Das Auskunftsrecht Betroffener nach DSGVO

Was tun beim Eingang von Auskunftsersuchen?

11.02.2019
Sebastian Loutoumai ist Rechtsanwalt und Fachanwalt bei Löffel Abrar Rechtsanwälte. Er berät Unternehmen insbesondere in allen Fragen zum Online-Marketing und Recht, Werberecht, Influencer Marketing sowie Marken- und Wettbewerbsrecht.
Neben den rechtlichen Vorgaben finden Sie hier Praxistipps, wie Unternehmen einen praktikablen und rechtssicheren Workaround zur Bearbeitung von Auskunftsersuchen aufbauen.

Zur Stärkung der Rechte der Betroffenen regelt die Datenschutzgrundverordnung (DSGVO) in ihrem Kapitel III ("Rechte der betroffenen Person") umfassende Rechte der von einer Datenverarbeitung betroffenen Person. Vielfach kann der Betroffene von seinen Rechten aber nur dann Gebrauch machen, wenn er überhaupt weiß, dass personenbezogene Daten über ihn verarbeitet werden. Um also in Erfahrung bringen zu können ob, und wenn ja, in welchem Umfang personenbezogene Daten verarbeitet werden, gewährt die DSGVO dem Betroffenen in Art. 15 DSGVO ein umfassendes Auskunftsrecht.

Um in Erfahrung bringen zu können ob, und wenn ja, in welchem Umfang personenbezogene Daten verarbeitet werden, gewährt die DSGVO dem Betroffenen in Art. 15 DSGVO ein umfassendes Auskunftsrecht.
Um in Erfahrung bringen zu können ob, und wenn ja, in welchem Umfang personenbezogene Daten verarbeitet werden, gewährt die DSGVO dem Betroffenen in Art. 15 DSGVO ein umfassendes Auskunftsrecht.
Foto: Rawpixel.com - shutterstock.com

Die Auskunft stellt eine wesentliche Voraussetzung dafür dar, dass der Betroffene seine weiteren Rechte geltend machen kann. Das sind zum Beispiel das Recht auf Berichtung oder Löschung der über ihn gespeicherten personenbezogenen Daten.

Auskunft: Herausforderung für Unternehmen

Für Unternehmen, die personenbezogene Daten zum Beispiel ihrer Kunden oder Mitarbeiter verarbeiten, stellen die Rechte der Betroffenen und insbesondere das Auskunftsrecht dagegen eine enorme Herausforderung dar. Die Herausforderung besteht zum einen aus der Vielzahl an Betroffenen, die von ihren Rechten Gebrauch machen können und somit wichtige Ressourcen bei den Unternehmen binden.

Eine weitere Herausforderung ergibt sich vor allem aber auch daraus, dass sich der Umfang der einzelnen Pflichten im Rahmen der Auskunft nicht eindeutig aus dem Wortlaut der Verordnung entnehmen lassen. Durch diese Unklarheiten besteht für Unternehmen das Risiko einer unvollständigen oder gar falschen Auskunft. Dies wiederum bedeutet, dass Unternehmen Gefahr laufen, von der zuständigen Aufsichtsbehörde nach Art. 83 Abs. 5 lit. b) DSGVO mit einem empfindlichen Bußgeld belegt zu werden. Vor diesem Hintergrund ist es für Unternehmen besonders wichtig, bereits im Vorfeld Verfahren zu implementieren, um die zunehmenden Auskunftsersuchen in der gesetzlichen vorgegeben Form und Frist beantworten zu können.

Vorbereitung auf die Beantwortung des Auskunftsersuchens

Das Verfahren zur Beantwortung von Auskunftsersuchen sollte dabei frühzeitig vorbereitet, erprobt und umgesetzt werden. Im besten Fall steht ein solches Verfahren, noch bevor das erste Auskunftsersuchen eintrifft.
Zugleich sollte das Verfahren stetig überprüft und notfalls angepasst werden, wenn sich in der Umsetzung Probleme zeigen sollten, die man bei der initialen Erarbeitung des Verfahrens nicht bedacht hatte.

Eine gute Organisation der Auskunftsersuchen ist insbesondere deswegen von Bedeutung, da die Betroffenen frei darin sind, wie sie von ihrem Auskunftsrecht Gebrauch machen wollen. So kann es sein, dass ein Betroffener sein Auskunftsersuchen direkt an diejenige Person im Unternehmen richtet, mit welcher er bereits im Kontakt stand. Diese Person dürfte jedoch üblicherweise nicht für die Beantwortung von Auskunftsersuchen verantwortlich sein. Vor diesem Hintergrund ist es wichtig, dass das Verfahren zur Beantwortung von Auskunftsersuchen auch berücksichtigt, dass sämtliche Mitarbeiter im Unternehmen eingegangene Auskunftsersuchen unverzüglich an die im Unternehmen hierfür zuständige Person weiterleiten.

Praxishinweis 1

Mitarbeiter sollten regelmäßig über den Umgang mit Auskunftsersuchen informiert und geschult werden. Dabei sollte die Wichtigkeit des Themas Datenschutz ebenso herausgestellt werden, wie die Kontaktdaten der für die Bearbeitung von Auskunftsersuchen zuständigen Stelle im Unternehme. Zudem sollte eine zentrale Stelle eingerichtet werden, die für die Bearbeitung von Auskunftsersuchen zuständig ist.

Ist ein Auskunftsersuchen beim Unternehmen eingegangen, sollte dieses in einem ersten Schritt nach einem einheitlichen Schema geprüft werden. Dabei muss in jedem Fall geprüft werden, ob der Betroffene aus dem Auskunftsersuchen unzweifelhaft identifizierbar ist. Ist der Betroffene nicht eindeutig zu identifizieren, bestehen also Zweifel an der Identität der Person, die Auskunft verlangt, sollten weitere Informationen abgefragt werden, die zu einer hinreichenden Identifizierung erforderlich sind.

Praxishinweis 2

Die Rückfrage an den Anfragenden bei Zweifeln ist von enormer Bedeutung. Hierdurch soll vermieden werden, dass das Unternehmen eine Auskunft an einen unberechtigten Dritten erteilt. Eine solche Auskunft würde die Rechte des Betroffenen verletzen und könnte nicht nur vom Betroffenen selbst, sondern auch von der zuständigen Aufsichtsbehörde geahndet werden.

Neben der Identität des Anfragenden sollte auch der Zeitpunkt, wann das Auskunftsersuchen im Unternehmen eingegangen ist, notiert werden. Das Unternehmen muss dann unverzüglich, jedenfalls aber innerhalb eines Monats das Auskunftsersuchen bearbeiten und beantworten. Daher ist auch die Frist zur Beantwortung des Auskunftsersuchen in diesem Schritt zu notieren.

Die Frist von einem Monat kann im Einzelfall verlängert werden. Das ist allerdings nur dann möglich, wenn die Bearbeitung der Anfrage deutlich mehr Zeit in Anspruch nimmt als üblich. Der Betroffene ist darüber zu informieren, dass seine Anfrage innerhalb der verlängerten Frist beantwortet wird.

Praxishinweis 3

Als nächstes sollte geprüft werden, ob der Antrag offenkundig unbegründet oder exzessiv ist. Offenkundig unbegründete oder exzessive Anträge berechtigen das Unternehmen, vom Anfragenden entweder ein angemessenes Entgelt für die Beantwortung der Anfrage zu verlangen oder diese zu verweigern.

Will sich ein Unternehmen darauf berufen, dass eine Anfrage offenkundig unbegründet oder exzessiv ist, ist es in der Pflicht, diese Umstände notfalls zu beweisen. Eine Anfrage ist dabei offenkundig unbegründet, wenn die Voraussetzungen eines Auskunftsersuchen offensichtlich nicht vorliegen. Exzessiv sind Anträge dann, wenn sie häufig und in sehr kurzen Abständen wiederholt werden. Generell ist zu empfehlen, diese Verweigerungsgründe vorsichtig einzusetzen. Die Verweigerung einer Auskunft ohne das Vorliegen eines Verweigerungsgrundes stellt auch dann grundsätzlich einen Datenschutzverstoß dar, wenn das Unternehmen sich über das Vorliegen eines Verweigerungsgrundes geirrt hat.

Praxishinweis 4

Schließlich sollte geprüft werden, ob und wenn ja, welche personenbezogenen Daten über den Anfragenden im Unternehmen gespeichert sind. Hierzu sind sämtliche Abteilungen einzubeziehen und im Vorfeld bereits zu schulen, um abschließend ermitteln zu können, ob überhaupt personenbezogene Daten über den Anfragenden gespeichert sind. Je größer das Unternehmen ist, umso größer ist dabei die Herausforderung, alle gespeicherten Daten über den Anfragenden zu identifizieren, sodass es erforderlich ist, sich bereits im Vorfeld einen Prozess zu überlegen, der die Abfrage der einzelnen Abteilungen erleichtert.

Zur Startseite