Grafik zum Auskunftsrecht im Datenschutz

Auskunftsrecht: Wie erfüllen Sie das Recht auf Auskunft?

Die in der DSGVO geregelten Rechte der betroffenen Personen und die darin enthaltenen Informations- und Auskunftspflichten verfolgen das Ziel, Transparenz herzustellen und den betroffenen Personen Kontrolle über die Verwendung ihrer personenbezogenen Daten zu ermöglichen. Der darin enthaltene Anspruch auf Auskunft ist nichts grundlegend Neues – er war auch schon in 34 BDSG-alt verankert. Allerdings fällt bei näherem Hinschauen auf: Das Recht auf Auskunft wurde in der DSGVO erweitert. Welche Ansprüche mit dem Auskunftsrecht einhergehen, welche Inhalte Sie letztlich zur Verfügung stellen müssen und wann Sie eine Anfrage auf Auskunft verweigern können, verrate ich Ihnen im folgenden Artikel.
Inhaltsverzeichnis

Was ist das Auskunftsrecht im Datenschutz?

Das Auskunftsrecht im Datenschutz ist ein fundamentales Recht, das einer betroffenen Person das Recht einräumt, von einer Organisation oder einem Unternehmen umfassende Informationen über die Verarbeitung ihrer persönlichen Daten zu erhalten. Dieses Recht erlaubt es Einzelpersonen, Klarheit und Transparenz darüber zu erlangen, wie ihre Daten erfasst, verwendet und gespeichert werden.

Der Anspruch auf Informationen bezüglich personenbezogener Daten, wie beispielsweise Name, Adresse und Kontoverbindung, ist in Artikel 15 der Datenschutz-Grundverordnung (DSGVO) geregelt.

Wer hat Anspruch auf Auskunft?

Im Datenschutz hat grundsätzlich jede natürliche Person, deren persönliche Daten von einer Organisation oder einem Unternehmen verarbeitet werden, das Recht auf Auskunftserteilung. Dies bedeutet, dass jeder, dessen Daten Gegenstand der Verarbeitung sind, Anspruch auf umfassende Informationen über die Verarbeitung seiner Daten hat. Es spielt dabei keine Rolle, ob es sich um Kunden, Mitarbeiter, Geschäftspartner oder allgemeine Nutzer handelt – alle betroffenen Personen haben das Recht, Auskunft über die Verarbeitung ihrer persönlichen Daten zu verlangen.

Was ist Zweck des Auskunftsrechts?

Die Datenschutzgesetze, wie die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union, gewähren dieses Recht, um die Privatsphäre und die informationelle Selbstbestimmung jeder Person zu schützen. Es ist wichtig zu betonen, dass dieses Recht darauf abzielt, die Transparenz und Kontrolle über persönliche Daten in den Händen der betroffenen Personen zu belassen und sicherzustellen, dass sie darüber informiert sind, wie ihre Daten genutzt werden.

Organisationen und Unternehmen sind daher verpflichtet, Auskunftsersuchen von betroffenen Personen zu beantworten und ihnen die erforderlichen Informationen zur Verfügung zu stellen, um ihre Datenschutzrechte auszuüben.

Was umfasst das Auskunftsrecht?

Über diese Punkte ist gemäß Art. 15 Abs. 1 Buchst. a bis h DSGVO dem Beschäftigten auf Anfrage Auskunft zu erteilen:

  • die Kategorien der personenbezogenen Daten, die verarbeitet werden
  • die Zwecke der Verarbeitung
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  • Werden personenbezogene Daten der betroffenen Person an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht auf Informationen über die geeigneten Garantien gemäß Art. 46 DSGVO.
  • die geplante Dauer der Speicherung der personenbezogenen Daten und, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer
  • Informationen über das Recht der betroffenen Person auf Berichtigung der personenbezogenen Daten (gemäß Art. 16 DSGVO), auf Löschung (Art. 17 DSGVO), auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und das Widerspruchsrecht gegen diese Verarbeitung (Art. 21 DSGVO)
  • Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
  • wurden die personenbezogenen Daten nicht bei der betroffenen Person erhoben: alle verfügbaren Informationen über die Herkunft der Daten
  • falls zutreffend, Informationen über eine automatisierte Entscheidungsfindung einschließlich „Profiling“ gemäß Art. 22 Abs. 1 und 4 DSGVO

Wichtig: Der Anspruch auf Auskunft bezieht sich ausschließlich auf Daten, die noch in Besitz Ihrer Firma sind. Daher ist es wichtig, nicht mehr benötigte Daten konsequent zu löschen.

Auskunftsrecht umfasst auch das Recht auf Kopien

Bei dem Recht auf Auskunft nach DSGVO gehört, dass der Verantwortliche der betroffenen Person eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung stellen muss (vgl. Art. 15 Abs. 3 DSGVO). Die Auskunft muss in einer verständlichen Form und Sprache erfolgen.

Die erste Kopie ist kostenfrei bereitzustellen. Für weitere Kopien kann der Verantwortliche etwa nach Art. 12 Abs. 5 Buchst. a DSGVO „ein angemessenes Entgelt“ verlangen, wenn es sich um offenkundig unbegründete oder häufig wiederholte Anträge auf Auskunft handelt.

Fristen: Bis wann muss das Recht auf Auskunft erfüllt werden?

Jede Anfrage muss ernst genommen und bearbeitet werden – aber nicht nur das: Gemäß Art. 12 Abs. 3 DSGVO gelten Fristen, die auch der Arbeitgeber als Verantwortlicher einzuhalten hat. Das Gesetz schreibt vor, dass auf ein Auskunftsersuchen unverzüglich, aber spätestens innerhalb eines Monats zu reagieren ist. In Ausnahmefällen kann diese Frist um zwei Monate verlängert werden. Allerdings müssen Sie die betroffene Person binnen eines Monats nach Eingang der Anfrage über diese Fristverlängerung informieren – und ihr die Gründe mitteilen, wie z. B. Komplexität der Anfrage oder eine hohe Anzahl von Anträgen.

Diese Anforderungen hinsichtlich der Fristen gelten auch, wenn Ihr Unternehmen auf eine Anfrage nicht reagiert oder nicht tätig wird. Außerdem ist die betroffene Person darüber zu informieren, dass bei einer Aufsichtsbehörde Beschwerde eingelegt werden kann. Kommt es zu Verzögerungen, ist zu empfehlen, die Gründe der Verzögerung sorgfältig zu dokumentieren. Außerdem sollte der Beschäftigte über den Stand der Bearbeitung seines Auskunftsersuchens auf dem Laufenden gehalten werden. Das verringert das Risiko, dass er sich an die Aufsichtsbehörde wendet.

Ablauf bei Anfrage auf Auskunft – eine Anleitung

Um dem Auskunftsrecht gemäß der Datenschutz-Grundverordnung (DSGVO) vollumfänglich nachzukommen und um sicherzustellen, dass Ihr Unternehmen Anfragen zur Datenverarbeitung innerhalb eines Monats beantworten kann, ist es notwendig, die entsprechenden Prozesse in Ihrer Firma klar zu definieren.

Hier sind die Schritte, die in diesem Prozess enthalten sein könnten:

  1. Überprüfung der Identität: Um sicherzustellen, dass die Anfrage von der tatsächlichen betroffenen Person stammt, sollte eine Überprüfung der Identität durchgeführt werden.
  2. Sammlung der angeforderten Informationen: Die zuständige Stelle sollte die angeforderten Informationen sorgfältig zusammentragen. Dies kann die Zusammenarbeit verschiedener Abteilungen erfordern, um sicherzustellen, dass alle relevanten Daten erfasst werden.
  3. Bereitstellung der Informationen: Die bereitgestellten Informationen sollten in einem strukturierten, gängigen und maschinenlesbaren Format erfolgen, wie es in der DSGVO gefordert wird. Dies kann bedeuten, dass Daten in einem standardisierten elektronischen Format bereitgestellt werden, um eine reibungslose Übertragung zu ermöglichen.
  4. Dokumentation des Vorgangs: Unternehmen sollten den gesamten Prozess und die bereitgestellten Informationen dokumentieren. Dies dient dazu, die Einhaltung der Datenschutzvorschriften nachzuweisen.
  5. Benachrichtigung über die Bereitstellung: Die betroffene Person sollte über die Bereitstellung der angeforderten Informationen informiert werden. Dies kann elektronisch oder schriftlich erfolgen.
  6. Beantwortung von Rückfragen: Falls die betroffene Person zusätzliche Fragen oder Anmerkungen hat, sollten diese vom Unternehmen sorgfältig beantwortet werden, um eine klare Kommunikation sicherzustellen.
  7. Aufbewahrung von Aufzeichnungen: Unternehmen sollten Aufzeichnungen über den Vorgang der Auskunftserteilung aufbewahren, um im Falle von Überprüfungen oder Beschwerden nachweisen zu können, dass sie den Anforderungen der DSGVO entsprochen haben.
  8. Schulung und Sensibilisierung: Mitarbeiter, die mit Auskunftsersuchen umgehen, sollten über die Anforderungen der DSGVO und den internen Prozess informiert und geschult werden.
  9. Kontinuierliche Überprüfung und Aktualisierung: Der Prozess sollte in regelmäßigen Abständen überprüft und bei Bedarf aktualisiert werden, um sicherzustellen, dass er den aktuellen Datenschutzbestimmungen entspricht.

Die Implementierung eines solchen Prozesses ermöglicht es Unternehmen, dem Auskunftsrecht vollumfänglich nachzukommen und gleichzeitig die Rechte und Privatsphäre der betroffenen Personen zu respektieren. Dies trägt zur Einhaltung der Datenschutzvorschriften bei und fördert das Vertrauen der Kunden und Mitarbeiter in den Umgang des Unternehmens mit persönlichen Daten.

Dürfen Sie die Herausgabe beim Auskunftsrecht verweigern?

Die geforderte Auskunft und die damit verbundene Herausgabe von Datenkopien dürfen Sie als Unternehmen in der Regel nicht verweigern. Eine Ausnahme besteht, wenn Sie Zweifel an der Identität des Anfragenden und damit an seiner Berechtigung zur Anfrage haben. In einem solchen Fall können Sie zusätzliche Informationen vom Anfragenden anfordern, um die Identität zu überprüfen, wie in Artikel 12 Absatz 6 der DSGVO vorgesehen.

Muster-Vorlage zur Sicherstellung der Identität des Betroffenen beim Auskunftsrecht

„Die aktuell von Ihnen bereitgestellten Informationen ermöglichen uns leider keine eindeutige Identifikation Ihrer Person. Um festzustellen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden, benötigen wir zusätzliche Angaben von Ihnen. Bitte teilen Sie uns die folgenden Informationen mit: … Diese Anfrage zielt auch darauf ab, sicherzustellen, dass die angeforderten Auskünfte nicht an unbefugte Personen weitergegeben werden (gemäß Artikel 12 Absatz 6 der DSGVO). Nach Erhalt dieser Informationen werden wir Ihre Anfrage gerne erneut prüfen.“

Bei missbräuchlichem Auskunftsverlangen ist ebenfalls Verweigerung möglich

Sollte das Auskunftsrecht missbräuchlich ausgeübt werden, sind Unternehmen oftmals dazu berechtigt, das Recht auf Auskunft zu verweigern. Doch wann liegt ein missbräuchliches Auskunftsverlangen vor? Von einem missbräuchliches Auskunftsverlangen wird in folgenden Fällen gesprochen:

  • ein offensichtlich unbegründeten Verlangen nach Auskunft oder
  • bei wiederholten exzessiven Auskunftsersuchen einer Person.

Falls eine dieser Situationen vorliegt, kann das Unternehmen ein

  • angemessenes Entgelt für die Bereitstellung der Auskunft verlangen oder
  • sich weigern, aktiv auf die Anfrage zu reagieren.

Es ist jedoch wichtig zu beachten, dass die Beweislast für offenkundig unbegründete Anfragen oder den exzessiven Charakter des Auskunftsersuchens bei Ihrem Unternehmen liegt. Daher sollten Sie die Verweigerung der Auskunft nur in eindeutigen Fällen in Betracht ziehen.

Was sind die Folgen einer fehlenden oder mangelnden Auskunft?

Falsche oder nicht erteilte Auskünfte zählen zu den schwerwiegenderen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO). Bei Verstößen gegen die Regelungen der Art. 12 bis 22 DSGVO können gemäß Art. 83 Abs. 5 Buchst. b DSGVO Bußgelder verhängt werden. Dabei sind Bußgelder von bis zu 20 Mio. € bzw. 4 % des weltweit erzielten Jahreskonzernumsatzes des vorangegangenen Geschäftsjahres möglich.

Zusätzlich können Fehler im Zusammenhang mit Artikel 15 der DSGVO auch zu Entschädigungsforderungen führen. Im Rahmen dessen zeichnet sich eine Tendenz in der Rechtsprechung ab, dass nicht bearbeitete Auskunftsersuchen einen Entschädigungsanspruch von 500 € begründen können.

Was ist der Unterschied zwischen Auskunftsanspruch und Datenportabilität?

Seit der Einführung der DSGVO besteht das Recht auf Datenübertragbarkeit gemäß Artikel 20 DSGVO. Dieses Recht erlaubt es einer betroffenen Person, insbesondere dann, wenn die Datenverarbeitung automatisiert erfolgte oder auf Grundlage einer Einwilligung oder zur Vertragserfüllung geschah, ihre Daten in ein strukturiertes, übliches und maschinenlesbares Format zu übertragen. Ein Beschäftigter kann dieses Recht nutzen, um bei einem Jobwechsel seine Daten zum neuen Arbeitgeber zu übertragen, sofern dies technisch möglich ist.

Das Recht auf Auskunft des Beschäftigten ist nicht mit dem Recht auf Datenportabilität gleichzusetzen. Dementsprechend ist kritisch zu hinterfragen und zu prüfen, welche Daten zur Erfüllung des Anspruchs auf Datenportabilität – im Vergleich zur Auskunft über die betroffene Person – zur Verfügung gestellt werden und welche nur in den Bereich des Recht auf Auskunft nach DSGVO fallen.

Denn das Recht auf Datenübertragbarkeit verpflichtet den Arbeitgeber nicht, eigene Rechte und Freiheiten oder die Dritter zu beeinträchtigen. In Art. 20 Abs. 4 DSGVO ist explizit festgelegt, dass „die Rechte und Freiheiten anderer Personen“ durch das Recht auf Datenportabilität nicht verletzt werden dürfen. Diese Regelung bezieht sich nicht nur auf andere betroffene Personen, sondern auch auf den Verantwortlichen, das heißt, auch das Recht am geistigen Eigentum Dritter bzw. die Geschäftsgeheimnisse Ihres Unternehmens sind davon umfasst.

Beachten Sie: Im Unterschied zur Erfüllung des Rechts auf Auskunft sind bei der Erfüllung des Rechts auf Datenportabilität die zu übermittelnden personenbezogenen Daten auf die Daten beschränkt, die die betroffene Person dem Verantwortlichen selbst zur Verfügung gestellt hat. Von Ihrem Unternehmen erzeugte oder abgeleitete Informationen, z. B. Beurteilungen, sind nicht zur Verfügung zu stellen.

FAQ – Antworten auf die häufigsten Fragen zum Auskunftsrecht

Betroffenenrechte sind gesetzlich verankerte Rechte, die Personen gewährt werden, deren personenbezogene Daten von Organisationen oder Unternehmen verarbeitet werden. Diese Rechte dienen dem Schutz der Privatsphäre und der informationellen Selbstbestimmung der Betroffenen.
Folgende Betroffenenrechte existieren: Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung, Recht auf Datenübertragbarkeit, Widerspruchsrecht, Recht auf Einschränkung der Verarbeitung und das Recht auf Beschwerde
Die Rechte des Betroffenen sind seit Anwendung der DSGVO in Art. 12 ff. DSGVO zu finden. Das gilt auch für die Rechte der Beschäftigten – denn der deutsche Gesetzgeber hat die Öffnungsklausel aus Art. 88 DSGVO nicht dafür genutzt, spezifischere Regelungen für die Rechte der betroffenen Personen im Beschäftigtenverhältnis und damit zu deren Recht auf Auskunft nach der DSGVO zu regeln. Bei der Umsetzung des Anspruchs auf Auskunft von Beschäftigten sind deshalb die Regelungen aus Art. 15 DSGVO heranzuziehen.
Der Auskunftsanspruch wird gelegentlich als strategisches Instrument eingesetzt, insbesondere in Kündigungsschutzprozessen, in denen Arbeitnehmeranwälte oft gemäß Artikel 15 der Datenschutz-Grundverordnung (DSGVO) Auskunft anfordern. Dabei zielt dies hauptsächlich darauf ab, Druck auf den Arbeitgeber auszuüben und die Verhandlungsposition in Bezug auf Abfindungen zu stärken.