Das Auskunftsrecht nach Artikel 15 DSGVO ist eines der wichtigsten Betroffenenrechte im Datenschutz und stellt Unternehmen regelmäßig vor organisatorische und rechtliche Herausforderungen. Im Folgenden wird erklärt, wie ein Auskunftsersuchen abläuft und was Unternehmen dabei beachten müssen.
Was ist ein Auskunftsersuchen?
Betroffene Personen können bei Unternehmen anfragen, ob und welche personenbezogenen Daten über sie verarbeitet werden. Das Ziel: Transparenz über die Datenverarbeitung schaffen und ggf. weitere Rechte (z. B. Berichtigung, Löschung) ausüben.
Ablauf eines Auskunftsersuchens
1. Antragstellung
- Ein Auskunftsersuchen kann formlos und über jeden Kommunikationskanal gestellt werden: E-Mail, Brief, Fax, Webformular oder sogar telefonisch.
- Unternehmen müssen sicherstellen, dass Mitarbeitende solche Anfragen erkennen und korrekt weiterleiten.
2. Identitätsprüfung
- Vor der Auskunftserteilung muss das Unternehmen die Identität der anfragenden Person zweifelsfrei feststellen, um Datenmissbrauch zu verhindern.
- Bei begründeten Zweifeln kann eine Ausweiskopie verlangt werden, wobei nicht benötigte Daten (z. B. Ausweisnummer, Foto) geschwärzt werden sollten.
3. Fristen
- Die Auskunft muss unverzüglich, spätestens aber innerhalb eines Monats erteilt werden. Bei komplexen Fällen kann die Frist auf bis zu drei Monate verlängert werden – die betroffene Person ist dann über die Verlängerung und deren Gründe zu informieren.
4. Bearbeitung der Anfrage
- Zunächst ist zu prüfen, ob überhaupt personenbezogene Daten der anfragenden Person verarbeitet werden.
- Bei positiver Prüfung sind folgende Informationen bereitzustellen:
- Verarbeitungszwecke
- Kategorien der verarbeiteten Daten
- Empfänger oder Kategorien von Empfängern
- Speicherdauer oder Kriterien für deren Festlegung
- Hinweise auf Betroffenenrechte (Berichtigung, Löschung, Einschränkung, Widerspruch)
- Beschwerderecht bei der Aufsichtsbehörde
- Herkunft der Daten (sofern nicht bei der Person selbst erhoben)
- Bestehen einer automatisierten Entscheidungsfindung inkl. Profiling, ggf. mit Erläuterungen
- Übermittlung in Drittländer und geeignete Garantien
5. Form der Auskunft
- Die Auskunftserteilung erfolgt grundsätzlich in der Form, in der das Auskunftsersuchen eingegangen ist (z. B. per E-Mail, schriftlich).
- Die Informationen müssen klar, verständlich und in einfacher Sprache formuliert sein.
- Die erste Kopie der Daten ist kostenfrei; für weitere Kopien kann ein angemessenes Entgelt verlangt werden.
6. Dokumentation und Prozessgestaltung
- Unternehmen sollten den Umgang mit Auskunftsersuchen in einem klaren, dokumentierten Prozess regeln und die Mitarbeitenden regelmäßig schulen.
- Die Bearbeitung und Kommunikation sind zu dokumentieren, um im Streitfall die Einhaltung der DSGVO nachweisen zu können.
Praxistipps für Unternehmen
- Prozess einrichten: Implementieren Sie einen festen Workflow für Auskunftsersuchen, inklusive Identitätsprüfung, Fristenüberwachung und Dokumentation.
- Schulungen: Schulen Sie alle Mitarbeitenden, die Kontakt zu Betroffenen haben, auf das Erkennen und korrekte Weiterleiten von Anfragen.
- Transparenz: Stellen Sie sicher, dass alle Auskünfte präzise, transparent und verständlich sind.
- Datensicherheit: Geben Sie personenbezogene Daten nur an die betroffene Person selbst heraus – nie an Dritte ohne Nachweis der Berechtigung.
Risiken bei Nichtbeachtung
- Unvollständige oder verspätete Auskünfte können zu Bußgeldern und behördlichen Maßnahmen führen.
- Betroffene können sich bei der Datenschutzaufsichtsbehörde beschweren.
Ein Auskunftsersuchen nach DSGVO ist für Unternehmen mit klaren Pflichten verbunden. Ein strukturierter, dokumentierter Prozess und geschulte Mitarbeitende sind entscheidend, um rechtssicher und effizient zu reagieren und das Vertrauen der Betroffenen zu stärken