DSGVO: Wie bearbeite ich eine Anfrage auf Auskunftserteilung von personenbezogenen Daten?

Der nachfolgende Artikel befasst sich mit der Frage, wie mit einem sog. Auskunftsersuchen hinsichtlich personenbezogener Daten nach Art. 15 DSGVO (Datenschutzgrundverordnung) umzugehen ist. Insbesondere wird für Sie dargestellt, welche Kriterien bei der Beantwortung eines Auskunftsersuchens zu beachten sind.

Seit Inkrafttreten der DSGVO im Jahre 2018 hat sich viel positives hinsichtlich des Datenschutzbewusstseins verändert. Aufgrund der Schwierigkeit ihrer Umsetzung steht die DSGVO allerdings auch noch fast 2 Jahre später unter starker Kritik. 

Bemängelt wird zumeist, dass die DSGVO zu viele Spielräume offenlässt und keine klaren Vorgaben, z. B. zum Umgang mit Auskunftsersuchen oder Löschanfragen, beinhaltet. Die konkrete technische Umsetzung einer Auskunftserteilung oder einer Löschanfrage stellt sich hierbei als logistische Herausforderung dar.

Was bedeutet „Auskunftsrecht“?

Seit 2018 müssen Unternehmer, Freiberufler und Selbstständige viel Neues bei einem Auskunftsersuchen beachten. In Art. 15 DSGVO wird das sog. „Auskunftsrecht der betroffenen Person“ normiert. Durch Art. 15 DSGVO wird der Auskunftsanspruch von betroffenen Personen gestärkt, die gegenüber dem Verantwortlichen geltend gemacht werden können. 

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf Informationen wie

• die Verarbeitungszwecke;
• die Kategorien personenbezogener Daten, die verarbeitet werden;
• etc. (s. Art. 15 Abs. 2 DSGVO).

Wer hat einen Anspruch auf Auskunftserteilung?

Grundsätzlich hat jeder einen Anspruch auf Auskunftserteilung von personenbezogenen Daten (Name, Adresse etc.). Die erste Voraussetzung dafür ist, dass überhaupt Daten der vermeintlich betroffenen Person innerhalb Ihres Systems verarbeitet worden sind. 

Sollten keine Daten verarbeitet worden sein oder sollte der Antragsteller gar nicht erst im System identifizierbar sein, ist dies dem Antragssteller ebenfalls per Negativauskunft mitzuteilen.

In welcher Form hat die Auskunftserteilung zu erfolgen?

Leider sieht die DSGVO kein gesetzliches Musterformular für die Erteilung von Auskünften vor. In Art. 12 Abs. 1 S. 2, 3 DSGVO wird normiert, dass Auskünfte den betroffenen Personen sowohl in schriftlicher als auch in elektronischer und nach Wunsch auch in mündlicher Form erteilt werden können. 

Sollte der Antragsteller nicht konkret angeben, in welcher Form Auskunft erteilt werden soll, so sollte die Auskunftserteilung auch in Form des gestellten Antrages, z. B. per E-Mail, erfolgen.

Wie sollten die Daten der Auskunftsanfrage wiederum verarbeitet werden?

Hinsichtlich der Datenverarbeitung der Auskunftsanfrage ist einiges zu beachten. Problematisch ist hierbei, dass die Auskunftsanfragen wiederum personenbezogenen Daten enthalten, die erneut im System gespeichert werden. Und genau diese Daten unterliegen dann auch wieder den Vorgaben der DSGVO. 

Daher muss in Ihrem Unternehmen ein System verankert sein, das diese Daten erkennt und nur dem Zweck der Auskunftserteilung zuordnet und es muss verhindern die Daten über den Zweck hinausgehend zu verarbeiten.

Einhaltung der Frist: Was bedeutet „unverzüglich“?

Unverzüglich bedeutet „ohne schuldhaftes Zögern“. Spätestens sollte die Auskunftserteilung aber nach Art 12. Abs. 3 DSGVO innerhalb eines Monats erfolgt sein. Die Auskunftserteilung sollte dem Betroffenen auch aufgrund der umfassenden Mitteilungspflicht gem. Art. 19 DSGVO innerhalb eines Monats mitgeteilt werden. 

Wie die umfassende Mitteilungspflicht letztlich umzusetzen ist, ist ebenfalls problematisch, da hier eine erneute Datenspeicherung, z. B. durch Mitteilung per E-Mail, auf der Hand liegt.

Zum richtigen Konzept mithilfe unseres Beratungsansatzes

Unsere Kanzlei Hämmerling von Leitner-Scharfenberg mit Sitz in Berlin und Hamburg wird bundesweit im Bereich des Datenschutzrechts tätig. 

Herr Hämmerling ist als Fachanwalt und für IT-Recht, als geprüfter Datenschutzbeauftragter und Datenschutzauditor mit sämtlichen rechtlichen Fragestellungen der DSGVO vertraut.

Sie fühlen sich angesprochen? Dann rufen Sie uns gerne für eine kostenlose Ersteinschätzung an oder schreiben Sie uns eine E-Mail unter Schilderung Ihres Anliegens und unter Angabe einer Rückrufnummer.