Auskunftsrecht gemäß Art. 15 DSGVO – Informationen für ein Auskunftsersuchen zusammenstellen

Informationen für ein Auskunftsersuchen zusammenstellen ist der dritte Teil unserer Beitragsreihe zum Thema Auskunftsrecht. Hier geht es zur Einführung.

Die Eingangsbestätigung ist versendet, die Fristen laufen, und nun beginnt die eigentliche Arbeit: Welche Daten hat das Unternehmen über die betroffene Person gespeichert? Die Antwort auf diese Frage ist in den seltensten Fällen an einer einzigen Stelle zu finden. Personenbezogene Daten verteilen sich über Abteilungen, Standorte und Systeme. Wer ein Auskunftsersuchen vollständig beantworten will, muss wissen, wo überall nachgefragt werden muss.

In diesem dritten Teil unserer Beitragsreihe zeigen wir anhand eines konkreten Praxisbeispiels, welche Abteilungen und Fachbereiche bei einem Auskunftsersuchen einzubinden sind, warum niemals eine einzelne Stelle alle Informationen auf dem Tisch liegen hat und wie Checklisten den gesamten Prozess der Informationszusammenstellung strukturieren und beschleunigen können.

Welche Stellen noch eingebunden werden sollen, erfahren Sie in der nächsten Audio-Datei (s.u.)

Um zu veranschaulichen, wie viele Stellen im Unternehmen an einem Auskunftsersuchen beteiligt sein können, hilft ein konkretes Beispiel. Stellen Sie sich eine Mitarbeiterin vor, die an einem dezentralen Standort des Unternehmens arbeitet. In der Vergangenheit hatte sie einen Arbeitsunfall, sie nimmt regelmäßig an Arbeitsschutzschulungen teil und nutzt Mitarbeitervorteile im Rahmen des betrieblichen Gesundheitsmanagements, in diesem Fall ein Jobrad. Darüber hinaus hat sie im Laufe der Jahre die Position im Unternehmen gewechselt, ist nach einer Weiterbildung aufgestiegen und arbeitet heute in einer anderen Rolle als zu Beginn.

Jetzt stellt diese Mitarbeiterin ein Auskunftsersuchen und möchte wissen, welche personenbezogenen Daten das Unternehmen über sie verarbeitet. Die entscheidende Frage lautet: Wer kann all diese Informationen zusammenstellen? Die Antwort ist eindeutig: keine einzelne Person und keine einzelne Abteilung. Bei einer Frist von einem Monat nach DSGVO bedeutet das, dass die Abfrage in den Fachbereichen zügig und strukturiert erfolgen muss.

Wenn eine Mitarbeiterin oder ein Mitarbeiter ein Auskunftsersuchen stellt, denken die meisten zunächst an die Personalabteilung. Das ist auch richtig so: Dort liegt die Personalakte, dort werden Lohn- und Gehaltsabrechnungen erstellt, dort sind Vertragsdaten, Zeugnisse, Beurteilungen und vieles mehr hinterlegt. Die Personalabteilung ist in nahezu jedem Beschäftigtenauskunftsersuchen der zentrale Ausgangspunkt.

Doch sie ist eben nur der Ausgangspunkt. Denn neben den klassischen Personaldaten gibt es zahlreiche weitere Bereiche im Unternehmen, in denen personenbezogene Daten von Mitarbeitenden verarbeitet werden. Und genau hier beginnt die Herausforderung, wenn Sie für ein Auskunftsersuchen Informationen zusammenstellen müssen.

Bleiben wir bei unserem Beispiel. Die Mitarbeiterin hatte einen Arbeitsunfall und nimmt an Schulungen teil. Also muss die fachverantwortliche Stelle Kontakt mit dem Arbeitssicherheitsbeauftragten aufnehmen, damit dort zusammengetragen werden kann, wann, wie und wo es zu Arbeitsunfällen kam und welche Teilnahmebescheinigungen für Schulungen vorliegen.

Da die Mitarbeiterin das Jobrad nutzt, ist auch die Stelle für das betriebliche Gesundheitsmanagement einzubinden. Dort muss geprüft werden, welche Daten in Anspruch genommene Leistungen betreffen, wann welche Informationen etwa an den Jobrad-Anbieter übermittelt wurden und welche Unterlagen dazu vorliegen.

Dann ist da die Einsatzstelle, also die zuständige Leitung vor Ort. Dort können Teamprotokolle liegen, interne Dokumentationen, Schriftverkehr, Aktennotizen oder Protokolle aus Mitarbeiterjahresgesprächen. Vielleicht werden am Standort auch lokale Listen geführt, etwa eine Mitarbeiterübersicht oder eine Klientenübersicht mit Zuordnungen. Vielleicht liegt vor Ort eine Einwilligung zur Fotoveröffentlichung vor, und es existieren Fotos oder Abbildungen der betroffenen Person.

Je nach Unternehmensgröße und -struktur kommen weitere Bereiche hinzu: der Betriebsrat oder die Mitarbeitervertretung (MAV), die im Rahmen von Einstellungen, Gruppierungen oder betrieblichen Vereinbarungen Daten verarbeiten kann. Das Facility Management, wenn dort Zugangsberechtigungen oder Raumzuordnungen dokumentiert werden. Das Fuhrparkmanagement, wenn die betroffene Person einen Dienstwagen nutzt. Die IT-Abteilung, die Auszüge aus dem Active Directory, Zugriffsberechtigungen oder Logdaten bereitstellen muss. Und schließlich kann auch die Rechtsabteilung relevant sein, wenn sich das Unternehmen mit der betroffenen Person in einer rechtlichen Auseinandersetzung befindet.

Das Beispiel macht deutlich: In einem größeren Unternehmen hat niemals eine einzige fachverantwortliche Person alle relevanten Informationen auf dem Tisch liegen. Die Daten sind über verschiedene Arbeitsbereiche, Abteilungen und Geschäftsbereiche verteilt. Wer Informationen für ein Auskunftsersuchen zusammenstellen muss, steht vor der Aufgabe, diese verteilten Bestände systematisch abzufragen und zusammenzuführen.

Das gelingt nur, wenn der Prozess von Anfang an strukturiert aufgesetzt ist. Und genau hier kommen Checklisten ins Spiel.

Für jeden Fachbereich, der im Rahmen vom Auskunftsersuchen Informationen zusammenstellen muss und diesbezüglich eingebunden wird, sollte es im Unternehmen eine eigene Checkliste geben. Eine Checkliste für die Einsatzstelle, eine für den Betriebsrat, eine für Arbeitssicherheit und Arbeitschutz, eine für das betriebliche Gesundheitsmanagement und so weiter. Je nachdem, welche Bereiche in einem Unternehmen personenbezogene Daten von Mitarbeitenden verarbeiten, erweitert sich dieser Kreis entsprechend.

Der entscheidende Vorteil dieser Checklisten liegt in ihrer Vorbereitung. Denn ein Arbeitssicherheitsbeauftragter oder eine Teamleitung vor Ort weiß in der Regel nicht aus dem Stegreif, was genau bei einem Auskunftsersuchen zusammengetragen werden muss, welche Datenkategorien relevant sind, welche Zwecke und Rechtsgrundlagen anzugeben sind und was eigentlich in eine Auskunftsantwort hinein gehört. Ein leeres Blatt Papier mit der Aufforderung „Bitte liefern Sie alle personenbezogenen Daten zu dieser Person“ führt entweder zu Ratlosigkeit oder zu unvollständigen Ergebnissen.

Besser ist es, den Fachbereichen etwas an die Hand zu geben: eine vorstrukturierte Checkliste, die die üblichen Verarbeitungstätigkeiten des jeweiligen Bereichs bereits enthält, mit den richtigen Datenkategorien, Zwecken und Rechtsgrundlagen. Im Grunde eine Art Leitfaden nach dem Prinzip: Schaut mal, das könntet ihr haben. Falls nicht, reicht ein Durchstreichen. Falls noch mehr da ist, schreibt es gern dazu.

Dieser Ansatz macht die Abfrage in den Fachbereichen schneller, vollständiger und weniger fehleranfällig. Er ist ein bewährter Weg, um im Unternehmen oder sogar im Unternehmensverbund ein Auskunftsersuchen strukturiert zu bearbeiten.

Im vorherigen Beitrag haben wir empfohlen, die erste Woche für den Prozessstart zu nutzen: Eingangsbestätigung versenden, Rückfragen stellen und den internen Prozess in Gang setzen. Mit dem Versenden der Checklisten an die Fachbereiche beginnt nun die Phase der Informationszusammenstellung.

Wenn die DSGVO eine Gesamtfrist von vier Wochen vorsieht, sollte für die Rückmeldung aus den Fachbereichen eine interne Frist von etwa einer Woche gesetzt werden. Das bedeutet: Die Checklisten gehen in der ersten Woche raus, die Fachbereiche haben eine Woche Zeit, und ab der dritten Woche stehen dann noch rund zwei Wochen für die Sichtung, Bewertung und Erstellung der Auskunftsantwort zur Verfügung. Warum gerade für diesen letzten Schritt der größte Zeitanteil reserviert werden sollte, zeigen wir im nächsten Teil der Beitragsreihe.

Mit der Eingangsbestätigung und den ersten Rückfragen ist der Prozess gestartet. Doch die eigentliche Arbeit beginnt erst jetzt. In den kommenden Beiträgen gehen wir auf die nächsten Schritte ein:

Teil 1 beschäftigt sich damit, wie man ein Auskunftsersuchen erkennen und den Prozess starten kann.

Teil 2 behandelt den Prozess-Start und den internen Ablauf, sobald ein Auskunftsverlangen identifiziert wurde.

Teil 4 zeigt, wie die gesammelten Informationen gesichtet, bewertet und geschwärzt werden und wie am Ende eine datenschutzkonforme Antwort entsteht.

Sie möchten Checklisten und Prozesse für Auskunftsersuchen in Ihrem Unternehmen etablieren? Sprechen Sie uns an – wir unterstützen Sie mit Prozessberatung, Schulungen und als externer Datenschutzbeauftragter.