#5 Auskunftsrecht

Auskunftsrecht

Wir hatten es Beispielhaft bereits erwähnt und beschäftigen uns heute mal näher mit dem Auskunftsrecht nach Art. 15 DSGVO.

Betroffene Personen haben das Recht mit formlosem Antrag und ohne Begründung von einem Verantwortlichen Auskunft über dort gespeicherte personenbezogene Daten zu verlangen. Dieses Auskunftsrecht macht vorallem Unternehmen im B2C Business zu schaffen.

Das Auskunftsrecht steht erstmal jedem zu und jede öffentliche als auch nicht öffentliche Stelle muss dem nachkommen. Nach Art. 12 Abs. 5 DSGVO darf nur bei offenkundig unbegründeten oder exzessiven Anfragen entweder ein Entgelt verlangt oder die Erteilung einer Auskunft verweigert werden. Das heißt also, dass es durchaus vorkommen darf, dass eine Person mehrmals pro Jahr diese Anfrage stellt. Erfassen Sie also penibel genau wo, welche Daten gespeichert werden. Hierzu raten wir ein gut organisiertes Verarbeitungsverzeichnis (dies ist sogar eine Pflicht für jede Unternehmung) zu führen. Anhand des Verzeichnisses können Sie sehr schnell alle Stelle auswendig machen und im vollen Umfang antworten.

Was ist zutun wenn Sie eine Anfrage erhalten?

Nehmen Sie es nicht auf die leichte Schulter. Es gibt bereits einige Bußgelder die hierfür verhängt worden sind weil der Verantwortlich einfach nicht geantwortet hat oder zu spät.

Wie schon beschrieben, darf der Betroffene jederzeit einen formlosen Antrag stellen. Jetzt ganz wichtig! Wenn Sie diese Anfrage erhalten dann prüfen Sie zuerst die Identität denn sonst haben sie direkt den nächsten Datenschutz-Ärger. Außerdem ist es zu empfehlen, jetzt der Irrsinn, den Erhalt der Anfrage zu bestätigen und das Ganze auch DSGVO-Konform mit den Informationspflichten aus Art.13 DSGVO. Mit dieser Anfrage erheben Sie nämlich Daten bei dem Anfragesteller.

Nun prüfen Sie welche Daten im Unternehmen über den betroffenen zu finden sind.

Nach erfolgter Prüfung, kann die Auskunftserteilung je nach Sachverhalt schriftlich, elektronisch oder, auf Wunsch der betroffenen Person, mündlich erfolgen. Der Verantwortliche stellt eine Kopie der Daten zur Verfügung (Art. 15 Abs. 3 Satz 1 DS-GVO). Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DS-GVO in einem gängigen elektronischen Format zur Verfügung zu stellen (PDF-Format). Es kommt also darauf an, wie die betroffene Person auf Sie zukommt.

Die Auskunft ist auch dann zu erteilen, wenn keine Daten vorhanden sind mit einer so genannten „Negativauskunft“. Außerdem empfiehlt es sich, die Antwort zu präzisieren: Bis zum Zeitpunkt der Anfrage, war kein Datensatz über den Antragssteller vorhanden, etwa als Kunde, Geschäftspartner, Bewerber oder Beschwerdeführer. Die Prüfung lasse daher den Schluss zu, dass auch sonst keine Daten über die Antragstellerin oder den Antragsteller vorliegen.

Vorbereitung ist alles!

In welcher Zeit haben Sie zu antworten?

Auch hierfür findet die DSGVO klar Regeln. Nach Art. 12 Abs. 3 DS-GVO ist eine Antwort unverzüglich zu erfolgen, spätestens aber innerhalb eines Monats; nur in begründeten Ausnahmefällen kann die Monatsfrist überschritten werden, worüber die betroffene Person aber zu informieren ist (Art. 12 Abs. 3 Satz 3 DS-GVO).

Welche Informationen müssen Sie mitteilen?

Die DSGVO sieht dabei folgende Dinge vor:

-Verarbeitungszwecke

-Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.)

-Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden

-geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer

-Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung

-Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO

-Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde

-Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden

-das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Kosten für die Auskunft 

Sie dürfen keine Kosten geltend machen wenn Sie eine Anfrage erhalten. Außer, der Betroffene möchte weitere Kopien, die Anfrage ist offenkundig unbegründet oder es handelt sich um exzessive Anfragen eines einzelnen Betroffenen.

Unsere Empfehlung

Vorbereiten Sie diesen Fall schon im Vorfeld. Führen Sie ein Verfahrensverzeichnis gemäß der DSGVO und bereiten Sie ein Formular vor.

Sollten Sie Fragen haben oder Hilfe bei der Umsetzung benötigen dann zögern Sie nicht uns anzusprechen.