Symbolbild für Auskunftsanspruch und Auskunftsrecht

Auskunftsanspruch und Auskunftsrecht

Das Auskunftsrecht nach Art. 15 DSGVO ist einer der wichtigsten Artikel der DSGVO. Hier lesen Sie, welche Rechte und Pflichten Betroffene und Unternehmen haben und wie ein Auskunftsanspruch in der Praxis aussieht.

 

 

2022-08-26

Logo

Das Auskunftsrecht und der damit verknüpfte Auskunftsanspruch räumen natürlichen Personen, wie zum Beispiel Kunden eines Unternehmens, weitreichende Rechte gegenüber Unternehmen ein. Doch wie sehen diese Rechte genau aus? Und welche Pflichten und auch Rechte liegen auf Seiten der Unternehmen? Wir geben einen Überblick.

Art. 15 DSGVO: Das sieht die Gesetzgebung vor

Art. 15 der Datenschutzgrundverordnung ist einer der wichtigsten für betroffene Personen – also für Personen, deren personenbezogene Daten von Unternehmen verarbeitet werden. Dies geschieht zum Beispiel im Rahmen eines Zeitschriftenabos oder eines Bestellvorgangs in einem Internetshop. Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht zu erfahren, ob ihre personenbezogenen Daten überhaupt von Unternehmen – es wird in diesem Fall von der verantwortlichen Stelle oder dem Verantwortlichen gesprochen – verarbeitet werden. Dies kann mit einer einfachen Anfrage an ein Unternehmen herausgefunden werden, zum Beispiel per Mail ( → Ein DSGVO Auskunftsrecht-Muster finden Sie hier).

Werden personenbezogene Daten von einem Unternehmen verarbeitet, haben die Betroffenen verschiedene weiterführende Rechte, wie etwa:

  • Eine exakte Aufschlüsselung aller jemals erhobenen, verarbeiteten und gespeicherten personenbezogenen Daten;
  • das Recht auf Berichtigung der personenbezogenen Daten, sollten sie falsch sein (Art. 16 DSGVO) oder
  • das Recht auf Löschung der Daten („Recht auf Vergessenwerden“ nach Art. 17 DSGVO) sowie 
  • das Recht auf Einschränkung der Verarbeitung der Daten (Art. 18 DSGVO).

Das Auskunftsrecht untergliedert sich also in zwei Stufen: Erhalten betroffene Personen von einem Unternehmen auf ihr Auskunftsersuchen eine Bestätigung, dass personenbezogene Daten erarbeitet werden, können die betroffenen Personen entscheiden, wie sie weiter vorgehen möchten.

Wichtig: Werden von einem Unternehmen personenbezogene Daten verarbeitet und verlangt die betroffene Person Auskunft über diese Daten, so muss das Auskunftsersuchen innerhalb von einem Monat vom Verantwortlichen beantwortet werden. Auch eine etwaige Auskunft, dass keine personenbezogenen Daten verarbeitet werden, muss in diesem Zeitfenster bearbeitet werden: Werden von einem Unternehmen keine personenbezogenen Daten eines Antragstellers verarbeitet, so muss auch darüber informiert werden. Dies geschieht mittels einer sog. Negativauskunft.

Worin liegt der Unterschied zwischen Auskunftsanspruch und Auskunftsrecht?

Das Auskunftsrecht oder auch Recht nach Auskunft nach Art. 15 DGVO ist ein wichtiges Betroffenenrecht. Betroffenenrechte bezeichnen in der Datenschutzgrundverordnung Rechte der von einer Datenverarbeitung betroffenen Person, die sie gegenüber Verantwortlichen geltend machen können. In einzelnen Fällen wird auch von einem sog. Auskunftsanspruch gesprochen, das in diesem Kontext als Synonym verwendet werden kann. Betroffene Personen haben laut DSGVO ein Recht darauf zu erfahren, welche Unternehmen ihre personenbezogenen Daten erheben, verarbeiten und speichern.

Zur Veranschaulichung: In der Praxis kann ein Ersuchen auf das Auskunftsrecht wie folgt aussehen:

  • Eine betroffene Person Frau X stellt einem Unternehmen Y eine Anfrage per Mail, ob personenbezogene Daten von ihr gespeichert werden. Dieser Auskunftsanspruch wird Frau X von der DSGVO eingeräumt.
  • Das Unternehmen Y prüft das Auskunftsersuchen und stellt fest, dass von Frau X personenbezogene Daten vorliegen, da sie bereits mehrmals in dem firmeneigenen Onlineshop bestellt hat. Das Unternehmen Y schreibt Frau X eine E-Mail mit der Information, dass personenbezogene Daten vorliegen.
  • Frau X wünscht ihre Daten einzusehen. Dazu vereinbart die Firma Y ein kurzes Telefonat mit Frau X, um ihre Identität zu verifizieren. Anschließend übersendet Firma Y Frau X einen verschlüsselten elektronischen Datensatz mit allen von ihr gespeicherten Daten.
  • Frau X ist seit der letzten Bestellung bei Unternehmen Y umgezogen und ihre alte Adresse stimmt nicht mehr. Sie macht von ihrem Recht auf Datenberichtigung nach Art. 16 DSGVO Gebrauch.
  • Die Firma Y berichtigt die Daten, bestätigt dies der betroffenen Person Frau X und dokumentiert das Auskunftsersuchen.

Wie steht es um den Datenschutz beim Auskunftsanspruch?

Wie in obigem Praxisbeispiel zu lesen ist, ist der Datenschutz bei einem Auskunftsanspruch sehr wichtig. Dies gilt sowohl für die betroffenen Personen als auch für Unternehmen. Werden personenbezogene Daten im Rahmen eines Auskunftsersuchens an Betroffene übermittelt, so muss dies immer auf einem sicheren Weg geschehen, etwa verschlüsselt. Zudem ist es bei der Kopie der Betroffenendaten wichtig, dass keinesfalls personenbezogenen Daten anderer Personen weitergegeben werden. Daten anderer Personen müssen zwingend unkenntlich gemacht werden (z.B. geschwärzt werden).

Aber auch innerhalb von Unternehmen spielt der Datenschutz beim Auskunftsrecht eine große Rolle: Es kommt immer wieder vor, dass Unternehmen per Telefon um Auskunft gebeten werden. Davon ist jedoch unbedingt Abstand zu nehmen, denn die Identität einer Person kann nur am Telefon nie zweifelsfrei überprüft werden. Hierzu bedarf es immer verschiedener Wege, etwa mittels eines schriftlichen Antrags und einer weiteren Verifizierung auf einem zweiten Weg, zum Beispiel per Telefon oder Post. Daher sollten Unternehmen auf Auskunftsersuchen am Telefon nur insofern eingehen, als dass Sie auf einen schriftlichen Antrag verweisen.

Für die reibungslose und fehlerfreie Beantwortung von Auskunftsanfragen und anderen Betroffenenrechten ist es zudem sinnvoll, mit Hilfe fachkundiger Unterstützung frühzeitig entsprechende Vorkehrungen zu treffen, um Betroffenenanfragen aller Art unverzüglich und vollständig beantworten zu können. Denn sobald das erste Auskunftsersuchen eintrifft, fängt die gesetzliche Frist an zu laufen.

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 26.08.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey
Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 1.800 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr