Das Auskunftsrecht ist eines der elementaren Betroffenenrechte, die in der DSGVO geregelt sind. Dahinter steht, dass jede Person sich dessen bewusst wird, dass sie betreffende Daten erhoben, gespeichert und verarbeitet werden. Die betroffenen Personen haben das Recht auf Auskunftserteilung in angemessenen Abständen, um die Rechtmäßigkeit der Verarbeitung zu überprüfen. Ob als Betroffener oder Verantwortlicher: DSGVO Auskunft mit Muster stellt Ihnen die wichtigsten Informationen zur Verfügung.
DSGVO Auskunft – Inhalt des Auskunftsrechts nach Art. 15 DSGVO
Jeder Verantwortliche hat die Verpflichtung die organisatorisch-technischen Maßnahmen zu treffen, sodass die betroffenen Personen dieses Recht problemlos in angemessenen Abständen wahrnehmen und damit die Rechtmäßigkeit der Verarbeitung überprüfen können.
Dieses Recht betrifft alle personenbezogenen Daten, besonders auch jene, die unter die Kategorie „sensibel“ fallen: Gesundheitsdaten, Befunde, Angaben zu Behandlungen und / oder Eingriffen. Ein wichtiger Aspekt des Auskunftsrechts ist, dass die betroffenen Personen in die Lage versetzt werden, die Folgen der Verarbeitung ihrer Daten abschätzen zu können (bspw. Profiling).
In der DSGVO (Erwägungsgrund 63) wird empfohlen die Inhalte des Auskunftsrechts optimalerweise mittels Fernzugang zu einem sicheren System zu ermöglichen. Das ist technisch so zu organisieren, dass Rechte und Freiheiten anderer Personen nicht gefährdet sind (Geschäftsgeheimnisse, Recht des geistigen Eigentums, Urheberrecht). Rechtmäßige Beschränkungen zum Datenschutz sind notwendig, dürfen aber nicht dazu führen, dass daraus eine Verweigerung des Auskunftsrechts abgeleitet wird. Beruht die Verarbeitung auf einer großen Menge von gespeicherten Informationen, kann der Verantwortliche eine Einschränkung des Auskunftsrechts auf bestimmte Vorgänge oder Informationen verlangen.
Welche Informationen hat der Verantwortliche im Rahmen des Auskunftsrechts bereitzustellen
Wenn bestätigt ist, dass personenbezogene Daten verarbeitet werden (diese Bestätigung ist Teil des Auskunftsrechts), dann stehen der betroffenen Person die folgenden Informationen zu (Artikel 15, Abs. 1 DSGVO):
- Die Zwecke (Betonung liegt auf der Mehrzahl), die mit der Erhebung und Verarbeitung verfolgt werden. Sie müssen eindeutig und korrekt sein.
- Die Kategorien der personenbezogenen Daten, die verarbeitet werden (Name, Adresse, Mail, ggf. sensible Daten)
- Die Absicht, wenn die Daten an Dritte übermittelt werden und wer die Empfänger sind (besonders wenn die Verarbeitung in Drittländern oder internationalen Organisationen stattfindet)
- Wie lange die personenbezogenen Daten der betroffenen Person gespeichert sind und nach welchen Kriterien die Dauer der Speicherung festgelegt wurde.
- Aufklärung darüber, dass die betroffene Person ein Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, der sie betreffenden Daten hat.
- Information darüber, dass der betroffenen Person das Beschwerderecht bei einer Aufsichtsbehörde zusteht.
- Das Recht zu erfahren, woher die Daten der betroffenen Person kommen, wenn sie nicht direkt bei ihr erhoben wurden.
- Information darüber, ob die Daten einer automatisierten Entscheidungsfindung (Profiling) dienen und die verwendete (involvierte) Logik, sowie Tragweite und angestrebte Auswirkung einer derartigen Verarbeitung.
Optionale Angaben, bei Zutreffen bestimmter Voraussetzungen
- Name und Kontaktdaten des Datenschutzbeauftragten, sofern einer bestimmt wurde.
- Die Rechtsgrundlagen, auf der die Verarbeitung der personenbezogenen Daten basiert (DSGVO, BDSG, UWG, TMG).
- Die berechtigten Interessen des Verantwortlichen, wenn die Erhebung und Verarbeitung auf solchen fußt.
- Eine Änderung des ursprünglichen Zwecks der Verarbeitung, wenn der Verantwortliche dies beabsichtigt.
- Information darüber, ob die Verarbeitung und Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist.
Grundsätzlich können Informationen, die mit dem Auskunftsersuchen begehrt werden, zeitlich nur davor liegen. Sie stehen daher auch nicht im Zusammenhang mit diesem Ansuchen. Obwohl die DSGVO keine Form vorgibt, ist das elektronische Format am gebräuchlichsten, vor allem wegen der Geschwindigkeit der Übermittlung.
Wem steht der Auskunftsanspruch nach Artikel 15 DSGVO zu?
Dieses Recht steht allen betroffenen, natürlichen Personen zu, deren personenbezogene Daten erhoben und verarbeitet werden. Dabei wird nicht nach dem Wohnsitz unterschieden, sondern es ist lediglich zu prüfen, ob sich die betroffene Person aktuell in der Europäischen Union aufhält.
Personen, von denen keine personenbezogenen Daten verarbeitet werden, steht das Auskunftsrecht laut Grundverordnung nicht zu. Das Ansuchen ist dementsprechend zu beantworten (Negativauskunft).
Wie wird der Auskunftsanspruch geltend gemacht?
Die betroffenen Personen haben bereits bei der Erhebung der Daten Anspruch auf Information durch den Verantwortlichen. Inhaltlich wird eine Unterscheidung getroffen:
- wenn die Daten direkt bei der betroffenen Person erhoben wurden (Art. 13 DSGVO)
- wenn die Daten aus anderen Quellen stammen (Art. 14 DSGVO)
Dieses Informationsrecht hat der Verantwortliche ohne gesonderte Aufforderung sicherzustellen.
Grundsätzlich ist die Auskunft formlos, ohne explizite Begründung, durch die betroffene Person zu beantragen.
DSGVO Auskunft: Tabellarische Aufstellung der Inhalte in Abhängigkeit von der Datenquelle
Inhalt / Informationen | Datenquelle | |
Art. 13 (betr. Person) | Art. 14 Dritte Person / andere Quelle | |
Angaben über den Verantwortlichen (Name / Kontaktdaten) | X | X |
Falls das Unternehmen keinen Sitz / keine Niederlassung in der EU hat, Name und Kontaktdaten des Vertreters | X | X |
Erreichbarkeit und Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden) | X | X |
Die Zwecke der Verarbeitung personenbezogener Daten (Mehrzahl beachten) | X | X |
Die Rechtsgrundlagen der Verarbeitung | X | X |
Liegt eine Interessenabwägung nach Artikel 6, Abs. 1, lit. f DSGVO vor, dann sind die berechtigten Interessen zu nennen, ergänzt um den Hinweis, dass die betroffene Person gegen die Verwendung ein Widerspruchsrecht hat | X | X |
Wenn zutreffend, die Empfänger der Daten nach Kategorien aufgeschlüsselt | X | X |
Wenn ein Transfer außerhalb der EU / an internationale Organisationen stattfindet, dann Hinweis auf eine vorhandene / nichtexistente Entscheidung der EU-Kommission hinsichtlich Angemessenheit Verfahrensbeschreibung wie Kopien zu erhalten sind (Verträge, Corporate Rules) Die legitimen Interessen am Drittstaatentransfer, wenn keine Schutzmaßnahmen gem. Artikel 49, Abs. 1 DSGVO vorliegen | X | X |
Dauer der Aufbewahrung / Löschfristen | X | X |
Hinweis auf die Rechte der betroffenen Person (Berichtigung, Löschung, Einschränkung, Widerspruch, Datentransfer) | X | X |
Wenn Verarbeitung nach Artikel 7, Abs. 3 DSGVO (Einwilligung) erfolgt, Hinweis auf das Recht des Widerspruchs | X | X |
Hinweis auf das Beschwerderecht bei den Datenschutzbehörden | X | X |
Die verwendeten Datenquellen |
| X |
Angaben über den Zugang zu den Datenquellen (öffentlich / beschränkt) |
| X |
Angaben ob eine gesetzliche oder vertragliche Grundlage die Verarbeitung erforderlich machte | X | |
Angabe über die Verpflichtung die benötigten Daten beizubringen, mit Hinweis auf die Folgen, wenn das nicht passiert | X | |
Wenn die Verarbeitung durch automatisierte Entscheidungen erfolgt: Darstellung des Entscheidungsmechanismus und der dahinterliegenden Logik Mögliche Konsequenzen für die betroffene Person | X | X |
Wenn die Daten für Direktmarketingmaßnahmen verwendet werden, die Möglichkeit des Widerspruchs (Artikel 21, Abs. 4 DSGVO) | X | X |
Frist und Form im Rahmen der Auskunftserteilung
Artikel 12 DSGVO regelt unter welchen Aspekten, die Rechte der betroffenen Person wahrzunehmen sind (Transparente Information, Kommunikation und Modalitäten). Es obliegt dem Verantwortlichen, die geeigneten Maßnahmen zu treffen, die Informationen so zu gestalten, dass sie präzise, transparent und leicht verständlich sind. Im Absatz 1 des zitierten Artikels wird darauf hingewiesen, dass dies besonders zu beachten ist, wenn Kinder betroffen sind.
Wahl der Übermittlung
Bei der Wahl der Übermittlung ist die Schriftlichkeit und elektronischer Datentransfer zu bevorzugen. Die betroffene Person kann auch die mündliche Auskunft verlangen. Dies bedingt allerdings den Nachweis der Berechtigung und der Identität. Eine weitere Variante kann der Fernzugang sein, der auf ein sicheres System geroutet ist. Damit erhalten die betroffenen Personen direkten Zugang zu ihren Daten. Es ist seitens des Verantwortlichen genau darauf zu achten, dass die Anforderungen an die Sicherheit durch technisch-organisatorische Maßnahmen sichergestellt sind.
Zeitraum für die Erledigung
Der Verantwortliche hat einen Monat Zeit, um die Anfrage abschließend zu beantworten. Handelt es sich um einen komplexen Fall, kann die Frist auf zwei Monate erstreckt werden. Fristverlängerung und der Grund sind der betroffenen Person mitzuteilen (innerhalb eines Monats nach Eingang des Antrags).
Vorgang wenn keine personenbezogenen Daten gespeichert sind
Es kann vorkommen, dass der Verantwortliche feststellt, dass von der betroffenen Person keine personenbezogenen Daten gespeichert sind. In dem Fall muss das Ansuchen mit einer sogenannten Negativ-Auskunft beschieden werden. Diese muss keine weiteren Angaben enthalten, auch nicht solche, die einer tatsächlichen Datenverarbeitung zugrunde liegen.
Muss das Auskunftsersuchen begründet sein?
Der Verantwortliche hat die Verpflichtung, das Ersuchen um Auskunft zu beantworten und darf keine Begründung dafür verlangen. Die Schlüssigkeit selbst, muss sich aber aus dem Zweck und den Kategorien der personenbezogenen Daten ableiten, über die Auskunft gefordert wird.
DSGVO Auskunft verweigert – was kann ich tun?
Grundsätzlich muss jedes Ersuchen um Auskunft beantwortet werden, dennoch hat der Verantwortliche gute Gründe, nicht jedem Ansuchen nachzugehen. Er wird vor allem prüfen, ob ein berechtigter Ausschlussgrund vorliegt. Die Ausschlüsse von der Auskunftspflicht gemäß Artikel 15 DSGVO sind an unterschiedlichen Stellen in der Verordnung und auch im Bundesdatenschutzgesetz (BDSG) geregelt:
- Artikel 12 Abs. 5 lit. 2 DSGVO: Anträge und Ersuchen um DSGVO Auskunft sind dann zurückzuweisen, müssen nicht beantwortet werden, wenn der Verantwortliche nachweisen kann, dass
- kein sachlicher Zusammenhang (offenkundig unbegründet) zu den gespeicherten Daten vorliegt
- sie ein exzessives Ausmaß annehmen
- sie offensichtlich nur dazu dienen, dem Verantwortlichen Mehraufwand und damit Schaden aufzubürden
- § 34 Abs. 1, lit. 2: Die betroffene Person ist nicht zu beauskunften, wenn die Auskunftserteilung mit unverhältnismäßig hohem Aufwand verbunden ist und die Verarbeitung für andere Zwecke ohnehin durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist und
- die Daten aufgrund gesetzlicher oder satzungsmäßiger Vorschriften gespeichert sind und nicht gelöscht werden dürfen oder
- die personenbezogenen Daten nur zum Zwecke der Datensicherung oder der Kontrolle des Datenschutzes gespeichert sind
Im Falle einer Auskunftsverweigerung sind die Gründe zu dokumentieren und ausreichend transparent darzulegen. Daten, die für die Auskunftserteilung erhoben, gespeichert und verarbeitet werden, dürfen nur zu diesem Zweck verwendet werden.
Wenn der Verantwortliche aus anderen Gründen die Auskunft verweigert, dann kann sich die betroffene Person an die zuständige Datenschutzbehörde wenden.
Folgen eines Verstoßes gegen die Pflicht zur DSGVO Auskunft
Die korrekte Antwort auf ein Auskunftsersuchen und der vollständige Inhalt gewinnen immer mehr an Bedeutung. Das ist auch durch die steigende Anzahl der Abmahnungen nachvollziehbar belegt. Laut Artikel 12 DSGVO hat der Verantwortliche die Pflicht zu präziser, transparenter und leicht verständlicher Kommunikation. Zur Bearbeitung des Auskunftsersuchens hat der Verantwortliche in aller Regel einen Monat Zeit.
Verstößt der Verantwortliche sowohl inhaltlich als auch der Form nach gegen das Regelwerk, dann können die Aufsichtsbehörden angerufen werden. Die Zuständigkeit liegt bei den Ländern, deshalb ist bei jedem Bundesland eine derartige Behörde eingerichtet.
Stellt die betroffene Person einen Verstoß gegen die Auskunftspflicht fest oder vermutet sie einen solchen dann sind die folgenden Sanktionen gegen den Verantwortlichen denkbar.
Beschwerde bei der Aufsichtsbehörde
Wenn sich die betroffene Person in ihren Rechten verletzt fühlt, dann hat sie das Recht sich bei der Aufsichtsbehörde zu beschweren. Dabei räumt die Verordnung dem Beschwerdeführer generell Wahlfreiheit hinsichtlich der Behörde ein. Die Empfehlung geht aber dahin, dass in aller Regel die zuständige Aufsichtsbehörde gewählt wird:
- Wohn- oder Aufenthaltsort
- Arbeitsplatz
- Ort an dem der mutmaßliche Verstoß stattgefunden hat
Das Einbringen einer Beschwerde begründet keinen Anspruch der betroffenen Person darauf, dass die Behörde eine konkrete Maßnahme ergreift. Vorerst kann sie ausgleichend tätig werden und auf den Verantwortlichen einwirken, damit er das Ersuchen korrekt behandelt. Sie kann jedoch auch Maßnahmen und Sanktionen erlassen.
Sanktionierung durch Geldbußen
Wenn das Auskunftsverlangen nicht oder nur teilweise beantwortet wird, dann hat die Behörde die Möglichkeit Geldbußen zu verhängen (Artikel 83, Abs. 5 lit. b DSGVO). Die Höchstgrenze liegt bei € 20.000.000 oder 4 Prozent des weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahrs. Dabei entscheidet die Behörde nach dem Abschreckungsprinzip und zieht folgende Kriterien zur Beurteilung heran:
- um welchen Verstoß gegen die GVO handelt es sich konkret, wie schwer ist er zu werten und wie lange liegt er bereits vor
- etwa die Anzahl der Personen, die betroffen sind und das Ausmaß des Schadens, der entstanden ist
- ist dem Verantwortlichen Vorsatz oder Fahrlässigkeit vorzuwerfen
- welche Maßnahmen hat der Verantwortliche bereits getroffen, um den Schaden zu minimieren
- gab es bereits früher schon Verstöße gegen die Datenschutzrichtlinien
- die Bereitschaft des Verantwortlichen zur Zusammenarbeit mit der Behörde
- alle betroffenen Datenkategorien
- die Art und Weise, wie der Verstoß der Behörde bekannt wurde
- wie hat der Verantwortliche bisher angeordnete Maßnahmen der Behörde befolgt
- Vorliegen anderer erschwerender oder mildernder Umstände
Wenn von der anfragenden Person keine Daten gespeichert sind, wird der Verantwortliche eine sogenannte „Negativauskunft“ geben. Das Unterlassen so einer Auskunft ist nicht sanktionierbar, da es im datenschutzrechtlichen Sinne keinen Betroffenen gibt.
Werden gegen öffentliche Stellen Geldbußen verhängt?
Dazu gibt es eine Öffnungsklausel, die es dem nationalen Gesetzgeber freistellt, ob und in welcher Höhe Bußgelder verhängt werden können. Laut § 43 Abs. 3 BDSG werden gegen öffentliche Stellen (Behörden) keine Bußgelder verhängt.
Einbringen einer Klage gegen den Verantwortlichen
Der betroffenen Person steht es frei die Gerichte anzurufen und Klage einzubringen. Der Ort, indem der Verantwortliche oder der Auftragsverarbeiter seinen Standort in einem Mitgliedsstaat hat, ist der Gerichtsstandort. In Deutschland sind dies die örtlich zuständigen Zivilgerichte.
Die betroffene Person kann nicht nur auf Erteilung der Auskunft klagen, sondern ggf. auch Schadensersatz, Herausgabe und / oder Löschung der Daten einfordern, wenn tatsächlich personenbezogene Daten über sie gespeichert sind.
Schadensersatz bedingt, dass der Eintritt eines Schadens, materiell oder immateriell, tatsächlich nachgewiesen werden kann.
Muss auch Auskunft über das Auskunftsersuchen selbst erteilt werden?
Eine Erteilung der Auskunft über das Ansuchen selbst ist dem Prozess grundsätzlich innewohnend, da im Ersuchen bereits personenbezogene Daten vorhanden sind. Eine vollständige, korrekte Auskunft muss daher alle Informationen und Auskünfte enthalten, die im Artikel 15, Abs. 1 DSGVO als sonstige Angaben angeführt sind (Speicherdauer, Zweck, Beschwerderechte). Im Falle einer sogenannten „Negativ-Auskunft“ sieht die DSGVO das nicht mehr vor.
JuraForum.de-Tipp: Grundsätzlich würde das Auskunftsersuchen selbst, den Start eines eigenständigen Verarbeitungsvorganges darstellen. Das würde bedeuten, dass selbst eine festgestellte Nichtverarbeitung personenbezogener Daten der Informationspflicht unterliegen würde. Das würde allerdings die Negativ-Auskunft umgehend in eine Positivauskunft umwandeln, ein Kreislauf ohne Ausgang würde entstehen. Um dieser Gefahr zu entgehen, kann ein rechtsgültiges Formular für eine Negativ-Auskunft erstellt werden. Es empfiehlt sich zur Erstellung einen Anwalt für Datenschutz beizuziehen.
Wer trägt die entstehenden Kosten?
Grundsätzlich handelt es sich um eine kostenfreie Leistung, wenn der Verantwortliche die Daten zur Verfügung stellt (Artikel 12 Abs. 5 DSGVO). Für weitere Kopien, die die betroffene Person verlangt, kann ein angemessenes Entgelt gefordert werden (Verwaltungskosten). Sofern die betroffene Person die Anträge auf Auskunftserteilung in angemessenen Abständen stellt, bleiben sie kostenfrei (Erwägungsgrund 63).
Falls der Verantwortliche feststellt, dass es sich mehrheitlich um unbegründete oder exzessive Auskunftsverlangen handelt, kann er ebenfalls ein angemessenes Entgelt verlangen oder die Erteilung der Auskunft verweigern. Für diese Fälle ist der Verantwortliche jedoch nachweispflichtig.
Zweck der Datenverarbeitung: Wie genau muss die Erklärung erfolgen?
Die DSGVO legt fest, dass jede Verarbeitung personenbezogener Daten durch einen Zweck hinterlegt sein muss (Artikel 5, Abs. 1 lit. b DSGVO).
Die Zwecke der Verarbeitung können von Kategorie zu Kategorie der personenbezogenen Daten unterschiedlich sein. Aus dem Grund ist die Auskunft für jeden einzelnen Verarbeitungszweck zu geben, es sei denn es kann eine Einschränkung angewandt werden.
Besteht das Auskunftsrecht auch bei pseudonymen Daten, z.B. Facebook?
Im Erwägungsgrund 26 geht die DSGVO auf den Unterschied von anonymisierten zu pseudonymisierten Daten ein. Die Begriffe werden manchmal fälschlicherweise synonym verwendet, deshalb hier eine Klärung:
- Anonyme Daten: Mit ihnen kann keine Verarbeitung personenbezogener Daten stattfinden, deshalb findet die DSGVO keine Anwendung (Artikel 11, Abs. 2).
- Pseudonymisierte Daten: Sind personenbezogene Daten, die gesondert aufbewahrt und geschützt werden, aber dennoch einer Person zuzuordnen sind. Es handelt sich also um eine funktionale Trennung der Merkmale, die der Identifikation dienen (Passwörter, Zugangscodes, etc.) von den tatsächlichen personenbezogenen Daten. Sie unterliegen deshalb den Richtlinien der DSGVO.
Um das Auskunftsbegehren (Auskunftsantrag) zu beantworten, kann es in vielen Fällen erforderlich sein, dass der Verantwortliche die aktive Mithilfe der betroffenen Person einfordern muss (Bekanntgabe von Codes, Schlüsseln, usw.), um die eindeutige Zuordnung zu den konkreten personenbezogenen Daten sicherzustellen. Kommt die anfragende Person dieser Aufforderung nicht nach, so hat der Verantwortliche das Recht die Herausgabe der Daten zu verweigern und das Auskunftsbegehren abzulehnen (keine eindeutige und zweifelsfreie Identifizierung). Der Verantwortliche tut gut daran, diese Schritte schriftlich zu protokollieren.
Bei Facebook, das synonym für andere Dienste (Sammelbegriff „soziale Medien“) gilt, werden in aller Regel pseudonymisierte Daten verarbeitet, deshalb findet die DSGVO Anwendung. Die Portale stellen dazu eigene Routinen zur Verfügung, die eine Abfrage der gespeicherten Daten ermöglichen.
So stellt Facebook die Daten zur Verfügung
Bei Facebook findet sich das in den Einstellungen des persönlichen Profils unter dem Punkt „Deine Facebook Informationen“. Dort ist es möglich alle gespeicherten Informationen abzurufen und lokal zu speichern. Der Benutzer benötigt dazu nur sein Passwort. Wenn man bedenkt, dass mit dieser Funktion, die gesamte Freundesliste, mit allen Kontaktdaten, abgerufen und in lesbarer Form (HTML) gespeichert werden kann, bekommt der Begriff Passwortsicherheit eine ganz andere Bedeutung.
Auskunftsroutine von Google
Beim Google-Konto findet sich die Funktion unter „Daten und Personalisierung“. Dort wird eine umfangreiche Liste angeboten, die sämtliche Aktivitäten umfasst, die auf dem Konto der betroffenen Person stattgefunden haben.
Häufigkeit des Auskunftsrechts
Die betroffenen Personen können das Recht auf Auskunftserteilung in angemessenen Abständen wahrnehmen. Eine genauere Definition liegt noch nicht vor. Die Fälle von diesem Recht Gebrauch zu machen, können Wohnsitzänderungen sein, beantragte Änderungen oder Berichtigung von personenbezogenen Daten. Exzessiv genutzte Auskunftsbegehren können vom Verantwortlichen zurückgewiesen werden.
Ausnahmen zum Auskunftsrecht nach Art. 15 DSGVO
Das Auskunftsbegehren wird inhaltlich und strukturell dadurch bestimmt, ob die Daten direkt bei der betroffenen Person erhoben wurden (Art. 13 DSGVO) oder nicht (Art. 14 DSGVO), bspw. bei Dritten.
Tabellarische Auflistung der Ausnahmen, inklusive der gesetzlichen Grundlagen
Legende zu folgenden Tabellen | |
| Es kommt eine Ausnahme zum Tragen, daher kein Recht auf Auskunft |
| Die Ausnahme gilt nur, wenn die personenbezogenen Daten für andere Zwecke benutzt werden als ursprünglich vorgesehen |
| Es besteht keine Veranlassung die betroffene Person in ihren Rechten einzuschränken |
Art der Ausnahme | Gesetzliche Grundlage | Erhebung bei der betroffenen Person (Art. 13 DSGVO) | Erhebung aus anderen / dritten Quellen (Art. 14 DSGVO) | Anspruch auf Auskunft (Art. 15 DSGVO) |
Wenn durch die Auskunft die Aufgabenerfüllung einer öffentlichen Stelle gefährdet ist, es sein denn die Rechte an Wahrnehmung der Interessen der betr. Person überwiegen | § 32, I, 2 § 33 , I 1a § 34, I ,1 BDSG |
|
|
|
Wenn durch die Auskunft die öffentliche Sicherheit und Ordnung gefährdet ist (Nachteile für das Wohl des Bundes, der Länder), es sei die Wahrnehmung der Interessen der betr. Person überwiegen. |
§ 32, I, 3 § 33 I, 1b § 34, I ,1 BDSG |
|
|
|
Die Informationsrechte stehen der betr. Person nicht mehr zu, wenn der Verantwortliche sie bereits bereitgestellt hat (oder bspw. direkt bei der betr. Erhoben wurden. Dies gilt nicht für Daten die im Laufe der Verarbeitung verändert wurden | Art. 13 IV, Art. 14 V a DSGVO |
|
|
|
Wenn durch das Auskunftsbegehren Ergebnisse von Forschungen, Statistiken ernsthaft beeinträchtigt würden oder Daten für wissenschaftliche Archivzwecke erforderlich sind, bzw. ein unverhältnismäßig hoher Aufwand damit verbunden wäre. | Art. 14 V b) DSGVO, §§ 27 II, § 28 II BDSG |
|
|
|
Informationen, die geheimzuhalten sind, weil ihre Offenlegung die berechtigten Interessen Dritter verletzen würde. Vor allem zutreffend bei Geheimnisträgern von Berufs wegen (Ärzte, Rechtsanwälte, etc.) | Art. 14 V c) DSGVO, § 29 I BDSG |
|
|
|
Wenn die betroffene Person Informationen begehrt, im Zusammenhang der Übermittlung sie betreffender Daten an deutsche Nachrichtendienste, die u.U. die Sicherheit Deutschlands berühren. | §§ 33 III, 34 I Nr. 1 BDSG |
|
|
|
Wenn das Interesse an den Daten als gering erscheint und die Auskunftserteilung mit unverhältnismäßig hohem Aufwand verbunden ist; wenn die Daten nicht automatisiert verarbeitet werden (Papierakte) und Unklarheit besteht, wo diese Daten aufzufinden sind | Art. 14 V b) DSGVO, §§ 32, I Nr. 1, 34 IV BDSG |
|
|
|
Falls der Verantwortliche den Zweck der Datenspeicherung ändern möchte und das Ansuchen eine vertrauliche Übermittlung an öffentliche Stellen gefährdet | § 32 I Nr. 5 BDSG |
|
|
|
Wenn die Verfolgung rechtlicher Ansprüche gefährdet sein könnten und die Interessen der betroffenen Person nicht überwiegen; nur wenn der Verantwortliche den Zweck der Verarbeitung ändern möchte. | § 32 I Nr. 4 BDSG |
|
|
|
Wenn gesetzliche oder satzungsmäßige Aufbewahrungsvorschriften eine Löschung nicht zulassen, die Daten nur der Sicherung dienen und eine anderweitige Verarbeitung ausgeschlossen ist. | § 34 I Nr. 2 BDSG |
|
|
|
Wenn die Interessen der betroffenen Person bereits durch andere europäische oder nationale Gesetze geregelt ist. | Art. 14 V d) DSGVO |
|
|
|
DSGVO Auskunft – Zweifel an der Identität nach Art. 12 Abs. 6 DSGVO
Der Verantwortliche hat sich von der eindeutigen und unverwechselbaren Identität der betroffenen Person zu überzeugen. Im Falle von pseudonymisierten Daten, sind dies Merkmale, die die betroffene Person mit den gespeicherten Daten verbindet. Im anderen Fall kann es um die Authentifizierung gehen, d.h. ob die betroffene Person die Berechtigung hat, die betreffenden Daten abzurufen. Das kommt dann zum Tragen, wenn die Daten von bevollmächtigten Personen verlangt werden. Das Angebot zusätzliche Identifizierungsmerkmale zu verwenden, kommt in aller Regel von der betroffenen Person (Erwägungsgrund 57), der Verantwortliche ist nicht verpflichtet diese zusätzlichen Daten einzuholen. Er darf sie allerdings auch nicht zurückweisen.
Welche Möglichkeiten hat der Verantwortliche, um die Identität festzustellen
Der Verantwortliche hat die Ermächtigung alle „vertretbaren Mittel“ zu nutzen, um die Identität zweifelsfrei zu prüfen. Er kann bei begründeten Zweifeln Identitätsnachweise verlangen und soll dabei dem Prinzip der Datenminimierung folgen. Er wird dem Antragsteller verschiedene Optionen anbieten, wobei die betroffene Person die Wahlfreiheit über die Annahme hat:
- Ist die elektronische Kommunikation gebräuchlich, so sind das die bisher verwendeten Authentifizierungsvorgänge, wie z.B. die registrierte E-Mail-Adresse. Eine Auswirkung der DSGVO in Verbindung mit der Zahlungsdienstrichtlinie PSD2 ist die Identifizierung und Autorisierung über ein zweites Gerät (Mobile Phone).
- Möglich sind auch Kombinationen aus Kundennummer, Kennwort und Transaktionsnummer, mit denen die Vorgänge bisher abgewickelt wurden.
- Eine Ausweiskopie ist aus datenschutzrechtlicher Sicht nicht erforderlich, kann jedoch von öffentlichen oder nichtöffentlichen Stellen als Legitimationspapier verwendet werden (§ 20 PAuswG). Eine Kopie davon muss zweifelsfrei als solche gekennzeichnet werden. Aus dieser Form der Legitimierung dürfen nur die Daten gespeichert werden, die für den Zweck der Auskunft erforderlich sind.
Entbindung von der Auskunft wegen z.B. Geschäftsgeheimnis denkbar?
Der Verantwortliche hat das Recht, die Auskunft zu verweigern oder einzuschränken, wenn möglicherweise Geschäftsgeheimnisse oder gewerbliche Schutzrechte betroffen wären. Zum Beispiel wäre das dann der Fall, wenn von einem Bank-Mitarbeiter die Offenlegung der Formel zur Berechnung des Bonitätsscorings verlangt werden würde.
Exzessive Antragstellung i.S.v. Art. 12 Abs. 5 DSGVO
Wenn der Verantwortliche feststellt, dass ein Antragsteller offenbar unbegründet oder exzessiv von seinem Recht Gebrauch macht, dann sieht der Artikel 12, Abs. 5 vor, dass die Auskunft nur gegen angemessenes Entgelt gegeben oder gänzlich verweigert wird. Der Verantwortliche hat in dem Fall den Beweis für den missbräuchlichen Charakter zu erbringen.
Einschränkungen nach § 34 BDSG-neu
Zusätzlich zu den Bestimmungen der DSGVO kommt das Bundesdatenschutzgesetz (BDSG) zum Tragen, dass eine Einschränkung der Auskunftspflicht vorsieht:
- Wenn Daten nur aus dem Grund gespeichert sind, weil es den gesetzlichen oder satzungsmäßigen Aufbewahrungsvorschriften entspricht und sie aus diesem Grund (noch) nicht gelöscht werden dürfen.
- Die gespeicherten Daten ausschließlich der Datensicherung und Datenschutzkontrolle dienen.
Diese Einschränkung ist dann anzuwenden, wenn die Auskunftserteilung mit einem unverhältnismäßig hohen Aufwand verbunden und eine Verarbeitung zu anderen Zwecken durch organisatorisch-technische Maßnahmen ausgeschlossen ist.
Beeinträchtigung i.S.v. Art. 15 Abs. 4 DSGVO
Es kann von einer Auskunftserteilung abgesehen werden, wenn dadurch Rechte und Freiheiten anderer Personen negativ berührt werden. Zum Beispiel können dies Geschäftsgeheimnisse sein, Datenschutz oder geistiges Eigentum.
Handlungsempfehlung für Verantwortliche im Sinne der DSGVO
Die DSGVO in der aktuellen Form birgt zwar einige Herausforderungen, es handelt sich trotz allem im weitesten Sinne um eine EU-weite Harmonisierung des bereits bestehenden Datenschutzrechts (BDSG, TMG, …). In der Zusammenfassung ergibt sich folgendes Bild als Leitlinie für Verantwortliche:
- Für jede Verarbeitung personenbezogener Daten muss eine Berechtigung vorliegen.
- Ab dem Zeitpunkt, ab dem personenbezogene Daten erhoben werden, entstehen bereits Informationspflichten, wie Nennung des Datenschutzbeauftragten und Bekanntgabe der Zwecke, die hinter den Verarbeitungen liegen.
- Mit technisch-organisatorischen Maßnahmen ist sicherzustellen, dass die Datenübertragbarkeit gewährleistet ist, wenn dies von den betroffenen Personen gewünscht wird.
- Das Schutzniveau der erhobenen Daten verpflichtet den Verantwortlichen zur Implementierung angemessener technisch-organisatorischer Maßnahmen, wie bspw. Pseudonymisierung, Verschlüsselung personenbezogener Daten.
- Ebenso sind die Vertraulichkeit und Integrität aller Systeme regelmäßig zu prüfen und ihre Wirksamkeit zu evaluieren.
- Werden neue Technologien und Systeme eingeführt, so hat der Verantwortliche davor eine Datenschutz-Folgenabschätzung durchzuführen, um die Risiken, die diese Neuerung mit sich bringt, richtig zu bewerten.
- Der Verantwortliche hat ein Verzeichnis der Verarbeitungstätigkeiten zu führen, indem alle Prozesse beschrieben sind, mit denen personenbezogene Daten verarbeitet werden.
- Alle Beschäftigten im Unternehmen, im Besonderen jene, die personenbezogene Daten verarbeiten sind hinsichtlich Datenschutz und Geschäftsgeheimnis zu schulen, das Wissen ist periodisch zu evaluieren.
- Der Verantwortliche dokumentiert, seiner Rechenschaftspflicht folgend, die Grundsätze der Verarbeitung personenbezogener Daten im Unternehmen.
Erteilung der Auskunft nach Artikel 15 DSGVO – kostenloses Muster
Sie können sich ein kostenloses Muster hier generieren.
Fazit
Das Auskunftsverlangen darf vom Verantwortlichen keinesfalls auf die leichte Schulter genommen werden. Ein Verstoß dagegen ist mit hohen Bußgeldstrafen bedroht. Ein Grundsatzurteil des LG Köln vom 18.03.2019 (Az. 26 O 25/18) hat hinsichtlich des Umfangs der Auskunft einige Klärungen gebracht. Aus dem Urteil ist zu entnehmen, dass der Auskunftsanspruch nicht generell und allumfassend ist, sondern sich nur auf die gespeicherten personenbezogenen Daten bezieht.
Es steht außer Frage, dass das die DSGVO Auskunft ein zentrales Verfahren der DSGVO ist. Sie mit dem Regelwerk intensiv vertraut zu machen und bereits im Vorfeld die richtigen technisch-organisatorischen Maßnahmen zu gestalten, kann als Handlungsempfehlung nicht oft genug betont werden. Eine zügige und rechtskonforme Bearbeitung der Auskunftsverlangen kann dem Unternehmen viel Geld (Bußgeldforderungen / Schadensersatz) und Ärger ersparen.