DSGVO Auskunft richtig bearbeiten

Regelmäßig werden dem Verantwortlichen mit dem Auskunftsverlangen personenbezogene Daten über die anfragende Person mitgeteilt. Verwendet nun der Verantwortliche diese Informationen, um das Auskunftsverlangen zu beantworten, löst diese Verarbeitung wiederum die Informationspflichten des Art. 13 DSGVO aus. Der Antragssteller muss daher jedenfalls über den Zweck der Verarbeitung, deren Rechtsgrundlage und die Speicherdauer der Verarbeitung informiert werden. Die Informationen können zweckdienlich durch eine Eingangsbestätigung mitgeteilt werden. Sofern die Hinweise in allgemeinen umfassenden Datenschutzhinweisen enthalten sind, kann auf diese verwiesen werden.

Sie müssen die DSGVO-Auskunft unverzüglich erteilen. Länger als einen Monat darf die Auskunftserteilung nur dauern, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist (Krankheit oder Urlaub von Beschäftigten werden nicht als Ausnahmefall akzeptiert ). Die Frist kann dann um zwei Monate auf insgesamt maximal drei Monate verlängert werden. In diesem Fall muss die betroffene Person aber innerhalb der Monatsfrist über die Verlängerung und die Gründe für diese informiert werden. Die Frist läuft ab dem Zugang des Auskunftsantrags.

Am Anfang steht immer die Frage nach der eigenen Zuständigkeit. Wenn beispielsweise ein Dienstleister Daten im Auftrag verarbeitet, ist dieser in der Regel verpflichtet, den Auftraggeber über das Auskunftsersuchen zu benachrichtigen. Zur eigenständigen Auskunftserteilung ist ein Auftragsverarbeiter in aller Regel gar nicht berechtigt. Wenn ein Konzern nach außen einheitlich auftritt, muss der Auskunftsantrag bei derjenigen Gesellschaft gestellt werden, welche die Daten der anfragenden Person verarbeitet. Anders ist es aber bei einer Verarbeitung durch gemeinsam Verantwortliche. In diesem Fall kann die betroffene Person ihr Auskunftsverlangen gegenüber jedem Verantwortlichen geltend machen.

Die Auskunft über die Verarbeitung von personenbezogenen Daten darf nur gegenüber der tatsächlich betroffenen Person erfolgen.  Wenn im Einzelfall begründete Zweifel an der Identität der anfragenden Person bestehen, kann dieser zur Übermittlung weiterer Informationen aufgefordert werden, die eine eindeutige Bestätigung der Identität sicherstellen. Es sollten Informationen abgefragt werden, über die vernünftigerweise nur die betroffene Person verfügen kann (z.B. Kundennummern). Ausweiskopien können nur in Ausnahmefällen verlangt werden, wenn andere Mittel nicht zur Verfügung stehen.

Der Verantwortliche kann sich weigern, aufgrund eines Auskunftsantrags tätig zu werden, wenn dieser offenkundig unbegründet ist oder die Antragstellung– insbesondere im Fall von häufiger Wiederholung – als exzessiv zu bewerten ist. Verfolgt die anfragende Person mit der Auskunft missbräuchliche Zwecke, kann die Auskunft als offensichtlich unbegründet bewertet werden. Aber auch wenn der Verantwortliche einem Auskunftsantrag nicht nachkommt, muss die anfragende Person über die Nichtbeantwortung der Auskunft sowie die Gründe für die Ablehnung binnen Monatsfrist unterrichtet werden.

Die Auskunft beschränkt sich allein auf die personenbezogenen Daten der betroffenen Person. Das sind alle Informationen, die mit der anfragenden Person in Beziehung stehen. Diese Beziehung wird regelmäßig über eine Zusatzinformation zu einer Person (z.B. Kennung oder besonderes Merkmal) hergestellt. Grundlegend erfolgt diese Verknüpfung über den Namen. Aber auch die IP-Adresse oder eine E-Mail-Adresse stellen solche Kennungen dar. Sollten Sie Informationen pseudonymisiert verarbeiten (bspw. durch Vergabe einer individuellen ID), müssen Sie grundsätzlich auch über diese Information Auskunft erteilen. Der Auskunftsanspruch umfasst auch diejenigen Informationen, die in analogen oder elektronischen Akten zu der betroffenen Person gespeichert sind. Selbst Kommentare zu Angaben der betroffenen Person, beispielsweise im Rahmen einer Prüfungsbewertung, können personenbezogene Daten darstellen.

Ein Muster für eine Auskunft finden Sie weiter unten in diesem Leitfaden.

Wenn Sie zur antragstellenden Person noch nie Daten gespeichert, Daten bereits gelöscht oder Daten unumkehrbar anonymisiert haben, verarbeiten Sie keine personenbezogenen Daten dieser Person. Sie können hierüber folglich auch keine Auskunft erteilen. Allerdings müssen Sie ihr im Wege einer sog. Negativauskunft mitteilen, dass Sie keine Daten zu ihr verarbeiten. Beachten Sie aber, dass durch die Anfrage nunmehr personenbezogene Daten der antragstellenden Person bei Ihnen vorliegen, die zum Zweck des Nachweises der Anfragebearbeitung auch gespeichert werden müssen. Dies löst wiederum eine Informationspflicht aus (s. Punkt 1)

Grundsätzlich steht jedem Betroffenen das Auskunftsrecht zu. Es gibt jedoch gesetzliche Ausnahmen. Von praktischer Relevanz ist insbesondere die Einschränkung des § 34 Abs. 1 Nr. 2 BDSG. Dieser nimmt Daten von der Auskunftspflicht aus, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen und die Beauskunftung unverhältnismäßig aufwändig wäre. Diese Ausnahme erstreckt sich weiter auf Daten, die bloß zu Zwecken der Datensicherung (z.B. Backup-Dateien oder Log-Files) gespeichert sind.

Zusätzlich zu der Aufstellung der personenbezogenen Daten, müssen auch die in Art. 15 DSGVO aufgezählten allgemeinen Informationen mitgeteilt werden. Hinsichtlich der Betroffenenrechte können diese in der Regel der datenschutzrechtlichen Informationsübersicht (bei Websites: die Datenschutzerklärung ) entnommen werden.

Die übrigen Informationen (Zweck und Rechtsgrundlage) bezüglich der Verarbeitung können dem Verarbeitungsverzeichnis nach Art. 30 DSGVO entnommen werden. Wie Sie ein Verarbeitungsverzeichnis erstellen, erfahren Sie in unserem Leitfaden zum Verarbeitungsverzeichnis.

Im Hinblick auf die Nennung der Empfänger ist das Urteil des EuGH (Rs. C-154/21) zu beachten, welches klargestellt hat, dass – sofern bekannt – stets die konkreten Empfänger benannt werden müssen. Der Rückgriff auf die Nennung von Empfängerkategorien ist nur in bestimmten Ausnahmefällen möglich, z.B. wenn die antragstellende Person konkret die Nennung von Empfängerkategorien verlangt hat oder zum Zeitpunkt der Auskunftserteilung noch keine konkreten Empfänger bekannt sind.

Die DSGVO enthält kein Formular zur Auskunftserteilung. Jedes Unternehmen kann das Auskunftsschreiben selbst gestalten. Zu beachten ist, dass die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgt. Die Auskunft muss also für einen Laien ohne Weiteres nachvollziehbar sein. Die Auskunft kann schriftlich oder elektronisch erteilt werden. Wenn der Antrag elektronisch gestellt wurde (z.B. im internen Bereich eines Online-Shops), muss in der Regel auch die Auskunftserteilung elektronisch erfolgen – außer die anfragende Person verlangt die Zusendung per Post. Wenn die anfragende Person die Auskunft mündlich verlangt, muss diese mündlich erteilt werden – in diesem Fall muss aber sichergestellt werden, dass der Kontakt tatsächlich mit der Person stattfindet, über deren Daten die Auskunft erteilt wird.