Auskunftsrecht gemäß Art. 15 DSGVO – Auskunftsersuchen bearbeiten: Fristen und Eingangsbestätigung

Auskunftsverlangen bearbeiten ist der zweite Teil unserer Beitragsreihe zum Thema Auskunftsrecht. Hier geht es zur Einführung.

Ein Auskunftsersuchen ist eingegangen und als solches erkannt worden – so weit, so gut. Doch was jetzt? Die Uhr tickt, die Fristen sind knapp bemessen, und in vielen Unternehmen beginnt an dieser Stelle eine Phase der Unsicherheit: Wer soll das Auskunftsverlangen bearbeiten? Wie schnell müssen wir reagieren? Was genau ist als Erstes zu tun?

In diesem zweiten Teil unserer Beitragsreihe zeigen wir, warum eine zügige Reaktion nicht nur rechtlich geboten ist, sondern auch strategisch klug. Wir erklären, welche Fristen nach der Datenschutz-Grundverordnung und dem Datenschutzgesetz der EKD gelten, warum die Eingangsbestätigung weit mehr als eine Höflichkeitsgeste ist und wie Rückfragen an die betroffene Person den gesamten weiteren Prozess erleichtern können.

Ein Auskunftsersuchen ist grundsätzlich ohne schuldhaftes Zögern zu beantworten – also unverzüglich, so schnell wie möglich. Die Datenschutz-Grundverordnung sieht hierfür eine Frist von einem Monat nach Eingang vor. Das klingt zunächst nach ausreichend Zeit, sind in der Praxis aber nur vier Wochen, die schnell vergehen.

Das Datenschutzgesetz der EKD kennt ebenfalls das Handeln ohne schuldhaftes Zögern, räumt aber eine Bearbeitungsfrist von bis zu drei Monaten ein. Doch auch hier wäre es ein großer Irrtum, sich zurückzulehnen und darauf zu vertrauen, dass die längere Frist automatisch mehr Gelassenheit bedeutet.

Versetzen Sie sich für einen Moment in die Lage der betroffenen Person. Vielleicht befindet sie sich gerade in einem Konflikt mit dem Unternehmen. Vielleicht möchte sie einfach nur wissen, was über sie gespeichert ist. In beiden Fällen hat sie ein berechtigtes Anliegen, und hört nun einen Monat lang nichts. Oder sogar ein ganzes Vierteljahr.

Das Schweigen eines Unternehmens wird selten als Sorgfalt interpretiert. Viel eher entsteht der Eindruck, die Anfrage werde ignoriert oder verschleppt. Das beschädigt Vertrauen, und im schlimmsten Fall führt es dazu, dass sich die betroffene Person an eine Aufsichtsbehörde wendet, noch bevor das Unternehmen überhaupt mit der inhaltlichen mit dem Auskunftsersuchen bearbeiten begonnen hat.

Deshalb ist es aus unserer Sicht unerlässlich, innerhalb der ersten Woche zu reagieren, nicht mit der fertigen Auskunft, aber mit einer klaren Eingangsbestätigung.

Die Eingangsbestätigung ist in der DSGVO nicht ausdrücklich vorgeschrieben. Trotzdem ist sie aus der Praxis nicht wegzudenken. Mit ihr signalisieren Sie der betroffenen Person: Wir haben Ihr Anliegen erhalten, wir kümmern uns, wor werden das Auskunftsverlangen bearbeiten und wir kommen auf Sie zurück.

Diese kurze Nachricht erfüllt gleich mehrere Funktionen. Sie schafft Vertrauen, weil die betroffene Person weiß, dass ihre Anfrage nicht im Nichts verschwunden ist. Sie setzt intern einen klaren Startzeitpunkt für den Bearbeitungsprozess, ab jetzt laufen die Fristen bewusst und dokumentiert. Und sie eröffnet die Möglichkeit, direkt Rückfragen an die betroffene Person zu stellen, die den gesamten weiteren Ablauf beim Auskunftsverlangen bearbeiten erheblich vereinfachen können.

Grundsätzlich erstreckt sich das Auskunftsrecht auf alle personenbezogenen Daten, die ein Unternehmen zu einer Person verarbeitet. Das umfasst auch Informationen darüber, an wen Daten weitergegeben wurden, aus welcher Quelle sie stammen und wie lange sie gespeichert werden. Bei langjährigen Vertragsverhältnissen oder Beschäftigungsverhältnissen kommt hier schnell eine erhebliche Menge an Datensätzen zusammen.

Doch nicht jede betroffene Person möchte tatsächlich einen vollständigen Datenauszug erhalten. Manchmal geht es um nähere Informationen zu einer bestimmten Verarbeitungstätigkeit, zu einem konkreten Vorgang oder zu einer bestimmten Situation, die sich im Unternehmen ereignet hat. Die Eingangsbestätigung bietet den idealen Moment, genau das herauszufinden.

Ein Beispiel: Sie bestätigen den Eingang des Auskunftsersuchens und fragen zugleich höflich nach, ob sich die Anfrage auf einen bestimmten Zeitraum, eine bestimmte Abteilung oder ein bestimmtes Vorkommnis bezieht. Diese Rückfrage ist freiwillig – und die betroffene Person entscheidet, ob sie darauf eingeht. Aber allein die Möglichkeit, das Ersuchen einzugrenzen, kann beiden Seiten erheblich Aufwand ersparen.

Selbstverständlich liegt die Entscheidung darüber, welche Daten herausgegeben werden, nicht beim Unternehmen. Wenn die betroffene Person auf eine vollumfängliche Auskunft besteht – oder auf die Rückfrage schlicht nicht antwortet – ist das Unternehmen verpflichtet, dem Ersuchen in vollem Umfang nachzukommen.

Umso wichtiger ist es, die Rückfrage frühzeitig zu stellen. Wer erst nach einem Monat feststellt, dass der Umfang des Auskunftsersuchens enorm ist, hat kaum noch Spielraum. Die Kommunikation mit der betroffenen Person sollte deshalb direkt zu Beginn stattfinden, nicht erst dann, wenn die Frist drängt und die Zeit knapp wird.

Wenn wir die erste Phase der Bearbeitung eines Auskunftsersuchens zusammenfassen, ergibt sich ein klarer Ablauf für die erste Woche nach Eingang. Die zuständige fachverantwortliche Stelle – das ist in der Regel nicht der Datenschutzbeauftragte selbst, sondern eine operativ verantwortliche Person oder Abteilung – nimmt das Ersuchen entgegen und prüft es.

Innerhalb weniger Tage wird die Eingangsbestätigung versendet, idealerweise verbunden mit einer höflichen Rückfrage, ob die betroffene Person ihr Ersuchen auf bestimmte Bereiche eingrenzen möchte. Parallel dazu beginnt die interne Vorbereitung: Welche Abteilungen und Fachbereiche müssen eingebunden werden? Welche Informationen sind zusammenzutragen? Denn ab jetzt läuft die Frist, und die kommenden Wochen sind mit dem eigentlichen Zusammenstellen und Sichten der Daten gut ausgefüllt.

Mit der Eingangsbestätigung und den ersten Rückfragen ist der Prozess gestartet. Doch die eigentliche Arbeit beginnt erst jetzt. In den kommenden Beiträgen gehen wir auf die nächsten Schritte ein:

Teil 1 beschäftigt sich damit, wie man ein Auskunftsersuchen erkennen und den Prozess starten kann.

Teil 3 widmet sich der Frage, welche Abteilungen und Fachbereiche eingebunden werden müssen, um die Informationen für ein Auskunftsersuchen zusammenzutragen – vom Personalbereich über die IT bis hin zum betrieblichen Gesundheitsmanagement.

Teil 4 zeigt, wie die gesammelten Informationen gesichtet, bewertet und geschwärzt werden und wie am Ende eine datenschutzkonforme Antwort entsteht.

Sie möchten sicherstellen, dass Ihre Organisation Auskunftsersuchen fristgerecht und rechtssicher bearbeitet? Sprechen Sie uns an – wir unterstützen Sie mit Prozessberatung, Schulungen und als externer Datenschutzbeauftragter.