Auskunftsrecht gem. Art. 15 DS-GVO
Das Auskunftsrecht nach Art. 15 DS-GVO gilt für jedermann und ist an keinerlei Voraussetzungen wie berechtigtes Interesse o.ä. geknüpft. Daher kann jedes Unternehmen eine derartige Anfrage jederzeit in der Post vorfinden. Viele Unternehmen haben auch schon ihre Erfahrungen hiermit gemacht. Doch was ist zu beachten, wenn ein Betroffener sein Auskunftsrecht gem. Art. 15 DS-GVO geltend macht?
Zuerst einmal sollte man bedenken, dass Personen, welche eine derartige Anfrage stellen, sich in den meisten Fällen schon mit dem Thema Datenschutz beschäftigt haben und sich daher mit der Materie auskennen. Gerade hier wäre es gefährlich eine fehlerhafte Auskunft zu erteilen, da ein solcher Fall ziemlich schnell bei der Aufsichtsbehörde landen kann und somit zusätzliche Fragen und im schlimmsten Fall ein Bußgeld nach sich zieht.
Was ist also zu beachten? In der Anfrage des Betroffenen muss nicht ausdrücklich auf Art. 15 DS-GVO Bezug genommen werden. Soweit aus der Anfrage ersichtlich ist, dass eine Auskunft über personenbezogene Daten gewünscht wird, ist diese nach den Vorgaben gem. Art. 15 DS-GVO zu erteilen. Die Frist zur Erteilung der Auskunft beträgt gem. Art. 12 Abs. 3 DS-GVO einen Monat.
Hierbei ist darauf zu achten, dass es sich beim Auskunftsanspruch um einen persönlichen Anspruch handelt. Es kann also kein Dritter (oder eine Firma für ihre Beschäftigten) einen derartigen Anspruch stellen. Dies setzt voraus, dass der Anspruchsteller auch eindeutig identifiziert werden kann. Dies kann z.B. erfolgen, indem bei schriftlichen Anfragen die Daten mit den evtl. vorhandenen Daten verglichen werden.
Der Auskunftsanspruch gem. Art. 15 DS-GVO kann als „zweistufiger“ Anspruch gesehen werden. Zum einen die Auskunft ob überhaupt personenbezogene Daten des jeweiligen Betroffenen vorhanden sind und falls dies der Fall ist, die Auskunft welche Daten vorhanden sind.
Sollten keine personenbezogenen Daten zur betroffenen Person vorhanden sein, sollte man darauf achten, dass man nicht mitteilt „wir haben keine Daten“. Denn das Problem ist, dass durch die Anfrage ja jetzt Daten vorliegen. Eine sinnvolle Antwort könnte hier lauten: „Außer den Daten, welche uns durch Ihre Anfrage jetzt vorliegen, haben wir keine personenbezogenen Daten von Ihnen gespeichert.“
Sollten jedoch große Datenmengen über die betroffene Person vorhanden sein, kann es durchaus zulässig sein, dass der Betroffene gebeten wird, die von ihm gewünschten Daten näher einzugrenzen.
Inhalt der Auskunft
Folgende Daten sind von dem Auskunftsanspruch gem. Art. 15 Abs. 1 DS-GVO erfasst:
- Die gespeicherten personenbezogenen Daten
- die Verarbeitungszwecke
- die Kategorien personenbezogener Daten, die verarbeitet werden (soweit nicht offensichtlich)
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Weiterhin hat der Betroffene gem. Art. 15 Abs. 2 DS-GVO das Recht darüber unterrichtet zu werden, inwieweit seine personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden und die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung.
Wie muss die Auskunft erfolgen?
Der Betroffene hat gem. Art. 15 Abs. 3 DS-GVO das Recht auf eine Kopie der jeweiligen Daten. Soweit der Antrag elektronisch gestellt wurde, sind die Daten in einem gängigen elektronischen Format zur Verfügung zu stellen. Die Informationen sind gem. Art. 12 Abs. 5 DS-GVO kostenlos zur Verfügung zu stellen. Sollte der Betroffene mehr als eine Kopie verlangen, können diese gem. Art. 15 Abs. 3 Satz 2 DS-GVO jedoch in Rechnung gestellt werden.
Bei der Anfertigung der Kopie ist darauf zu achten, dass die Rechte Dritter nicht beeinträchtigt werden (Art. 15 Abs. 4 DS-GVO). Sollten hier also personenbezogene Daten Dritter enthalten sein, sind diese entsprechend unkenntlich zu machen.
Kann eine Auskunft verweigert werden?
Eine Verweigerung der Auskunft ist zwar möglich, jedoch an ganz wenige Ausnahmetatbestände gebunden. Diese Ausnahmetatbestände sind in Art. 12 Abs. 5 DS-GVO genannt. Hier kommen offensichtlich unbegründete oder sich häufig wiederholende Anträge auf Auskunft in Betracht. Weitere Kriterien für eine Verweigerung der Auskunft sind in den §§ 33 und 34 BDSG aufgeführt. Die Beweislast für die Verweigerung der Auskunft trifft hier den für die Datenverarbeitung verantwortlichen (Unternehmen) und muss entsprechend dokumentiert werden.
Fazit
Ein Auskunftsersuchen gem. Art. 15 DS-GVO kann jederzeit jedes Unternehmen treffen. Die Frist zur Beantwortung einer derartigen Anfrage beträgt nur einen Monat. Daher sollte sich jedes Unternehmen im Klaren sein, wo welche Daten gespeichert sind und wie diese für eine Auskunft verfügbar gemacht werden können. Also gilt auch hier, dass ein Prozess für die Beantwortung von Anfragen im Unternehmen definiert werden sollte. Wenn dies alles klar intern geregelt ist, sollte eine derartige Anfrage kein Problem für ein Unternahmen darstellen.