Die DSGVO stärkt die Betroffenenrechte – dazu gehört auch das Recht auf Auskunft über die personenbezogenen Daten. Unternehmen sind verpflichtet, auf Auskunftsanfragen zu reagieren. Wenn Sie diese zehn Prüfungsschritte beachten, lassen sich die meisten Anfragen bearbeiten. Einer erfolgreichen Auskunft steht dann nichts mehr im Wege.
Erster Schritt: Bin ich zur Auskunft verpflichtet?
Am Anfang steht immer die Frage: Bin ich zuständig? Das ist kein Versuch, sich lästige Arbeit vom Hals zu halten, sondern elementar für korrekte Auskunftserteilungen. Wenn Sie beispielsweise als IT-Dienstleister Daten im Auftrag verarbeiten, sind Sie in der Regel verpflichtet, ihren Auftraggeber über das Auskunftsersuchen zu benachrichtigen (schauen Sie einmal in ihren Verträgen nach!). Wenn Sie als Konzern nach außen einheitlich auftreten, aber aus mehreren Gesellschaften bestehen, muss die Auskunft bei derjenigen Gesellschaft gestellt werden, welche die Daten des Antragstellers verarbeitet. Die Konzernstrukturen sind den Antragstellern aber häufig nicht bekannt.
Zweiter Schritt: Ist der Antragsteller tatsächlich derjenige, dessen Daten verarbeitet werden?
Viele Anträge erreichen Unternehmen per E-Mail. Um sicherzustellen, dass der Antragsteller tatsächlich die Person ist, die er vorgibt zu sein, können Sie bei begründeten Zweifeln um weitere Informationen bitten, die eine eindeutige Identifizierung sicherstellen. Es kann beispielsweise verlangt werden, dass die Postadresse mitgeteilt wird. Ausweiskopien können nur in besonderen Fällen verlangt werden.
Dritter Schritt: Wurde dem Antragsteller bereits häufig die gleiche Auskunft erteilt?
Sie müssen keine Auskunft erteilen, wenn jemand exzessive Anträge stellt. Beachten Sie aber, dass Antragsteller das Recht auf Auskunft mehrmals geltend machen können. Feste Zahlen gibt es hier nicht, allerdings darf die Auskunft nur bei einem missbräuchlichen Vorgehen verweigert werden. Das wird die Ausnahme sein.
Vierter Schritt: Verarbeite ich Daten des Antragstellers?
Wenn Sie zum Antragsteller noch nie Daten gespeichert, Daten bereits gelöscht oder Daten unumkehrbar anonymisiert haben, verarbeiten Sie keine Daten des Antragstellers. Sie können hierüber folglich auch keine Auskunft erteilen. Allerdings müssen Sie ihm mitteilen, dass Sie keine Daten zu ihm verarbeiten (sog. Negativauskunft).
Fünfter Schritt: Ist das Auskunftsrecht ausnahmsweise ausgeschlossen?
Grundsätzlich steht jedem Betroffenen das Auskunftsrecht zu. In den in §§ 27 Abs. 2, 28 Abs. 2 und 29 Abs. 1 Satz 2 und 34 BDSG-neugeregelten Fällen kann dieses Recht jedoch ausgeschlossen sein. Die Voraussetzungen dieser Regelungen sind komplex. Sollten Sie den Eindruck haben, eine der Normen könnte einschlägig sein, sollten Sie jeweils eine juristische Einzelfallprüfung durchführen.
Sechster Schritt: Über welche Daten muss ich Auskunft erteilen?
Die Auskunft beschränkt sich auf personenbezogene Daten. Das sind Informationen, anhand derer eine natürliche Person identifizierbar ist. Ganz offensichtlich ist dies beim Namen der Fall, auch zählen die E-Mail-Adresse oder die IP-Adresse dazu. Prüfen Sie bei allen gespeicherten Informationen, ob diese einen Personenbezug haben. Sollten Sie Informationen pseudonymisiert verarbeiten (bspw. durch Vergabe einer individuellen ID), müssen Sie auch über diese Auskunft erteilen.
Siebter Schritt: Welche Informationen gehören in ein Auskunftsschreiben?
Sie müssen in Ihrem Auskunftsschreiben alle Daten aufführen, die Sie zum Betroffenen gespeichert haben, d.h. alle Informationen, die Sie im Rahmen des sechsten Schritts als personenbezogene Daten des Antragstellers identifiziert haben. Zusätzlich müssen die in Art. 15 DSGVO aufgezählten Metainformationen mitgeteilt werden.Diese können Sie in der Regel Ihrer datenschutzrechtlichen Informationsübersicht (bei Websites: die Datenschutzerklärung ) entnehmen. Es reicht aber nicht, lediglich auf die Datenschutzerklärung zu verweisen.
Achter Schritt: Wieviel Zeit bleibt für die Beantwortung?
Sie müssen die Auskunft unverzüglich erteilen. Länger als einen Monat darf die Auskunftserteilung nur in besonderen Fällen dauern. Krankheit oder Urlaub von Mitarbeitern werden in der Regel nicht als Ausnahmefall akzeptiert werden. Die Frist läuft ab dem Zugang des Auskunftsantrags.
Neunter Schritt: Wie muss ich die Auskunft erteilen?
Die DSGVO enthält kein Formular zur Auskunftserteilung. Jedes Unternehmen kann das Auskunftsschreiben selbst gestalten. Sie müssen aber darauf achten, dass die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgt. Die Auskunft muss also für einen Laien ohne Weiteres nachvollziehbar sein.
Sie können die Auskunft schriftlich oder elektronisch erteilen. Wenn der Antrag elektronisch gestellt wurde (z.B. im internen Bereich eines Online-Shops), muss in der Regel auch die Auskunftserteilung elektronisch erfolgen – außer der Antragsteller verlangt die Zusendung per Post. Wenn der Antragsteller die Auskunft mündlich verlangt, muss diese mündlich erteilt werden – dann müssen Sie aber sicherstellen, dass Sie tatsächlich mit der Person sprechen, über deren Daten Sie Auskunft geben.
Zehnter Schritt: Der Antragsteller verlangt eine „Datenkopie“ – was tun?
Eine „Datenkopie“ ist nicht mit der „normalen“ Auskunftsanfrage zu verwechseln. Verlangt der Antragsteller eine „Datenkopie“ müssen die Daten so herausgegeben werden, wie Sie bei Ihnen vorliegen. Da eine solche Datenkopie in der Regel Informationen enthält, die sich nicht auf den Antragsteller beziehen, dürfen diese unkenntlich gemacht werden (z.B. durch Schwärzen der entsprechenden Passagen). Ferner dürfen Informationen zu anderen Personen geschwärzt werden, wenn ansonsten deren Rechte und Freiheiten beeinträchtigt würden.
Die erste Datenkopie müssen Sie unentgeltlich zur Verfügung stellen. Für jede weitere Kopie können Sie ein angemessenes Entgelt verlangen. Hat sich der Datenbestand allerdings signifikant verändert, müssen Sie in der Regel unentgeltlich eine neue Kopie zur Verfügung stellen. Als Format für die elektronische Übermittlung bietet sich ein pdf-Dokument an. Bei der Übermittlung sollten Sie darauf achten, dass angemessene technische Sicherheitsmaßnahmen eingehalten werden. Dazu kann ein Fernzugang zu einem sicheren System bereitgestellt werden, welcher dem Antragsteller direkten Zugang zu seinen personenbezogenen Daten ermöglicht.
Update September 2018: Wir haben zu dem Thema eine aktualisierte Übersichtsseite mit Praxisbeispielen erstellt.
Dr. Malte Kröger