Auskunftsrecht gemäß Art. 15 DSGVO – Auskunftsersuchen beantworten: Sichtung, Schwärzung und Antwortschreiben

Auskunftsersuchen beantworten ist der vierte und letzte Teil unserer Beitragsreihe zum Thema Auskunftsrecht. Hier geht es zur Einführung.

Die Checklisten sind ausgefüllt, die Fachbereiche haben zugeliefert, und auf dem Tisch – oder besser: im zentralen Ablageort – liegt nun ein beachtlicher Stapel an Informationen, Dokumenten und Datensätzen. Damit ist die Fleißarbeit abgeschlossen, könnte man meinen. Doch weit gefehlt: Erst jetzt beginnt die Phase, in der erfahrungsgemäß die Hauptarbeit steckt.

In diesem vierten und letzten Teil unserer Beitragsreihe zeigen wir, warum ein zentraler Ablageort für alle gesammelten Informationen unerlässlich ist, was Sichtung und Bewertung konkret bedeuten, wann geschwärzt werden muss und wie am Ende ein vollständiges Antwortschreiben entsteht, das datenschutzkonform übermittelt wird. Wer ein Auskunftsersuchen beantworten will, muss in dieser Phase besonders sorgfältig arbeiten.

Erfahren Sie die nächsten Schritte in der folgenden Audio-Datei (s.u.)

Im vorherigen Beitrag haben wir gezeigt, wie viele Abteilungen und Fachbereiche bei einem Auskunftsersuchen eingebunden werden müssen. Jeder dieser Bereiche liefert Rückmeldungen in unterschiedlicher Form: ausgefüllte Checklisten, Teilnahmebescheinigungen, Protokolle, Verträge, E-Mail-Verkehr, Auszüge aus dem Active Directory, vielleicht sogar Fotos. Hinzu kommen die Dokumente aus der Personalakte und möglicherweise Unterlagen aus der Rechtsabteilung.

All diese Informationen müssen an einem Ort zusammengeführt werden, bevor sie gesichtet und bewertet werden können. Deshalb sollte von Anfang an ein zentraler Ablageort geschaffen werden, in dem alle angeschriebenen Bereiche ihre zusammengetragenen Informationen und die überarbeiteten Checklisten ablegen. Ohne eine solche zentrale Sammelstelle verliert man schnell den Überblick darüber, was bereits vorliegt und was noch aussteht.

Sobald die Informationen aus den Fachbereichen vorliegen, beginnt das Sichten. Und genau hier steckt aus der Praxis heraus betrachtet der größte Aufwand des gesamten Verfahrens. Sichten bedeutet nicht einfach, alles in einen Umschlag zu stecken und abzuschicken. Es bedeutet, jedes einzelne Dokument und jeden einzelnen Datensatz inhaltlich zu prüfen.

Die zentralen Fragen dabei lauten: Ist diese Information für das Auskunftsersuchen überhaupt relevant? Muss sie in dieser Form herausgegeben werden? Und betrifft sie ausschließlich die betroffene Person oder sind auch Daten Dritter enthalten?

Ein konkretes Beispiel: Vielleicht hat ein Fachbereich zwanzig Teamprotokolle zugeliefert, in denen die betroffene Person jeweils als Teilnehmerin aufgeführt ist. Inhaltlich steht in diesen Protokollen nichts, was über die bloße Anwesenheit hinausgeht, es wurde lediglich im Rahmen von Teamsitzungen die An- und Abwesenheit notiert. In einem solchen Fall ist es nicht erforderlich, alle zwanzig Protokolle einzeln herauszugeben. Es reicht, ein Protokoll als Muster beizufügen und darauf hinzuweisen, dass im Rahmen von Teamsitzungen regelmäßig Protokolle geführt werden, in denen An- und Abwesenheiten erfasst wurden.

Erfahren Sie weiter unten auch Frau Wiemers Einordnung zum Verfassen des Antwortschreibens.

In vielen der zusammengetragenen Dokumente tauchen nicht nur die Daten der betroffenen Person auf, sondern auch Daten Dritter. Dritte, das sind in diesem Zusammenhang alle anderen Personen, die mit dem Auskunftsersuchen nichts zu tun haben: Kolleginnen und Kollegen, die ebenfalls im Teamprotokoll stehen, Vorgesetzte, die ein Gesprächsprotokoll unterschrieben haben, oder andere Mitarbeitende, die auf einer Anwesenheitsliste vermerkt sind.

Diese Drittdaten dürfen nicht einfach zusammen mit der Auskunft herausgegeben werden. Sie müssen geschwärzt werden. In manchen Fällen kann auch begründet werden, warum ein bestimmtes Dokument gar nicht erst herausgegeben wird, wenn die Schwärzung so umfangreich wäre, dass vom eigentlichen Inhalt nichts übrigbliebe. Doch auch das ist eine Einzelfallentscheidung, die sorgfältig getroffen und dokumentiert werden muss.

In dieser Phase der Sichtung, Bewertung und Schwärzung zeigt sich, warum für diesen Schritt der größte Anteil der Bearbeitungszeit eingeplant werden sollte. Wenn von den vier Wochen nach DSGVO eine Woche für den Prozessstart und eine Woche für die Rückmeldung der Fachbereiche vorgesehen sind, bleiben rund vierzehn Tage für die inhaltliche Aufbereitung. Das klingt nach viel, ist es aber oft nicht.

Parallel zur Sichtung und Bewertung entsteht das Antwortschreiben. Es speist sich aus den Checklisten, aus den gesichteten Dokumenten und Dateien und aus den E-Mails und sonstigen Unterlagen, die zusammengetragen wurden. Das Antwortschreiben ist das eigentliche Herzstück vom Auskunftsersuchen beantworten: Es fasst zusammen, welche personenbezogenen Daten verarbeitet werden, zu welchen Zwecken, auf welcher Rechtsgrundlage, an wen sie gegebenenfalls weitergegeben wurden und wie lange sie gespeichert werden.

Je nach Umfang des Auskunftsersuchens kann dieses Schreiben mehrere Seiten umfassen und wird durch die beigefügten Dokumente, die die betroffene Person als Kopie erhält, ergänzt. In manchen Fällen können das einige Dutzend Seiten sein, in komplexen Fällen aber auch mehrere Hundert oder sogar Tausend Seiten.

Ein oft unterschätzter Aspekt beim Beantworten eines Auskunftsersuchens ist der Übermittlungsweg. Hier gilt ein klarer Grundsatz: Wenn die betroffene Person einen bestimmten Übertragungsweg wünscht, hat das Unternehmen diesen zu wählen. Verlangt die betroffene Person alles in Papierform, dann müssen sämtliche Unterlagen ausgedruckt und postalisch versendet werden.

In der Regel wird jedoch um eine digitale Übersendung gebeten. Für diesen Fall muss ein sicherer Übermittlungsweg vorbereitet werden. Das kann ein passwortgeschützter Download-Link über eine sichere Plattform sein. Das kann ein verschlüsselter USB-Stick sein, der per Post versendet wird. Oder es kann eine Ende-zu-Ende-verschlüsselte E-Mail sein. Entscheidend ist, dass der gewählte Weg dem Schutzbedarf der übermittelten Daten angemessen ist. Gerade wenn sensible Kategorien personenbezogener Daten enthalten sind, etwa Gesundheitsdaten aus dem betrieblichen Gesundheitsmanagement oder Informationen über Arbeitsunfälle, muss der Übermittlungsweg besonders sorgfältig gewählt werden.

Mit dem Versand des Antwortschreibens und der beigefügten Unterlagen ist das Auskunftsersuchen beantwortet und das Verfahren abgeschlossen. Doch auch jetzt empfiehlt es sich, den gesamten Vorgang sauber zu dokumentieren: wann das Ersuchen eingegangen ist, welche Schritte unternommen wurden, welche Fachbereiche eingebunden waren, welche Informationen herausgegeben wurden und auf welchem Weg die Übermittlung erfolgte. Diese Dokumentation dient der Rechenschaftspflicht und schützt das Unternehmen im Falle späterer Rückfragen durch die betroffene Person oder eine Aufsichtsbehörde.

Mit diesem vierten Teil schließen wir unsere Beitragsreihe zum Auskunftsrecht ab. Über die vier Teile hinweg haben wir den gesamten Prozess eines Auskunftsersuchens nachgezeichnet: vom Erkennen eines Auskunftsverlangens, das oft nicht als solches betitelt ist, über den Prozessstart mit Fristen, Eingangsbestätigung und Rückfragen, die strukturierte Zusammenstellung der Informationen aus den Fachbereichen mit Hilfe von Checklisten bis hin zur Sichtung, Schwärzung und Erstellung des Antwortschreibens.

Was dabei deutlich geworden sein sollte: Ein Auskunftsersuchen zu beantworten ist kein Nebenbei-Geschäft. Es erfordert klare Prozesse, definierte Zuständigkeiten, gute Vorbereitung und eine realistische Zeitplanung. Wer diese Grundlagen geschaffen hat, kann auch komplexe Auskunftsersuchen innerhalb der gesetzlichen Fristen rechtssicher bearbeiten.

Sie möchten einen robusten Prozess für Auskunftsersuchen in Ihrem Unternehmen aufbauen, von der Erkennung bis zur Antwort? Sprechen Sie uns an, wir unterstützen Sie mit Prozessberatung, Schulungen und als externer Datenschutzbeauftragter.