Auskunftsrecht Art. 15 DSGVO (DSK-Papier Nr. 6)

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Das DSK-Papier nimmt Stellung zum Betroffenenrecht „Auskunft“. In welchem Umfang die Auskunft zu erteilen ist, in welcher Form die Auskunft zu geben ist, ob eine Identifikation erfolgen darf und welche Fristen einzuhalten sind, werden hier beantwortet.

Warum hat man ein Auskunftsrecht?

  • Schaffung von Transparenz über die Verarbeitungsvorgänge
  • Erleichterung des Durchsetzens von weiteren Ansprüchen (z.B. Löschung, Einschränkung, Berichtigung)

Welchen Umfang hat das Auskunftsrecht?

Art. 15 Abs. 1 DSGVO bietet dem betroffenen ein abgestuftes Auskunftsrecht, d.h.

  • der Betroffene kann eine Bestätigung/Negativauskunft des Verantwortlichen verlangen, ob seine Daten dort verarbeitet werden ODER
  • eine konkrete Auskunft verlangen, welche Daten beim Verantwortlichen verarbeitet werden

Neben den beiden Möglichkeiten sind dem Betroffenen jedoch folgende Informationen immer mitzuteilen:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten
  • Empfänger selbst bzw. Empfängerkategorien
  • Speicherdauer, falls dies möglich ist
  • zustehende Rechte des Betroffenen (Löschung, Berichtigung, Einschränkung, Widerspruchsrecht)
  • Beschwerderecht bei zuständiger Aufsichtsbehörde
  • Quellen der Daten / Datenherkunft, sofern diese von Dritten mitgeteilt wurden
  • Bestehen einer automatisierten Entscheidungsfindung / Profiling, sofern dies angewandt wird
  • Datenübermittlung in Drittländer, sofern dies durchgeführt wird

Hinweis der Datenbeschützerin

Die oben genannten Informationen sind im Großen und Ganzen inhaltsgleich mit Art. 13 und Art. 14 DSGVO. Daher kann als Anlage an die Rückmeldung an den betroffenen ggf. nochmals die Informationspflicht angehängt werden.

In welcher Form muss die Auskunft erteilt werden?

  • Die Beantwortung kann schriftlich, elektronisch oder mündlich (auf der betroffenen Person)
  • Es kommt jedoch auf den Anfrageweg des Betroffenen an
  • Bei einem elektronischen Auskunftsgesuch ist die Rückmeldung ebenfalls in elektronischer Form zur Verfügung zu stellen (z.B. als PDF)
  • Die Kommunikationswege müssen jedoch angemessene Sicherheitsanforderungen erfüllen (z.B. TLS-Verschlüsselung etc.)

Anmerkung der Datenbeschützerin

Stellt der Anfragende sein Auskunftsgesuch elektronisch per E-Mail, möchte jedoch die Rückmeldung auf dem Postweg erhalten, so ist diesem Folge zu leisten (Art. 15 Abs. 3 Satz 3 DSGVO).

Welche Frist für die Auskunftserteilung ist zu beachten?

  • grds. unverzüglich (Art. 12 Abs. 3 DSGVO) bzw.
  • spätestens aber einen Monat nach Antragseingang
  • Überschreitung der Frist ist nur in begründeten Ausnahmefällen möglich

Kosten der Auskunftserteilung

  • grds. ist die Auskunftserteilung kostenlos zu erteilen
  • fallen jedoch weitere bzw. mehrere Kopien an, darf ein angemessenes Entgelt berechnet werden
  • auch bei dauerhaften oder offenkundigen unbegründeten Anfragen kann ein Entgelt verlangt werden

Darf eine Identifizierung des Betroffenen vorgenommen werden?

  • Der Verantwortliche muss sicherstellen, dass der Anfragende auch wirklich derjenige ist
  • Verhinderung, um Daten an unbefugte Dritte zur Verfügung zu stellen
  • bestehen begründete Zweifel, so kann ein Nachweis über die Identität gefordert werden (Art. 12 Abs. 6 DSGVO)

Anmerkung der Datenbeschützerin

Zur Identifizierung sollten jedoch keine neuen Datensätze erhoben werden, sondern mit den bereits vorhandenen Daten abgeglichen werden. Beispiele: Buchungsnummer/Reservierungsnummer bei Hotels, Kundennummer bei Unternehmen, postalische Adresse bei elektronischem Auskunftsgesuch. Eine Kopie des Ausweises oder Reisepasses sollte nur als letzte Möglichkeit in Betracht gezogen werden. Diese ist nur ein gewissen Einzelfällen zulässig.

Welche Grenzen hat das Auskunftsrecht?

  • Ist eine größere Menge der Datensätze vorhanden, darf der Verantwortliche von dem Betroffenen eine Präzisierung in Bezug auf die Datensätze und Verarbeitungsgänge verlangen
  • Kann bei Banken oder Versicherungen vorkommen
  • Bei unbegründeten oder dauerhaften Anfragen kann eine Ablehnung oder Kostenerstattung folgen; ist jedoch nur in Ausnahmefällen möglich
  • Der Verantwortliche muss nachweisen und gegenüber dem Betroffenen begründen können, dass die Anfrage unbegründet bzw. exzessiv ist
  • § 34 BDSG zieht weitere Grenzen auf Archivdaten und Protokollierungsdaten – ob eine Einschränkung der Ausübung der Betroffenenrechte vorliegt ist im Einzelfall zu entscheiden

Wie sieht es mit den Rechten Dritter aus?

  • Die Auskunftserteilung darf Dritte nicht ihren Rechten und Freiheiten beeinträchtigen
  • jedoch darf die Auskunftserteilung nicht komplett verweigert werden

Was passiert, wenn keine Auskunft gegeben wird?

  • es kann ein Bußgeld (Art. 83 Abs. 5 lit. b DSGVO) verhängt werden

Empfehlung der Datenbeschützerin

  • Prozessbeschreibung über Betroffenenrechte einführen
  • Mitarbeiter die Prozessbeschreibung im Rahmen einer Mitarbeiterschulung präsentieren und sensibilisieren
  • zuständigen Mitarbeiter innerhalb des Unternehmens für die Beantwortung der Anfragen beauftragen (z.B. interner Datenschutzbeauftragter)
  • Vertretungsregelung bei Abwesenheit der zuständigen Person einführen
  • externer DSB: Anfragen sollten an den DSB weitergeleitet werden und auch die weitere Vorgehensweise besprochen werden

Weitere Informationen finden Sie in unserem Blogartikel: Betroffenenrechte im Datenschutz

DSK-Kurzpapier Nr. 6

Quellen

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_6.pdf

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.