Auskunftsersuchen nach der DSGVO – Wie reagieren Unternehmen richtig?

Artikel 15 der Datenschutzgrundverordnung (DSGVO) gewährt Bürgerinnen und Bürgern das Recht, bei Unternehmen und Behörden nachzufragen, ob und wie Ihre Daten genutzt werden. Sie können unter anderem danach fragen,

• warum das Unternehmen Ihre Daten verarbeitet (Zweck der Verarbeitung),

• wie lange Ihre Daten gespeichert werden sollen,

• woher der Betrieb Ihre Daten hat sowie

• wer von dem Unternehmen Informationen über Sie erhalten hat.

Kommen Unternehmen dem Ersuchen ohne Grund nicht, nicht richtig oder nicht rechtzeitig nach, droht eine Beschwerde durch die/den Ersuchende(n) bei der Aufsichtsbehörde, ein Bußgeld und sogar eine Schadenersatzklage.

Unternehmen sollten Auskunftsersuchen daher ernst nehmen und der Bearbeitung einen festen Platz einräumen.

Wichtig: Reagieren Sie daher auf Ersuchen – auch wenn Sie keine Daten über die/den Antragssteller:in gespeichert haben. Auch eine Negativauskunft muss erteilt werden. Andernfalls begründet auch dies einen Verstoß gegen die DSGVO.

Und: Mit der Anfrage haben Sie automatisch Daten der/des Betroffenen erhalten. Teilen Sie neben der Angabe, dass Sie keine Daten außer den mit dem Ersuchen erhaltenen gespeichert haben, auch die allgemeinen Hinweise nach Art. 13 DSGVO mit. Dazu zählt auch, wie lange Sie das Auskunftsersuchen und die Antwort darauf aufbewahren. Dies sollten Sie entsprechend der Verjährungsfrist drei Jahre lang tun.

1. Empfang bestätigen & Frist beachten

Zunächst sollten Unternehmen, die ein Auskunftsersuchen erhalten, der/dem Absender:in eine Empfangsbestätigung übermitteln, in der sie mitteilen, dass sie das Anliegen bearbeiten.

Wichtig: Denken Sie an die Frist. Nach der DSGVO müssen Auskunftsersuchen innerhalb von maximal einem Monat beantwortet werden. Stellen Sie bei der Überprüfung fest, dass zwei bis drei Wochen für die Beantwortung nicht ausreichen, informieren Sie die/den Antragssteller:in darüber, dass sich die Antwort verzögert.

2. Daten-Verarbeitung prüfen

Prüfen Sie, ob personenbezogene Daten der Antragsstellerin/des Antragsstellers (wie Geburtsdatum, Adresse, Telefonnummer oder Kontodaten) im Unternehmen verarbeitet werden. Denken Sie dabei auch an die Negativauskunft, falls dies nicht der Fall ist.

Was zählt alles zu den personenbezogenen Daten? Dazu entschied der Europäische Gerichtshof (EuGH), dass dies „potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen“ umfasst. Das Gericht legt den Begriff also weit aus.

3. Kann die Auskunft verweigert werden?

Liegt ein Ausschlussgrund vor? Dies ist unter anderem dann der Fall, wenn das Unternehmen gesetzlich dazu verpflichtet ist, Daten zu speichern oder die Speicherung ausschließlich der Datensicherung oder Datenschutzkontrolle dient. Auch besteht keine Auskunftspflicht, wenn ein Interesse an Geheimhaltung über die Daten besteht. Dies ist bspw. bei Ärzten und Rechtsanwält:innen der Fall oder ergibt sich aus anderen Vorschriften. Schauen Sie dazu in das Bundesdatenschutzgesetz.

Hat die Person bereits häufiger ein Auskunftsersuchen gestellt (bspw. mehrmals im Jahr ohne erkennbaren Anlass), könnte es sich um exzessive Anfrage handeln. Dann kann die Auskunft verweigert werden.

Wichtig: Aber auch dies muss nicht dazu führen, dass das Gericht einen Schadenersatzanspruch ausschließt. So entschied das Amtsgericht Düsseldorf zum Beispiel: „Der Umstand, dass der Beklagte systematisch Verstöße gegen die DSGVO in Bezug auf seine Person verfolgt, ist bei der Höhe des Schadenersatzes zu berücksichtigen, führt aber nicht dazu, dass dies einen Anspruch wegen rechtsmissbräuchlichen Handelns ausschließt.“

Auch im Falle von offensichtlich unbegründeten Anfragen ist das Ersuchen abzulehnen.

Urteil: Aktuell befindet sich eine Vorlagefrage mit Blick auf die Rechtsmissbräuchlichkeit von Auskunftsersuchen nach Artikel 15 DSGVO beim EuGH. Die Entscheidung wird mehr Rechtssicherheit bei der Problematik schaffen.

Der Nachweis für den Ausschluss liegt beim Unternehmen. Teilen Sie der/dem Anfragenden die Gründe für die Ablehnung mit.

4. Auskunft erteilen & Datenkopie übermitteln

Sind Daten der anfragenden Person im Unternehmen gespeichert und liegt kein Ausschlussgrund vor, sind Sie verpflichtet, dem Ersuchen eine Kopie der gespeicherten Daten zu übermitteln. Der/dem Betroffenen ist Auskunft über alle mit ihr/ihm in Beziehung stehenden Informationen wie Name, E-Mail- und IP-Adresse mitzuteilen.

Auch Kommentare und Bewertungen, die sich auf die/den Antragssteller:in beziehen, sind anzugeben. Daneben ist Auskunft über die Zwecke der Verarbeitung (aufgeführt in Artikel 30 DSGVO), deren Dauer und wer die Informationen erhalten hat, mitzuteilen.

Daneben muss der/dem Betroffenen der Hinweis auf Berichtigung und Löschung der Daten (Art. 16 und 17 DSGVO) sowie die Möglichkeit, Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) sowie Beschwerde (Art. 77 DSGVO) bei einer Aufsichtsbehörde einzulegen, mitgeteilt werden.

5. Wie wird die Auskunft erteilt?

Es gibt keine vorgesehene Form zur Datenmitteilung. Die/der Anspruchssteller:in kann wählen, ob die Informationen elektronisch, per Post oder mündlich erfolgen soll. Wichtig ist, dass die Informationen in einfacher, transparenter und verständlicher Weise übermittelt werden. Die Datenkopie können Sie am einfachsten bereitstellen, indem Sie die gespeicherten Daten oder die Akte der/des Betroffenen ausdrucken.

Sie müssen die Auskunft kostenlos erteilen. Nur bei Ausnahmen dürfen Sie die Kosten der/dem Anfragenden in Rechnung stellen. Bspw., wenn sie oder er wiederholt Anfragen stellt (exzessiver Antrag) oder weitere Kopien fordert.

6. Identität prüfen

Versichern Sie sich, ob die/der Anfragende auch die Person ist, für die sie/er sich ausgibt. Es reicht jedoch laut Gesetz aus, dass „keine begründeten Zweifel“ an der Identität der/des Anfragenden bestehen. Ob es sich um die richtige Person handelt, können Sie prüfen, indem Sie nach bereits hinterlegten Daten wie Geburtsdatum und Telefonnummer fragen. In Einzelfällen können Sie auch um Kopie des Personalausweises oder Reisepasses bitten. Es reicht aus, wenn darauf Name, Adresse, Geburtsdatum und Gültigkeitsdauer zu sehen ist.