Geht im Unternehmen ein Auskunftsersuchen ein, ist Ignorieren die schlechteste aller Lösungen. Das Gesetz fordert, dass die verantwortliche Stelle so oder so eine Antwort erteilen muss, und zwar spätestens innerhalb eines Monats. In jüngster Zeit gehen verschiedene solcher Anfragen bei den Unternehmen ein, die einen sind z.B. Spam-Mails von Forschungsinstituten, die anderen sind ernstzunehmende Anfragen von Betroffenen.
Der Rechtsanwalt und Fachanwalt für IT-Recht, Stephan Hansen-Oest, hat sich in seinem aktuellen News-Letter mit dem Thema einmal auseinandergesetzt.
Passend zum Beitrag und aus gegebenem Anlass gehen wir dem Thema „Auskunftsrecht gemäß Art. 15 DSGVO“ näher auf den Grund.
Definition Auskunftsersuchen, Auskunftsrecht
Das Auskunftsrecht ist ein sogenanntes Betroffenenrecht, welches in Art. 15 EU-Datenschutzgrundverordnung (nachfolgend „DSGVO“) geregelt wird. Betroffene Personen können von jeder verantwortlichen Stelle (Unternehmen, soziale Einrichtungen, Arztpraxen, Online-Shop-Anbieter, usw.), Auskunft verlangen, sobald Sie glauben, dass zu Ihrer Person Daten durch diese verarbeitet werden.
Wie müssen verantwortliche Stellen mit Auskunftsersuchen umgehen?
Ein Auskunftsersuchen gem. Art. 15 DSGVO muss die verantwortliche Stelle unverzüglich bearbeiten, gemäß Art.12 DSGVO bedeutet das, innerhalb von 4 Wochen nach Eingang der Auskunfts-Anfrage hat die betroffene Person eine Antwort zu erhalten. Dies gilt grundsätzlich für die Bearbeitung von Betroffenen-Anfragen.
Wird für die Bearbeitung / Beantwortung der Auskunfts-Anfrage mehr Zeit benötigt, ist dies nur aus wichtigem Grund zulässig; die betroffene Person ist darüber entsprechend in Kenntnis zu setzen (innerhalb der Frist). Hierzu gehört auch, dass der Grund für das Nichteinhalten der Frist von der verantwortlichen Stelle erläutert wird.
Wie sollte ein Auskunftsersuchen aussehen?
Grundsätzlich sind keine Bedingungen an die Form eines Auskunftsersuchens geknüpft. Zudem besteht nicht die Notwendigkeit einen solchen Antrag losgelöst von jedweder sonstigen Kommunikation zu stellen. Sollte die antragsstellende Person also zu weiteren Themen mit der verantwortlichen Stelle in Kontakt stehen, kann eine Auskunfts-Anfrage im Rahmen dieser mitgestellt werden.
Eingehende kurze E-Mails oder Anrufe zu dem Thema sind ebenfalls zu beachten und zu prüfen, ob es sich um eine ernstzunehmende Auskunfts-Anfrage handelt. Um den Vorgang prüfen und beschleunigen zu können, raten wir zu folgendem Vorgehen.
Unsere Empfehlungen zum Umgang mit Auskunfts-Anfragen
Trotz der nicht vorhandenen Formvorschrift, die für Auskunfts-Anfragen vorliegt, gibt es für die verantwortliche Stelle aus anderen Aspekten heraus sehr wohl Dokumentations- und Prüfpflichten. Darüber hinaus sehen wir als Form für ein Auskunftsersuchen die Schriftform an. Aufsichtsbehörden stellen für solche Fälle aus diesem Grund Muster-Anschreiben zur Verfügung. Auf ein telefonisches Auskunftsersuchen sollte nur insofern eingegangen werden, als dass die betroffene Person darauf hingewiesen wird, dass der Auskunfts-Antrag schriftlich zu stellen ist. Darüber hinaus ist die Auskunftsanfrage durch die betroffene Person zu legitimieren. Dies beutet, dass durch die Nennung einer Kundennummer oder einer möglichen hinterlegten E-Mail-Adresse überhaupt vermutet werden kann, dass die verantwortliche Stelle personenbezogenen Daten zu der betroffenen Person hat. Auch der Umstand einer bereits lang zurückliegenden Vertragsanbahnung bzw. eines Vertragsverhältnisses kann zur Legitimation herangezogen werden.
Etablieren Sie einen Prozess, den die Mitarbeitenden kennen und der auf einfache Weise kommuniziert werden kann. Nutzen Sie dazu unser Datenschutzzeichen.
Die Antwort
Zu Dokumentaionszwecken empfiehlt es sich, die Beantwortung der Auskunfts-Anfrage in schriftlicher / elektronischer Form vorzunehmen.
Die Datenschutzkonferenz (kurz “DSK” genannt) hat in Ihrem Kurzpapier dazu folgendes ausgeführt:“Die Auskunftserteilung an die betroffene Person kann nach Art. 12 Abs. 1 Sätze 2 und 3 DS-GVO je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen. Der Verantwortliche stellt eine Kopie der Daten zur Verfügung (Art. 15 Abs. 3 Satz 1 DS-GVO). Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DS-GVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z. B. im PDF Format). Als datenschutzfreundlichste Gestaltung wird in Erwägungsgrund (ErwGr.) 63 Satz 4 ein vom Verantwortlichen eingerichteter Fernzugriff der betroffenen Person auf ihre eigenen Daten bezeichnet. Alle Kommunikationswege müssen angemessene Sicherheitsanforderungen erfüllen.”
Wir empfehlen die Unterteilung in 2 Schritten:
Im ersten Schritt ist zu klären, ob die verantwortliche Stelle, bei der die Auskunfts-Anfrage eingegangen ist, überhaupt personenbezogene Daten der anfragenden Person (Betroffener) verarbeitet (hat).
1. Ist dies nicht der Fall, ist eine sogenannte „Negativ-Auskunft“ zu erteilen.
2. Steht fest, das personenbezogene Daten verarbeitet werden/wurden, erhält der/die Anfragende eine detaillierte Auskunft.
Diese Informationen zu folgenden Punkten sind mitzuteilen:
- Einzelnes personenbezogenes Datum
- Verarbeitungszweck(e)
- Kategorien personenbezogener Daten
- Empfänger der Daten
- Geplante Speicherdauer
- Hinweis auf sonstige Betroffenenrechte
- Beschwerdemöglichkeit bei der Aufsichtsbehörde
- Falls die Daten in ein unsicheres Drittland übertragen werden, muss ebenfalls über die getroffenen, geeigneten Garantien informiert werden (Art. 46 DSGVO).
Zudem sollten folgende Vorgaben beachtet werden:
- Wird ein Auskunftsersuchen mündlich (am Telefon) gestellt, muss, vor Beantwortung, die Identität des Betroffenen zweifelsfrei festgestellt werden (was sehr schwierig ist, daher lieber Schriftform!);
- Elektronische Daten sollten nur verschlüsselt übertragen werden;
- Rückschlüsse auf andere Personen sind unzulässig, diese sind zwingend unkenntlich zu machen (z.B. durch Schwärzung);
- Die Antwort muss in klarer und verständlicher Sprache erfolgen (Grundsatz der Transparenz);
- Die Auskunft muss intern dokumentiert werden (Rechenschaftspflicht, Art. 5 DSGVO).
Neben dem Auskunftsrecht haben betroffene Personen weitere Betroffenenrechte, die geltend gemacht werden können, wie das Recht auf Berichtigung ihrer Daten (Art. 16 DSGVO), das Recht auf Löschung Ihrer Daten (Art. 17 DSGVO). Darüber hinaus können sie eine Einschränkung der Verarbeitung ihrer Daten verlangen (Art. 18 DSGVO) oder der Verarbeitung ihrer Daten ganz widersprechen (Art. 21 DSGVO).
Wie kann die Praxis aussehen?
Um die Vorgaben der DSGVO samt Fristen einhalten zu können, sollten alle Mitarbeitenden nicht nur entsprechend geschult werden, sondern es sollten auch Zuständigkeiten sowie die Prozessabläufe innerhalb der verantwortlichen Stelle geregelt sein und „gelebt“ werden. Entsprechende Kommunikations- bzw. Meldewege sollten intern geregelt sein.
Verantwortliche, die zum ersten Mal mit einer solchen Anfrage konfrontiert werden, stellen sich häufig die Frage: Wo und wie fange ich an?
Eine große Hilfe in der praktischen Umsetzung des Datenschutzes kann hier das Datenschutzzeichen für „Auskunftsersuchen von Betroffenen“ sein, welches die wichtigsten Informationen für Mitarbeitende liefert.
Binden Sie auch Ihre / Ihren Datenschutzbeauftragten ein. Wir unterstützen Sie gern.