Auskunftsanspruch DSGVO – was Unternehmen hierzu wissen müssen

Was Unternehmen bezüglich des datenschutzrechtlichen Auskunftsanspruches nach der DSGVO beachten sollten

 

In dem nachfolgenden Beitrag informieren wir Unternehmen darüber,

• worum es beim datenschutzrechtlichen Auskunftsanspruch geht,
• welchen Umfang der Auskunftsanspruch nach der DSGVO hat,
• wer von der datenschutzrechtlichen Auskunftspflicht betroffen ist,
• wie man mit einem Auskunftsanspruch umgehen sollte und
• was Unternehmen bei einem Auskunftsverlangen beachten sollten.

 

 

Was ist der datenschutzrechtliche Auskunftsanspruch nach der DSGVO?

 

Der datenschutzrechtliche Auskunftsanspruch ist in Art. 15 DSGVO (Datenschutzgrundverordnung) normiert. Es handelt sich dabei um ein sog. Betroffenenrecht. Der Anspruch steht jeder natürlichen Person gegenüber solchen Unternehmen zu, die die personenbezogenen Daten des Betroffenen erheben, speichern oder anderweitig verarbeiten.

 

Das im Gesetz verankerte Recht des Betroffenen auf Auskunft soll es Betroffenen  ermöglichen, von Unternehmen, die personenbezogene Daten verarbeiten, eine umfassende Auskunft über den Zweck, den Umfang und die sonstigen Umstände der Erhebung und Verarbeitung ihrer Daten zu erhalten.

 

⇒ Unser Tipp: Unternehmen ist daher grundsätzlich zu empfehlen, dem Betroffenen im Falle der Geltendmachung des Auskunftsanspruches innerhalb der dafür vorgesehenen Fristen eine umfassende Auskunft zu erteilen, die den gesetzlichen Vorgaben entspricht.

 

 

Welchen Umfang hat der datenschutzrechtliche Auskunftsanspruch nach der DSGVO?

 

Der Auskunftsanspruch nach der DSGVO umfasst einerseits die Antwort auf die Frage, ob personenbezogene Daten des Betroffenen erhoben und verarbeitet werden. Wenn dies der Fall ist, umfasst der Auskunftsanspruch das Recht des Betroffenen auf Auskunft über diese personenbezogenen Daten sowie über weitere Informationen wie beispielsweise (nicht abschließende Aufzählung):

• Verarbeitungszwecke,
• Kategorien personenbezogener Daten, die verarbeitet werden,
• Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden,
• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung,
• Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.

 

 

Welche Unternehmen sind vom datenschutzrechtlichen Auskunftsanspruch nach der DSGVO betroffen?

 

Jeder Verantwortliche im Sinne der DSGVO hat gegenüber dem Betroffenen eine Auskunftspflicht. Verantwortlicher im Sinne der Datenschutzgrundverordnung ist vereinfacht gesagt jeder Unternehmer und jedes Unternehmen, das personenbezogene Daten (z.B. von Kunden, Mitarbeitern etc.) erhebt, speichert oder anderweitig verarbeitet. Die Größe des Unternehmens, Umsatzzahlen sowie die Anzahl der Mitarbeitenden spielen dabei keine Rolle. Betroffene sind dabei diejenigen natürlichen Personen, deren personenbezogene Daten erhoben, gespeichert oder anderweitig verarbeitet werden.

 

Heutzutage verarbeitet praktisch jeder Betrieb, jedes Unternehmen und jeder Gewerbetreibende personenbezogene Daten. Dies können z. B. Kundennamen, E-Mail-Adressen, Telefonnummern oder der Geburtstag sein (sog. Stammdaten) oder aber auch Kommunikationsinhalte wie Schrift- oder E-Mailverkehr etc. sein. Somit kann praktisch jedes Unternehmen dem datenschutzrechtlichen Auskunftsanspruch nach der DSGVO bzw. einem Auskunftsverlangen eines Betroffenen ausgesetzt sein.

 

⇒ Folglich besteht der datenschutzrechtliche Auskunftsanspruch dem Grunde nach gegenüber jedem Einzelunternehmer, jedem Selbstständigen, jedem Freiberufler und auch gegenüber Gründern und Start-Ups.

 

 

Wie sollten Unternehmen bei einem  Auskunftsverlangen reagieren?

 

Betroffene können ihren datenschutzrechtlichen Auskunftsanspruch von Gesetzes wegen formlos geltend machen. Die Geltend,achung kann also beispielsweise auch mündlich (z.B. am Telefon) erfolgen. Auch muss der DSGVO-Auskunftsanspruch nicht mit einer Begründung versehen sein. Erfahrungsgemäß wird ein Auskunftsanspruch häufig vor Ort persönlich oder aber per E-Mail geltend gemacht.  Wichtig ist, dass Sie als Unternehmen, wenn Ihnen gegenüber ein Auskunftsanspruch nach der DSGVO geltend gemacht wird, diesen nicht „übersehen“, sondern das Auskunftsverlangen ernst nehmen und sich richtig verhalten. Denn andernfalls laufen Sie Gefahr, sich datenschutzrechtswidrig zu verhalten und von der Datenschutzbehörde ein Bußgeld oder eine andere Sanktionen auferlegt zu bekommen.

 

Wenn ein Auskunftsanspruch geltend gemacht wird, sollte man diesen unverzüglich prüfen und bearbeiten, damit die Monatsfrist nicht verstreicht. Zudem sollte man klären, welche personenbezogenen Daten des Betroffenen gespeichert sind und ggf. verarbeitet oder an Dritte übermittelt wurden. Zum Zwecke der Auskunft sollte man sodann einen entsprechenden Auskunftsdatensatz erzeugen und dem Betroffenen zur Verfügung stellen.

 

 

Was sollten Unternehmen bei Bearbeitung eines Auskunftsverlangen beachten?

 

Im Rahmen einer datenschutzrechtlichen Auskunft ist das verantwortliche Unternehmen verpflichtet, dem Betroffenen die oben aufgezählten Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Dies umfasst die Pflicht, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, unentgeltlich zur Verfügung zu stellen. Darüber hinaus ist darauf zu achten, dass die Informationen gemäß Art. 12 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung gestellt werden müssen.

 

Keinesfalls ist es zu empfehlen, den Kopf in den Sand zu stecken und gar nicht zu reagieren, nach dem Motto „Das wird schon gut gehen – da passiert sowieso nichts!“. Denn die zuständigen Datenschutzbehörden gehen diesen Dingen erfahrungsgemäß nach, wenn Betroffene sich beschweren und auf ein Auskunftsverlangen innerhalb der Monatsfrist keine Antwort erhalten haben.

 

⇒ Unternehmen sind daher gut beraten, für mögliche Auskunftsverlangen entsprechende Zuständigkeiten und Handlungsabläufe vorzusehen. Dadurch kann man sicherstellen, dass man etwaige Auskunftsverlangen rechtzeitig und vollumfänglich erfüllen kann. Hierdurch kann man Streitigkeiten mit dem Betroffenen und Sanktionen durch die Aufsichtsbehörde vermeiden.

 

 

Wie sollte man sich verhalten, wenn ein Kunde einen Auskunftsanspruch geltend macht?

 

Im ersten Schritt heißt es Ruhe bewahren! Haben Sie ein Datenschutzkonzept in Ihrem Unternehmen etabliert, folgen Sie den dort unter dem Stichwort „Auskunftsverlangen“ bzw. Betroffenenrechte festgelegten Abläufen und Handlungsempfehlungen. Haben Sie kein schriftlich niedergelegtes Datenschutzkonzept oder fehlen dort entsprechende Handlungsanweisungen, empfehlen wir Ihnen, sich umgehend bei einer auf den Bereich des Datenschutzrechts spezialisierten Kanzlei anwaltlich beraten zu lassen.

 

⇒ Unser Tipp: Lassen Sie sich zum Thema Datenschutzrecht beraten. Unsere Anwälte beraten Sie gerne – rufen Sie uns unter 069-6636841220 an oder schreiben Sie uns.

 

Keinesfalls sollte man einen geltend gemachten Auskunftsanspruch ignorieren. Auch ist es nicht zu empfehlen, die Sache „auf die lange Bank zu schieben“. Denn hinsichtlich der Auskunftserteilung gibt es gesetzlich geregelte und daher zwingend einzuhaltende Fristen. Die Auskunft ist demnach grundsätzlich unverzüglich, spätestens binnen eines Monats zu erteilen. Andernfalls kann es rechtliche Nachteile haben. Meldet der Betroffene die Sache der zuständigen Aufsichtsbehörde (Landesdatenschutzbehörde), kann es zu Erlass eines Bußgelds kommen. Daneben kann man sich als Unternehmen sogar schadenersatzpflichtig machen. Vermeidbar ist dies mit einem DSGVO-konformen Datenschutzkonzept!

 

 

Muss man im Rahmen des Auskunftsanspruchs (DSGVO) auch die Empfänger der Daten namentlich offenbaren?

 

In einem aktuellen Urteil hat der EuGH (Urt. v. 12.01.2023, C‑154/21) die bisher umstrittene Frage, ob sich der Auskunftsanspruch nach der DSGVO nur auf die Mitteilung der Kategorien der Datenempfänger bezieht oder, ob man auch die konkrete Identität der Empfänger offenlegen muss, beantwortet.

Demnach reicht es zum Beispiel nicht aus, zu sagen, die personenbezogenen Daten sind zu Werbezwecken an eigene Kunden weitergegeben worden. Vielmehr ist konkret der jeweilige Kunde namentlich zu benennen.

Neben der Mitteilung weiterer Informationen zur konkreten Datenverarbeitung ist dem Betroffenen im Rahmen des datenschutzrechtlichen Auskunftsanspruches folglich auch die Identität der Empfänger der Daten offenzulegen und mitzuteilen.

 

Die Pflicht, dem Betroffenen auch die Identität der Empfänger der personenbezogenen Daten mitzuteilen, besteht nur in zwei Ausnahmefällen nicht:

• Erstens, wenn es dem Verantwortlichen nicht möglich ist, den Empfänger zu identifizieren.
• Zweitens, wenn das Auskunftsersuchen offenkundig unbegründet oder exzessiv (z.B. im Fall von häufiger Wiederholung) ist (sog. „Querulantenschutz“).

In diesen beiden Fällen kann man als Verantwortlicher ausnahmsweise die Auskunft über die Identität der Empfänger verweigern und sich auf die Mitteilung der bloßen „Kategorien der Empfänger“ beschränken. Für das Vorliegen dieser Ausnahmeumstände ist man als Unternehmen allerdings beweisbelastet.

 

⇒ Achtung: Erfüllt die Auskunftserteilung die oben dargestellten hohen und zugleich „betroffenenfreundlichen“ Anforderungen nicht, drohen Klagen und die Geltendmachung von Schadensersatzansprüchen oder sogar empfindliche Sanktionen wie z.B. Geldbußen von bis zu 20 Millionen EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (vgl. Art. 83 Abs. 5 DSGVO).

 

 

Fazit zum DSGVO-Auskunftsanspruch

 

Kommt man als Unternehmen einem Auskunftsersuchen nicht rechtzeitig oder nur ungenügend nach, verletzt man seine datenschutzrechtlichen Pflichten nach der DSGVO. Dann drohen unnötige und zugleich kostspielige Rechtsstreitigkeiten, Bußgelder oder auch Schadensersatzforderungen sowie eine Überprüfung durch die zuständige Datenschutzbehörde. Daher ist es ratsam, diesen Problemen mit einem funktionierenden und umfassenden Datenschutzkonzept, das den Umgang und die Vorgehensweisen im Falle von Auskunftsersuchen durch Betroffene festlegt, vorzubeugen.

 

 

Kontakt

 

Unsere Anwälte für Datenschutzrecht beraten Sie gerne zum Datenschutzkonzept und zum „Auskunftsanspruch DSGVO“:  Nutzen Sie unser Kontaktformular oder rufen Sie uns an.

 

 

 

Weitere Informationen

 

Weitere Tipps und Informationen zum Datenschutzrecht und zur DSGVO für Unternehmen finden Sie hier. Unser DSGVO FAQ mit den wichtigsten Fragen und Antworten zur DSGVO und zur Datenschutz-Compliance finden Sie hier.

 

 

 

© Rechtsanwältin Isabelle B. Lehmann, B.A. und Rechtsanwalt Christian Weber, WeSaveYourCopyrights Rechtsanwaltsgesellschaft mbH, Frankfurt am Main, 20.02.2023

 

 

verwandte Suchbegriffe: DSGVO Auskunftsanspruch, Datenschutz Auskunftsanspruch, Auskunftsanspruch DSGVO, Datenschutz Auskunft, datenschutzrechtlicher Auskunftsanspruch, Auskunftsanspruch Datenschutz, Datenschutzkonzept, Umgang mit Betroffenenrechten, Auskunftsverlangen DSGVO, Auskunftspflicht DSGVO, datenschutzrechtliches Auskunftsverlangen, datenschutzrechtlicher Auskunftsanspruch, datenschutzrechtliche Auskunftspflicht, Datenschutzrecht, Anwalt für Datenschutzrecht