Das Recht des Betroffenen auf Auskunft über die personenbezogenen Daten, die ein Unternehmen über die eigene Person gespeichert hat, ist weitreichend, wie der Bundesgerichtshof erst kürzlich bestätigt hat (hier geht es zur BGH Entscheidung). Der Betroffene hat sogar Anspruch auf Auskunftserteilung über die internen Vermerke. Eine unterbliebene, verspätete oder unvollständige Auskunftserteilung kann teuer werden.
Es folgt eine Schritt-für-Schritt-Anleitung für die Auskunftserteilung nach Art. 15 DSGVO.
1. Erfüllung der Informationspflichten
Durch die Auskunftsanfrage teilt der Betroffene Ihnen personenbezogene Daten zu seiner Person mit. Die darauffolgende Recherche und Beantwortung des Auskunftsgesuches stellen Verarbeitungen personenbezogener Daten dar. Mithin unterfällt dieser Prozess den Informationspflichten im Sinne von Art. 13 DSGVO. Die Erfüllung der Informationspflichten können Sie mit der Bestätigung des Erhalts des Auskunftsgesuches verbinden und den Auskunftssuchenden jedenfalls über den Zweck der Verarbeitung, die zugrundeliegende Rechtsgrundlage und die Speicherdauer der personenbezogenen Daten informieren. Soweit Sie diese Informationen bereits in Ihrer Datenschutzerklärung vorhalten, reicht ein Verweis auf die Datenschutzerklärung.
2. Frist zur Auskunftserteilung
Die Auskunft muss unverzüglich, maximal jedoch innerhalb eines Monats ab Zugang des Auskunftsersuchens erfolgen. Im Falle eines besonders komplexen Falls oder einer hohen Anzahl zu bearbeitender Anträge, kann die Frist ausnahmsweise auf bis zu drei Monate verlängert werden. Hierüber müssen Sie den Betroffenen innerhalb der Monatsfrist informieren und die Verlängerung begründen.
3. Identitätsfeststellung des Antragstellers
Die Auskunft darf nur gegenüber der betroffenen Person erteilt werden, deshalb muss zunächst die Identität des Antragsstellers festgestellt werden. Typischerweise kann dies z.B. über die Abfrage der Kundennummer oder ähnlicher Informationen, über die normalerweise nur der Betroffenen verfügt, festgestellt werden. Allzu hohe Anforderung an die Identitätsfeststellung dürfen an den Antragsteller allerdings nicht gestellt werden. Nur in Ausnahmefällen, in Ermangelung leichterer Mittel und bei begründeten Zweifeln, kann die Vorlage des Personalausweises gefordert werden.
4. Die verarbeiteten Kategorien personenbezogener Daten
Der Antragsteller hat nur einen Anspruch auf die Mitteilung der zu Ihm gespeicherten personenbezogenen Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Normalerweise erfolgt eine Verknüpfung über den Namen, aber auch die Email-Adresse oder die IP-Adresse stellen solch eine Kennung dar. Auch über pseudonymisierte Informationen (z.B. durch Vergabe einer ID) muss Auskunft erteilt werden. Es sind Informationen die analog, elektronisch oder handschriftlich (z.B. als Kommentar zum Antragsteller) erfasst sind von dem Auskunftsanspruch umfasst.
Soweit Sie keine Daten zum Antragsteller gespeichert haben oder die Daten bereits gelöscht sind oder anonymisiert, findet keine Verarbeitung personenbezogener Daten des Antragstellers statt. In diesem Fall müssen Sie das dem Antragsteller im Rahmen einer kurzen Negativauskunft mitteilen (auch innerhalb der Monatsfrist).
5. Weitere Auskünfte zu den Verarbeiteten Daten
Sie müssen Auskunft zum Verarbeitungszweck der Daten und zu den Empfängern der personenbezogenen Daten (Personen oder Organisationen, gegenüber den personenbezogenen Daten offengelegt werden; auch in Drittstaaten) erteilen. Soweit Sie ein vollständiges Verarbeitungsverzeichnis haben, können Sie die Informationen diesem entnehmen. Gerne berate ich Sie zu der Erstellung eines Verarbeitungsverzeichnisses für Ihr Unternehmen.
Außerdem müssen Sie über die Speicherdauer und die voraussichtliche Löschung der Datenkategorien (falls vorhanden ist diese Information dem Löschkonzept zu entnehmen) informieren, sowie die Herkunft der Daten und, falls vorhanden, über automatisierte Entscheidungsfindungsprozesse gem. Art 22 DDGVO und deren Folgen für den Betroffenen.
Zuletzt muss der Antragsteller noch über seine Rechte als Betroffener informiert werden.
6. Form der Auskunftserteilung
Die DSGVO trifft keine expliziten Regelungen zur Form der Auskunftserteilung, sie regelt lediglich, dass die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgt. Die Erteilung kann schriftlich oder elektronisch erfolgen, das richtet sich nach der Form des Auskunftsgesuches. Eine Datenkopie muss nur auf ausdrückliches Verlangen ausgehändigt werden und nur ein Mal. Für jede weitere Kopie können Sie eine angemessene Entschädigung in Geld verlangen. Die technische Umsetzung der Auskunftserteilung muss unter angemessenen technischen Sicherheitsvorkehrungen erfolgen.
7. Wann muss keine Auskunft erteilt werden
Unter anderem müssen Daten die gem. § 34 Abs. 1 Nr. 2 BDSG nur aufgrund gesetzlicher Aufbewahrungspflichten nicht gelöscht werden oder ausschließlich dem Zwecke der Datensicherung oder Datenschutzkontrolle dienen (Backup & Log-Files) nicht beauskunftet werden.
Die Auskunft kann verweigert werden, wenn die Anfrage offenkundig missbräuchlich ist oder durch häufige Wiederholung als exzessiv zu werten ist (Achtung – die Schwelle hierfür ist sehr hoch).
Soweit Sie die personenbezogenen Daten des Antragstellers nur als Auftragsverarbeiter (i.S.d. Art. 28 DSGVO) verarbeiten, sind Sie nur verpflichtet das Auskunftsersuchen an den Verantwortlichen weiterzuleiten. Haben Sie allerdings die gemeinsame Verantwortlichkeit (joint controllership i.S.d. Art. 26 DSGVO) kann der Betroffene das Auskunftsersuchen gegenüber jedem Verantwortlichen geltend machen.
Soweit Sie Unterstützung bei der Umsetzung der datenschutzrechtlichen Bestimmungen in Ihrem Unternehmen brauchen, nutzen Sie gerne das Kontaktformular um Ihr Anliegen zu schildern und ein unverbindliches Angebot anzufordern. Ich bin zertifizierte Datenschutzbeauftragte und unterstütze Sie gerne bei der Umsetzung der DSGVO in Ihrem Unternehmen.