- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

So gehen Sie richtig mit Auskunftsersuchen um

Ohne das Recht auf Auskunft wäre Datenschutz ein zahnloser Tiger. Denn nur wer weiß, was ein anderer über ihn weiß, kann sich frei entfalten. Aus Sicht desjenigen, der ein Auskunftsbegehren beantworten muss, gibt es jedoch einige Fallstricke, die er im Auge behalten sollte.

Geht im Unternehmen oder in der Behörde ein Auskunftsersuchen ein, ist Ignorieren die schlechteste aller Lösungen. Das Gesetz fordert, dass der Verantwortliche so oder so eine Antwort erteilen muss, und zwar spätestens innerhalb eines Monats. Diese Frist ist neu unter der Datenschutz-Grundverordnung [1] (DSGVO).

Nur in begründeten Ausnahmen ist eine Verlängerung möglich (Art. 12 Abs. 3 DSGVO). Abzuwarten und zu versuchen, das Ganze auszusitzen, ist jedenfalls keine Option, will man es nicht auf eine Geldbuße [2] anlegen.

Fünf zentrale Fragen

Bereiten Sie daher anhand der folgenden fünf Überlegungen die Antwort vor:

Verarbeiten wir überhaupt Daten des Anfragenden?

Klären Sie zunächst, ob im konkret angefragten Fall überhaupt eine Verarbeitung von Daten über die betroffene Person stattfindet. Das ist oft leichter gesagt als getan. Grundvoraussetzung ist nämlich, dass der Verantwortliche einen Überblick darüber hat, wo er welche Daten verarbeitet (siehe dazu auch Ehmann, Heft 06/18, S. 1).

Hier ist also schon eine Menge Vorarbeit erforderlich, die aber auf jeden Fall getan werden muss, da sonst z.B. auch kein Verzeichnis der Verarbeitungstätigkeiten [3] möglich ist. Ist klar, dass der Verantwortliche Daten der betroffenen Person verarbeitet, ist die erste Hürde genommen, und Sie können gleich zur Frage springen „Können wir die Auskunft vielleicht verweigern?“

Negativauskunft

Liegen keine Daten über den Anfragenden vor, muss der Verantwortliche ihm auch dies mitteilen. Das ergibt sich aus Art. 15 Abs. 1 erster Halbsatz DSGVO. Der dahinterstehende Gedanke ist, dass sich der Anfragende nur so ein umfassendes Bild darüber verschaffen kann, wo überall Daten über ihn im Umlauf sind.

Bei einer solchen sogenannten Negativauskunft sind weitere Gesichtspunkte zu beachten: Denn die Anfrage enthält ja selbst personenbezogene Daten [4], etwa den Namen des Absenders und seine Anschrift. Diese Daten muss der Verantwortliche verarbeiten, um die Antwort erteilen zu können.

Denken Sie deshalb daran, die allgemeinen Datenschutz-Grundsätze anzuwenden und insbesondere die Datenschutz-Informationen nach Art. 13 DSGVO [5] zur Verfügung zu stellen.

Die Hinweise zum Datenschutz müssen die üblichen Angaben nach Art. 13 DSGVO enthalten. Dazu gehört u.a. eine Angabe, wie lange das Unternehmen oder die Behörde Auskunftsersuchen und deren Beantwortung aufbewahrt.

Dass es sinnvoll ist, die Auskunftserteilung und auch Negativauskünfte für eine gewisse Zeit zu speichern, ergibt sich aus der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Denn nur so kann das Unternehmen belegen, dass es die Datenschutzgesetze einhält.

Zudem kann es sich verteidigen, falls es wegen der Antwort zu einer Auseinandersetzung mit der Aufsichtsbehörde kommen sollte.

Beispielformulierung für eine Negativauskunft, falls keine Daten über den Auskunft Begehrenden gespeichert sind:

Sehr geehrte/r Frau/Herr …,

wir haben keine personenbezogenen Daten zu Ihrer Person gespeichert. Davon ausgenommen sind diejenigen Daten, die Sie uns selber in Ihrer Bitte um Auskunft mitgeteilt haben.
Unsere Hinweise zum Datenschutz finden Sie … (z.B. nachfolgend, auf der Rückseite, in angehängter Datei, auf der Internetseite www.xyz.de/datenschutz).

Speicherfrist: drei Jahre

Und wie lange sollte dieser Vorgang gespeichert werden? Eine unbefristete Speicherung ist, wie sonst auch, nicht zulässig. Als Richtwert lässt sich auf die Verjährung zurückgreifen – denn nach Ablauf der Verjährung kann ein Betroffener keine Ansprüche mehr aus einer Nicht- oder Falscherteilung einer Auskunft geltend machen.

Über eine etwas komplizierte Verweisungskette ergibt sich eine Verjährungsfrist von drei Jahren. Das besagt § 31 Abs. 2 Nr. 1 Ordnungswidrigkeitengesetz (OWiG), der anwendbar ist aufgrund einer Verweisung in § 41 Abs. 1 Bundesdatenschutzgesetz (BDSG) unter Verweis auf Art. 83 Absatz 5 Buchst. b DSGVO.

Somit sollten Verantwortliche eine Negativauskunft für drei Jahre nach der Auskunftserteilung aufbewahren und danach löschen [6].

Können wir die Auskunft vielleicht verweigern?

Normalerweise wird ein Verantwortlicher die Auskunft erteilen müssen. Ausnahmen gibt es nur bei exzessiven Anträgen, also wenn der Betroffene seine Anfrage z.B. ohne nachvollziehbaren Anlass mehrmals im Jahr wiederholt (Art. 12 Abs. 5 Buchst. b DSGVO).

Dabei liegt die Beweislast hierfür beim Verantwortlichen, nicht beim Anfragenden.

Ausnahmen im BDSG

Weitere Ausnahmen regeln Sondervorschriften, die nur in Deutschland zur Anwendung kommen. So besteht beispielsweise keine Auskunftspflicht,

Die Geheimhaltung kann sich aus einer Rechtsvorschrift oder aus „ihrem Wesen“, insbesondere aus „überwiegend berechtigten Interesse eines Dritten“, ergeben. Darauf können sich in erster Linie Berufsgeheimnisträger [7] wie Rechtsanwälte oder Ärzte berufen.

Weitere Spezialfälle

Darüber hinaus gibt es Ausnahmen für Spezialfälle in folgenden Bereichen:

Kommt eine dieser Ausnahmen zur Anwendung, muss der Verantwortliche dies begründen. Die Gründe muss er dem Betroffenen mitteilen (Art. 12 Abs. 4 DSGVO).

Welche Inhalte müssen wir mitteilen?

Die Inhalte der Auskunft richten sich nach dem Auskunftsbegehren des Betroffenen.

Maximal besitzt der Betroffene einen gesetzlichen Anspruch auf die folgenden Informationen (Art. 15 Abs. 1 DSGVO):

PRAXIS-TIPP: Der aufmerksame Leser erkennt etliche Gemeinsamkeiten zwischen diesen Angaben und denen der Datenschutz-Informationen nach Art. 13, 14 DSGVO sowie dem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Tatsächlich handelt es sich weitgehend um dieselben Angaben.

Ein Verantwortlicher kann sich also Zeit und Mühen sparen, wenn er die Angaben untereinander abgleicht.

In welcher Form muss die Auskunft erfolgen?

Die betroffene Person hat Anspruch darauf, „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zu erhalten (Art. 15 Abs. 3 DSGVO). Der Verantwortliche muss die Daten so herausgeben, wie sie bei ihm vorliegen.

In der Praxis kommen Unternehmen und Behörden dem am einfachsten nach, indem sie den Datensatz oder die Akte über den Betroffenen ausdrucken bzw. kopieren und übergeben.

Bei der Form der Auskunft besteht jedoch ein Spielraum. Sie muss nicht so wie früher unbedingt schriftlich erfolgen. Das Gesetz stellt beispielsweise fest, dass Anträge, die in elektronischer Form eingehen, auch elektronisch beantwortet werden dürfen, soweit der Betroffene nichts anderes angibt (Art. 15 Abs. 3 Satz 3 DSGVO). Denkbar ist dann etwa die Übermittlung einer PDF-Datei.

Im besten Fall erhält der Betroffene direkten Einblick in die eigenen Daten über einen Fernzugriff, etwa über eine Weboberfläche. Wichtig ist hierbei, dass alle Kommunikationswege angemessen geschützt sind.

Zudem ist darauf zu achten, dass die Datenkopie vollständig ist. Teile zu schwärzen oder wegzulassen, ist nur zulässig,

Auch in diesen Fällen muss der Verantwortliche die Auskunft jedoch erteilen. Nur die sensiblen Passagen darf er weglassen oder unkenntlich machen.

Die Auskunft muss kostenfrei erfolgen. Lediglich in Ausnahmefällen dürfen Verantwortliche Kosten in Rechnung stellen, und dann auch nur angemessene Verwaltungskosten, wenn der Betroffene z.B. eine zweite oder „weitere Kopie“ verlangt oder wenn es sich um einen exzessiven Antrag handelt (Art. 12 Abs. 5 DSGVO).

Ist der Anfragende berechtigt?

Auskunft darf nur derjenige erhalten, um dessen Daten es geht. Der Verantwortliche muss verhindern, dass Unberechtigte Informationen erhalten, die nicht für sie bestimmt sind. Bekäme ein Unberechtigter eine Auskunft, läge regelmäßig eine Datenpanne vor, die der Verantwortliche bei der Behörde melden müsste (Art. 33 DSGVO).

Um so etwas zu vermeiden, sind klare interne Vorgaben nötig, wie eine Identitätsprüfung stattzufinden hat. Die DSGVO stellt hier allerdings keine allzu hohen Anforderungen. Laut Gesetz darf eine Auskunft bereits erteilt werden, soweit „keine begründeten Zweifel an der Identität“ des Anfragenden bestehen (vgl. Art. 12 Abs. 6 DSGVO).

Solche begründeten Zweifel können sich z.B. ergeben, wenn die Anfrage von einer Fantasie-E-Mail-Adresse kommt oder es Abweichungen zur hinterlegten Anschrift gibt.

Was können Sie als Datenschutzbeauftragter empfehlen, wenn so ein Fall vorliegt? Bei einem persönlichen Gespräch könnte man sich einen Ausweis mit Foto vorzeigen lassen. In anderen Fällen können die Kollegen nach Daten fragen, die bereits im System hinterlegt sind, und diese vergleichen, etwa Geburtsdatum oder Kundenummer.

Bei einem elektronischen Antrag könnte man sich die Postanschrift bestätigen lassen. Soweit der Betroffene Auskunft über besonders sensible Daten begehrt (etwa Gesundheitsdaten), ist es hilfreich, wenn der Anfragende freiwillig eine Kopie seines Ausweises bereitstellt. In dieser Kopie dürfen dann alle nicht benötigten Angaben geschwärzt sein.

Eine weitere wichtige Maßnahme, um das Risiko einzudämmen, ist, die Auskunft immer nur an diejenige Adresse zu übermitteln, die bereits vor dem Auskunftsersuchen für den Betroffenen hinterlegt war.

Fazit: Ersuchen ernst nehmen!

Auskunftsersuchen sind ernst zu nehmen. Denn unvollständige, unterlassene oder zu späte Antworten sind von hohen Geldbußen bedroht (bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes gemäß Art. 83 Abs. 5 Buchst. b DSGVO).

Sorgen Sie deshalb vor: Wissen die Mitarbeiter, wie sie in solchen Fällen vorzugehen haben, und ist klar festgelegt, wer für was verantwortlich ist, lässt sich die Auskunft fristgerecht und sicher erteilen.

Andreas Grimme
Andreas Grimme ist Mitarbeiter der fox-on Datenschutz GmbH. Er berät andere Datenschutzbeauftragte und Unternehmen in Datenschutzfragen.