft über gespeicherte Daten erteilen.

Auskunftspflicht gegenüber Behörden vs. Betroffenenauskunft

Mit Ihrem Auskunftsersuchen können Sie sich auch an Behörde, Ämter und sonstige öffentliche Stellen wenden. Diese haben meistens auf Ihren Internetseiten dafür vorgesehene Kontaktformulare, die die Geltendmachung des Auskunftsrechts erleichtern sollen. Die Auskunftspflicht der öffentlichen Stellen und zugleich das Auskunftsrecht des Einzelnen sind in den entsprechenden Gesetzen der jeweiligen Bundesländer geregelt.

Beachten Sie bitte in diesem Zusammenhang, dass das Auskunftsrecht in bestimmten, gesetzlich festgelegten Fällen, oder gegenüber bestimmten Behörden, wie z.B. gegenüber Polizei, Staatsanwaltschaft oder der Verfassungsschutz eingeschränkt sein kann. Auch der Auskunftsanspruch gegenüber Sozialbehörden oder Bundesnachrichtendienst enthält Besonderheiten.

Betroffenenauskunft nach Art. 15 DSGVO: Rechtliche Grundlagen

Rechtliche Grundlage Auskunftsersuchen: Wann müssen Unternehmen Auskunft geben und welche Informationen müssen erteilt werden?

Erhält ein Unternehmen ein Auskunftsersuchen, dann muss es rasch tätig werden: Auskunftserteilungen müssen unverzüglich erfolgen, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Diese Frist beginnt ab Eingang des Auskunftsersuchens. Sollte die Beantwortung der Anfrage aus triftigem Grund mehr Zeit in Anspruch nehmen, muss dies der betroffenen Person innerhalb eines Monats unter Angaben von Gründen mitgeteilt werden.

Zudem sind für Unternehmen folgende Vorgaben zu beachten:

• Eine Auskunftserteilung kann je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen;
• Elektronische Daten sollten nur verschlüsselt übertragen werden;
• Sollte ein Auskunftsrecht mündlich (am Telefon) erteilt werden, muss vorher die Identität des Betroffenen nach Art. 12 I S. 3 DSGVO zweifelsfrei festgestellt werden (was sehr schwierig ist, daher lieber Schriftform!);
• Sollten gegenständliche Daten Rückschlüsse auf andere Personen zulassen sollten, müssten diese Stellen zwingend unkenntlich gemacht werden (z.B. durch Schwärzung);
• Die Antwort muss in klarer und verständlicher Sprache erfolgen (Grundsatz der Transparenz);
• Die Auskunft muss intern dokumentiert werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

Für mittlere Unternehmen mit mehreren Standorten oder Gesellschaften: Etablieren Sie zentrale Prozesse für die Bearbeitung von Auskunftsersuchen. Eine einheitliche Dokumentation aller Anfragen ist essenziell für Audit-Bereitschaft und Rechtssicherheit.

Vorsicht, Betrüger! Wann bei Auskunft über gespeicherte Daten Vorsicht geboten ist

Es kommt immer wieder vor, dass Unternehmen von zweifelhaften Anwaltskanzleien angerufen werden. Haben Sie jemanden am Telefon Ihres Unternehmens, der Auskunft verlangt, gehen Sie nicht darauf ein und verweisen Sie lediglich darauf, dass Betroffenenanfragen – wie das Auskunftsrecht – schriftlich bei Ihnen einzureichen sind.

Gehen Sie also auf Auskunftsersuchen am Telefon nur insofern ein, als dass Sie auf einen schriftlichen Antrag verweisen. Denn die Identität einer Person am Telefon kann nie zweifelsfrei überprüft werden.

Dasselbe gilt für die angeblichen telefonischen Hinweise auf Abmahnungen. Sollten Sie von einer Abmahnung betroffen sein, unternehmen Sie bei einer ungeprüften Rechtslage keine weiteren Schritte. Das abgemahnte Verhalten und somit die Datenschutzverletzung muss in jedem Falle zuerst geprüft werden. Wenden Sie sich in diesem Fall immer an Ihren Datenschutzbeauftragten oder an eine andere fachkundige Person.

Auskunftsrecht in der Praxis: Wann und wie Betroffene Auskunft verlangen können

Wenn Sie (als Betroffener) wissen wollen, ob ein Unternehmen oder eine Behörde Daten über Sie verarbeitet und gespeichert hat, dann können Sie von Ihrem Auskunftsrecht Gebrauch machen.

Ein Anspruch auf Auskunft ist zweistufig aufgebaut. Im ersten Schritt ist zu klären, ob das betreffende Unternehmen bzw. die betreffende Behörde personenbezogene Daten von Ihnen verarbeitet (hat). Erst wenn dies feststeht, können Sie im zweiten Schritt Auskunft über die Daten selbst verlangen. Informationen über folgende Punkte sind zu geben (Art. 15 Abs. 1, 2. HS DSGVO):

• Einzelnes personenbezogenes Datum
• Verarbeitungszwecke
• Kategorien personenbezogener Daten: Bitte geben Sie keine abstrakten Kategorien, sondern deren konkreten Inhalt an.
• Empfänger der Daten
• Geplante Speicherdauer
• Hinweis auf sonstige Betroffenenrechte und
• Beschwerdemöglichkeit bei der Aufsichtsbehörde
• Falls die Daten in ein unsicheres Drittland übertragen werden, muss ebenfalls über die getroffenen, geeigneten Garantien informiert werden, Artikel 46 DSGVO.

Zudem ermöglicht das Auskunftsrecht Ihnen die weiteren Betroffenenrechte geltend zu machen, wie das Recht auf Berichtigung Ihrer Daten (Art. 16 DSGVO), das Recht auf Löschung Ihrer Daten (Art. 17 DSGVO). Sie können darüber hinaus eine Einschränkung der Verarbeitung Ihrer Daten verlangen (Art. 18 DSGVO) oder der Verarbeitung Ihrer Daten ganz widersprechen (Art. 21 DSGVO).

Im Übrigen können Sie auch gegenüber dem Bundesnachrichtendienst von Ihrem Auskunftsrecht Gebrauch machen, wenn Sie wissen wollen, ob dieser personenbezogene Daten von Ihnen verarbeitet. Der BND ist aber anders als andere Unternehmen und Behörden nicht zur Auskunft verpflichtet – etwa dann nicht, wenn es ihn bei seiner Aufgabenerfüllung hindern würde.

Wie muss ein Auskunftsersuchen aussehen?

Ein Auskunftsersuchen nach DSGVO muss nicht immer in Schriftform erfolgen und die Auskunftserteilung als alleinigen Gegenstand haben. Oftmals erhalten Unternehmen lediglich kurze E-Mails oder Anrufe zu dem Thema – ernst zu nehmen sind diese Anfragen aber trotzdem. Wie in den vorherigen Punkten bereits erwähnt, sollten Sie eine Auskunftserteilung nur schriftlich beantworten. Dies dient der Rechtssicherheit und schützt Sie vor eventuellen Datenschutzverletzungen.

Haben Sie einen Datenschutzbeauftragten in Ihrem Unternehmen, so wird dieser alle eingehenden Betroffenenanfragen für Sie übernehmen. Sollten Sie keinen Datenschutzbeauftragten haben, so ist bereits im Vorfeld ein Mitarbeiter festzulegen, der sich um alle eingehenden Betroffenenanfragen kümmert. Diese Mitarbeiter müssen nicht nur entsprechend geschult werden (Stichwort: Mitarbeiterschulung), sondern ihre Zuständigkeit muss auch im Unternehmen bekannt gegeben werden. Sie müssen dafür sorgen, dass die entsprechenden Kommunikations- bzw. Meldewege intern geregelt sind.

Etablieren Sie klare interne Prozesse: Wenn Sie keinen Datenschutzbeauftragten haben, bestimmen Sie einen geschulten Mitarbeiter für die Bearbeitung aller Betroffenenanfragen. Dokumentieren Sie alle Anfragen zentral - dies erleichtert spätere Audits und Compliance-Nachweise erheblich.

DSGVO Auskunftsrecht: Muster

Wie bereits erwähnt, braucht es kein formelles Anschreiben, wenn Sie von Ihrem Recht auf Auskunft Gebrauch machen wollen. Als DSGVO Auskunft-Muster können Sie daher folgenden Satz verwenden:

Sehr geehrte Firma XY, ich mache hiermit mein Recht auf Auskunft nach Art. 15 DSGVO geltend: Bitte informieren Sie mich zeitnah schriftlich über die von mir verarbeiteten personenbezogenen Daten. Mit freundlichen Grüßen Ihr Name

Dieses DSGVO Auskunft-Musterschreiben können Sie bei allen Unternehmen und Behörden verwenden, von denen Sie Informationen über die von Ihnen verarbeiteten personenbezogenen Daten erhalten möchten.

Handlungsempfehlungen für Compliance-Verantwortliche

Compliance-Checkliste: Auskunftsersuchen professionell bearbeiten

Für behördliche Auskunftsersuchen:

• Authentizität der Anfrage prüfen

• Doppeltürmodell beachten (eigene + behördliche Rechtsgrundlage)

• Plausibilitätskontrolle durchführen

• Nur erforderliche Daten übermitteln

• Vollständig dokumentieren

Für Betroffenenauskunft:

• Identität des Anfragenden verifizieren

• Ein-Monats-Frist beachten

• Vollständige Informationen nach Art. 15 DSGVO bereitstellen

• Bei Drittbezug: Daten anderer Personen unkenntlich machen

• Schriftliche Dokumentation für Rechenschaftspflicht

FAQs: Auskunftsersuchen von Behörden und Betroffenen

Auskunftsersuchen Polizei: Was ist zu beachten?

Bei Auskunftsersuchen der Polizei greifen dieselben Grundsätze wie bei anderen Ermittlungsbehörden. Prüfen Sie die Rechtsgrundlage (meist § 161 StPO), verlangen Sie eine schriftliche Anfrage und dokumentieren Sie den gesamten Vorgang. Kooperieren Sie, aber hinterfragen Sie die Verhältnismäßigkeit der Datenanfrage.

Auskunftsersuchen Staatsanwaltschaft: Rechtliche Grundlagen

Die Staatsanwaltschaft kann sich auf § 161 Abs. 1 S. 1 StPO berufen. Dennoch müssen Sie als Unternehmen eine eigene Rechtsgrundlage haben (Art. 6 I c DSGVO oder § 24 BDSG). Eine reine behördliche Anordnung reicht rechtlich nicht immer aus.

Was ist der Unterschied zwischen Auskunftsersuchen und Auskunftsrecht?

• Auskunftsrecht (Art. 15 DSGVO): Recht von Betroffenen, Auskunft über ihre gespeicherten Daten zu verlangen

• Auskunftsersuchen von Behörden: Anfragen von Ermittlungsbehörden an Unternehmen zur Herausgabe von Daten Dritter

• Auskunftsersuchen an Behörden: Bürgeranfragen an öffentliche Stellen nach Informations- oder Datenschutzgesetzen

Auskunftsrecht und Datenschutz: Auskunft am Telefon möglich?

Grundsätzlich ist das Beantworten eines Auskunftsersuchen am Telefon möglich. Dazu müssen Sie sich aber absolut sicher sein, dass Sie es wirklich mit dem Betreffenden zu tun haben – doch auch trotz mehrerer verschiedener Verifizierungsmethoden ist dies kaum nachzuprüfen und so bleiben Zweifel an der Identität meist bestehen. Unser Tipp: Beantworten Sie Auskunftsersuchen von Betroffenen grundsätzlich nur schriftlich. Wenn Sie ein Auskunftsersuchen am Telefon erhalten, dann bitten Sie um dieses in schriftlicher Form.

Auskunftsrecht DSGVO: Welcher Artikel regelt das Auskunftsrecht?

Das Auskunftsrecht ist in Art. 15 DSGVO geregelt. Demnach kann eine betroffene Person von Ihnen eine Bestätigung darüber verlangen, ob betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, müssen Sie Auskunft über die in Art. 15 DSGVO genannten Informationen geben. Werden hingegen keine personenbezogene bzw. anonymisierte Daten zu der anfragenden Person verarbeitet, müssen Sie eine Negativauskunft erteilen. Das Auskunftsrecht gibt der betroffenen Person die Grundlage dafür, aufgrund der ihr dargelegten Informationen über Art, Inhalt und Zweck seiner Datenverarbeitung das Recht auf Einschränkung, Berichtigung, Löschung („Vergessenwerden“) oder Widerspruch auszuüben wie auch die Rechtmäßigkeit der Verarbeitung überprüfen zu lassen.

Auskunft personenbezogene Daten: Vorlage nötig?

Jeder Betroffene hat das Recht, nach Artikel 15 DSGVO Auskunft von Unternehmen zu verlangen, welche personenbezogenen Daten von ihm verarbeitet wurden bzw. verarbeitet werden. Um von diesem Recht Gebrauch zu machen, braucht es keine vorgeschriebene Vorlage. Die Auskunft kann formlos erfolgen (vgl. Punkt "DSGVO Auskunftsrecht: Muster"). Es reicht also, wenn Sie schreiben, dass Sie auf Ihr Recht auf Auskunft nach Art. 15 DSGVO Gebrauch machen und über die von Ihnen verarbeiteten Daten informiert werden wollen.