Der Auskunftsanspruch nach der DSGVO – Ein kleiner Leitfaden


Bild: © skylarvision/pixabay.com

Für Unternehmen und Unternehmer: Wissen Sie was zu tun ist?

Die DSGVO gibt „der betroffenen Person“, also demjenigen, dessen personenbezogene Daten Ihr Unternehmen verarbeitet einen umfassenden Auskunftsanspruch gegen den Verantwortlichen, also Ihr Unternehmen.

Der Auskunftsanspruch erfreut sich bei Kunden, abgelehnten Bewerbern, ehemaligen (und aktuellen) Mitarbeitern und vielen anderen zunehmender Beliebtheit. Trifft die Auskunftsanfrage ein Unternehmen unvorbereitet, wird die Beantwortung erhebliche Ressourcen binden. In diesem Falle wird es unter Umständen viel Zeit, Geld und Nerven kosten, die relevanten Unterlagen, etwaige Kommunikation etc. auf die personenbezogenen Daten des Anfragenden zu sichten und entsprechende Auskunft zu erteilen.

Gut ein Jahr nach In-Kraft-Treten der DSGVO sollte eigentlich jedes Unternehmen einen Ablauf- und Handlungsplan haben, wie es mit einem Auskunftsanspruch umgeht. Wie die Praxis zeigt, ist dies jedoch häufig nicht der Fall.

Im Ergebnis werden Sie an einem auf Ihr Unternehmen passenden Ablaufplan nicht vorbeikommen, wenn die Auskunft effektiv und datenschutzrechtskonform erteilt werden soll. Wie dieser Plan im Detail aussieht, richtet sich nach Größe und Organisation Ihres Unternehmens. Eine „one-fits-all-Lösung“ gibt es nicht. Ziel dieses Beitrags ist es, Ihnen die wesentlichen objektiven Fixpunkte im Ablauf und den Inhalt der Auskunft vorzustellen.

Die Bearbeitung eines Auskunftsersuchens durchläuft (mindestens) die folgenden Schritte:

  1. Eingang eines Auskunftsbegehrens im Unternehmen

Der Antrag auf Auskunft unterliegt keinem Formzwang. Dementsprechend kann er Ihr Unternehmen auf den unterschiedlichsten Kommunikationswegen erreichen (E-Mail, Post, aber z.B. auch über Social-Media, wenn ihr Unternehmen hier beispielsweise bei Facebook einen Account hat).

Der Antrag bedarf keiner Begrünung und muss grundsätzlich innerhalb eines Monats nach Eingang beantwortet sein. Ausnahmen sind nur bei einer Vielzahl von Anträgen oder komplexen Anträgen zulässig. Dann kann die Frist um zwei Monate verlängert werden.

Maßnahmen für die Umsetzung im Unternehmen:

  • Mitarbeiter für Möglichkeit des Eingangs von Auskunftsansprüchen sensibilisieren.
  • Interne Zuständigkeit für Bearbeitung von Auskunftsansprüchen festlegen und an alle Mitarbeiter kommunizieren.
  • Ggfs. gesonderte E-Mail-Adresse für die interne Meldung von Auskunftsansprüchen festlegen und wieder kommunizieren.
  • Etwaig Eingangs- und Prüfbestätigung an Anfragenden übersenden.

Ist der Eingang der Auskunft registriert und an den zuständigen Mitarbeiter weitergeleitet, geht es weiter:

  • Werden personenbezogene Daten des Anfragenden verarbeitet und eine Identitätsprüfung

Sobald ein Auskunftsersuchen vorliegt sind für die Bearbeitung zwei Fragen zu beantworten:

  • Werden personenbezogene Daten des Anfragenden verarbeitet? (Hinweis: auch wenn ich in meinem Text die männliche Form verwende, beziehe ich mich auf alle Geschlechter.)

Sie prüfen, ob personenbezogene Daten des Anfragenden in Ihrem Unternehmen verarbeitet werden. Ist dies nicht der Fall, können Sie inhaltlich keine Auskunft erteilen. Der Anfragende erhält die negative Auskunft, dass Sie keine personenbezogenen Daten von ihm verarbeiten.

Haben Sie einen „Treffer“ ist die zweite Frage zu beantworten:

  • Ist der Anfragende auch tatsächlich der Inhaber des Auskunftsrechts? Liegt also eine Personenidentität vor.

Um einem Missbrauch vorzubeugen und sicherzustellen, dass nur der Berechtigte – die von der Datenverarbeitung betroffene Person – Informationen erhält, müssen Sie prüfen, ob eine Personenidentität vorliegt.

Hat der Anfragende bei seinem Antrag nicht die notwendigen Informationen mitgeliefert, die es Ihnen ermöglichen, ihn zu identifizieren, können Sie weitere Informationen anfordern.

Beispiele: Bei Auskunftsverlangen per Telefon sollte die Mitteilung legitimierender Informationen (z.B. Geburtsdatum) verlangt und ein Rückruf durchgeführt werden. Bei Auskunftsverlangen per E-Mail oder Webformular sollten wegen der hohen Missbrauchsgefahr stets zumutbare Nachforschungen zur Identifizierung des Betroffenen angestellt werden (z.B. Identitätsbestätigung per Fax, telefonische Rückfragen zur Identitätsprüfung).

Die Daten, die Sie zur Identifizierung erhalten haben, dürfen nur hierfür genutzt werden und müssen nach erfolgter Identifizierung gelöscht werden.

Dokumentieren Sie den Zeitpunkt und das Verfahren der Identifizierung. Hierdurch können Sie im Falle der Prüfung durch eine Aufsichtsbehörde, ihr datenschutzkonformes Verhalten nachweisen. Diese Dokumentation fließt in die nach der Auskunftserteilung zu erstellende Dokumentation des gesamten Vorgangs zum konkreten Auskunftsersuchen ein.

Maßnahmen für die Umsetzung im Unternehmen:

  • Prüfung, ob personenbezogene Daten des Anfragenden verarbeitet werden (falls nein, erfolgt negativ Auskunft)
  • Identifikation des Anfragenden – für den Problemfall: festlegen spezifischer Anforderungen für die Identifikation, abhängig vom gewählten Kommunikationsmedium der Anfrage (E-Mail, Anruf etc.)
  • Dokumentation des Prozesses
  • Löschen der zur Identifikation verarbeiteten personenbezogenen Daten

Ist die Identität des Anfragenden bestätigt und verarbeitet Ihr Unternehmen seine personenbezogenen Daten geht es weiter mit

  • der Frage, wann keine Auskunft erteilt werden muss,
  • dem Inhalt des Auskunftsrechts
  • und der Form der Auskunftserteilung.
  • Wann keine Auskunft erteilt werden muss

Im Falle von offenkundig unbegründeten und exzessiven Anträgen muss keine Auskunft erteilt werden. Den Nachweis, dass diese Merkmale vorliegen obliegt dem Unternehmen. Das Bundesdatenschutzgesetz sieht ebenfalls einige Fälle vor, in denen keine Auskunft erteilt werden muss (§§ 27 Abs. 2, 28 Abs.2, 29 Abs. 1 und 34 BDSG). Es muss beispielsweise keine Auskunft erteilt werden, wenn personenbezogene Daten nur deshalb „noch“ gespeichert werden, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften (z.B. § 257 HGB und § AO § 147 AO) nicht gelöscht werden dürfen.

Lehnen Sie die Auskunftserteilung ab, dokumentieren Sie die Gründe für die Verweigerung. Gegenüber dem Anfragenden ist die Ablehnung zu begründen.

Sind Sie sich nicht sicher, ob die Schwelle zum „Exzess“ überschritten ist, ein Antrag etwaig nicht offenkundig unbegründet ist oder einer der BDSG-Tatbestände vorliegt, empfiehlt sich entsprechend Rechtsrat einzuholen.

  • Was muss die Auskunft enthalten?

Die Auskunft muss entsprechend Art 15 Abs. 1 und 2 DSGVO die konkret verarbeiteten personenbezogenen Daten aufführen und

  • die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern
  • die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder die Kriterien für die Festlegung der Speicherdauer
  • eine Information über das Bestehen eines Rechts auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling; liegt ein Profiling vor: aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person;
  • Bei Weitergabe der personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, Information, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung.

Die zu erteilende Auskunft kann also abhängig vom Einzelfall sehr umfangreich ausfallen.

Um den Arbeitsaufwand im laufenden Betrieb für die Beantwortung einer Auskunftsanfrage so gering wie möglich zu halten, sollten Sie zur Vorbereitung eine Struktur schaffen, die es Ihnen ermöglicht, die zur Beantwortung der Anfrage notwendigen Informationen schnellstmöglich zu sammeln.

Diese Struktur umfasst neben den Regelungen zum Verfahren auch den Inhalt der Auskunft an sich. Hierbei gilt, dass die Auskunft an den Anfragenden beginnt mit

  1. der Mitteilung der verarbeiteten personenbezogenen Daten

Der Betroffene hat ein Recht auf Auskunft über die personenbezogenen Daten, die Ihr Unternehmen konkret von dem Betroffenen verarbeitet. In der Auskunft bietet sich hier eine entsprechende Aufzählung an.

Beispielsweise:

Auskunft über Ihre von unserem Unternehmen verarbeiteten personenbezogenen Daten nach Art 15 Abs. 1 Satz 1 Halbsatz 2 DSGVO:

Ihr Vor- und Nachname – Max Mustermann

Ihre E-Mail-Adresse – mm@musteranbieter.de

usw.

Dieser Teil der Auskunft sollte in einem entsprechenden Mustertext vorbereitet werden, so dass bei einer Anfrage nur noch die individuellen Daten des Anfragenden einzufügen sind.

  • Vorbereitung für die Informationen über Verarbeitungszwecke, Empfänger etc. (Art 15 Absatz 1 Buchstabe a) bis h) und Absatz 2 DSGVO)

Wie oben dargestellt kann die Auskunft – neben den konkret personenbezogenen Daten – neun weitere Punkte umfassen.

Diese sollten Sie z.B. in einer Excel-Tabelle übersichtlich in einer Muster-Auflistung zusammenfassen.

Hier können Sie abstrakt vom Einzelfall die einzelnen gesetzlichen Tatbestände [Buchstaben a.) bis h.) sowie Abs. 2 des Art 15 DSGVO] in jeweils einer eigenen Spalte anordnen. Vorauswahlen für Empfänger, Kategorien von Daten, Speicherdauer etc. (Dropdown-Auswahlliste) erleichtern das befüllen im Einzelfall.

Eine Mustertabelle könnte so aussehen:

[Anmerkung: vorstehende Tabelle ist nur ein Beispiel und der Bildausschnitt bildet nicht die vollständige Tabelle ab.]

Sofern Sie in Ihrem Unternehmen bereits ein Verfahrensverzeichnis (Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO) führen, wird dies die Arbeit erheblich erleichtern. Die Inhalte des Verfahrensverzeichnis und die vom Auskunftsrecht umfassten Informationen überschneiden sich inhaltlich. Das Verfahrensverzeichnis beinhaltet unter anderem die Zwecke der Verarbeitung, die Kategorien von betroffenen Personen und Kategorien personenbezogener Daten, Empfänger von personenbezogenen Daten, Löschfristen und die Datenweitergabe an ein Drittland.

  • Die notwendigen Informationen zusammentragen

Wie dies im Einzelfall geschieht, hängt von der Organisation und Größe Ihres Unternehmens ab. Wichtig ist, dass die jeweils aktuellsten Informationen zusammengetragen werden. An diesem Prozess sind nur die Mitarbeiter zu beteiligen, die zwingend involviert werden müssen. Auch sollten die zusammengetragenen Informationen (vor unberechtigtem Zugriff) gesichert werden (z.B. durch Anlegen eines Passwort gesicherten Ordners). Es gilt der Grundsatz der Vertraulichkeit und Integrität der Daten.

Maßnahmen für Ihr Unternehmen:

  • Anlegen bzw. Führen eines Verarbeitungsverzeichnisses;
  • Erstellen einer Muster-Übersicht (z.B. Excel-Tabelle) mit den gesetzlichen Tatbeständen des Art. 15 Abs. 1 Satz 1 Buchstaben a) bis h) und Absatz 2 DSGVO;
  • Prozess der Informationsbeschaffung auf einer „need to know basis“

Im nächsten Schritt folgt das

  • „Auskunftsschreiben“ an den Anfragenden

Die Informationen in der Auskunft zu Verarbeitungszwecken, Empfängern etc. sind dem Anfragenden entsprechend Art 12 Abs. 1 DSGVO „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“

Hinsichtlich der Form ist zu beachten, dass bei einer elektronischen Anfrage, die Informationen in einem gängigen elektronischen Format (z.B. als pdf) zur Verfügung zu stellen sind. Es sei denn, der Betroffene möchte die Auskunft in einer anderen Form erhalten.

Theoretisch ist auch eine mündliche Auskunft möglich. Hiervon sollten Sie allein aufgrund etwaiger Nachweisschwierigkeiten absehen.

Die Auskunftserteilung mittels einer unverschlüsselten E-Mail sollte nur erfolgen, wenn der Betroffene hierauf besteht und Sie ihn nachweisbar auf die Risiken dieser Übertragung hingewiesen haben. Bei schriftlichen Auskünften ist in aller Regel ein verschlossener Brief angemessen. Enthält die Auskunft besonders sensible Daten, kann auch eine besondere Form der Zustellung, z. B. ein Übergabe-Einschreiben, angemessen sein.

Die Auskunft ist grundsätzlich kostenlos zu erteilen. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen können Sie entweder ein angemessenes Entgelt verlangen oder (wie oben beschrieben) sich weigern, aufgrund des Antrags tätig zu werden.

Um dem Betroffenen die Geltendmachung eines Auskunftsanspruchs zu erleichtern kann z. B. auf der Webseite ein Formular zur Beantragung einer Auskunft mit entsprechenden Information über die Rechte und allgemeinen Angaben zu den eingesetzten Verarbeitungsverfahren angeboten werden. Auf diesem Wege kann es gelingen, Auskunftsersuchen zu bündeln und intern den Prozess digital abzubilden.

Die DSGVO sieht auch vor, dass dem Betroffenen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen ist.

  • Kopie

Was genau diese Regelung zur Kopie in Art. 15 Abs. 3 DSGVO umfasst wird unter Juristen kontrovers diskutiert. Klarheit könnte ein oberinstanzliches Urteil bringen. Derzeit liegt ein solches nicht vor. Leider haben sich auch die Aufsichtsbehörden hierzu noch nicht in der nötigen Klarheit positioniert.

Ich halte ein an der Verhältnismäßigkeit für beide Seiten und Praktikabilität orientiertes Vorgehen für sinnvoll. Will heißen: Der Einzelfall bestimmt den Umfang der Kopie und deren Inhalt. Wobei eine Kopie in Form einer zusammenfassenden Liste oder Aufstellung über die verarbeiteten personenbezogenen Daten in den einzelnen Verarbeitungssystemen/ Verarbeitungsweisen zur Verfügung gestellt werden sollte. Beispiel: Im Falle von Logdateien eine Kopie der persönlichen Daten die „Gegenstand“ i.S.v. „Inhalt“ eines Logeintrags sein können, d.h. z.B. Name, Namenskürzel, Personal-Nr., Zeitstempel, Datumsstempel. Bei E-Mail Kommunikation also zumindest der Name, die E-Mail Adresse, in für ein CRM-System beispielsweise Name, Adresse, Geburtsdatum etc.

Einzelne Kopien aus diesen Systemen erscheinen sinnvoll, wenn sie ohne großen Aufwand herausgegeben werden. Hier kann sich auch anbieten, den Dialog mit dem Anfragenden zu suchen, ihn über die Kopien bzw. deren Umfang zu informieren und ihn bitten seine Anfrage hierzu entsprechend zu konkretisieren. Dies erscheint insbesondere sinnvoll, bevor eine etwaig komplette E-Mail Korrespondenz mit und (intern „über“) den Kunden herausgegeben wird. Insbesondere, weil der Kunde zumindest die direkte Kommunikation selbst vorliegen hat.

In keinem Falle dürfen mit der Kopie die Rechte und Freiheiten anderer Personen beeinträchtigt werden, d. h., es dürfen mit einer Kopie nicht Daten über andere Personen mitoffenbart werden. D.h. in der Kopie Schwärzungen vorzunehmen, um Rechte Dritter zu schützen. Auch dies ist bei der Abwägung zur Verhältnismäßigkeit zu berücksichtigen.

Letztlich können Sie auch die für Ihr Unternehmen zuständige Aufsichtsbehörde nach deren Rechtsauffassung befragen.

  • Nachgang und Dokumentation der Auskunft

Dokumentieren Sie

  • den Eingang des Auskunftsantrags,
  • den Ablauf des Auskunftsverfahrens,
  • etwaige Gründe für eine Ablehnung
  • den Abschluss/ Status des Verfahrens

Legen Sie Fristen für die Vernichtung der Akte bzw. Dokumentation der Betroffenenanfrage fest.

Fazit: Unternehmen benötigen einen strukturierten Prozess, um ein Auskunftsersuchen innerhalb der Monatsfrist effizient bearbeiten zu können. Eine umfassende Dokumentation des Ablaufs des Auskunftsverfahrens sollte zur Erfüllung der Nachweispflichten erfolgen. Ein hoher Digitalisierungsgrad und Automation beschleunigen das Verfahren und schonen Ressourcen.

Gerne erarbeiten wir mit Ihnen ein für Ihr Unternehmen maßgeschneidertes Konzept.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.