Auskunft richtig erteilen – innerhalb der Frist

Fachbeitrag

Die verantwortlichen Stellen tun gut daran, nicht nur einen Prozess für die Bearbeitung von Auskunftsersuchen zu etablieren, sondern vor allem dafür Sorge zu tragen, dass dieser tatsächlich unter Einhaltung der Frist funktioniert. Wir beleuchten die Folgen einer nicht oder nicht rechtzeitig erteilten Auskunft.

Der Prozess zur Auskunft

Am Anfang steht die Analyse:

  • Wer wird um Auskunft (Kunden, Lieferanten, Beschäftigte, Sonstige) gemäß Art. 15 Abs. 1 DSGVO ersuchen?
  • Auf welchen Kanälen (Post, Mail, Fax, Online) kommen Auskunftsgesuche an und gibt es pro Kanal mehrere Anlaufstellen?
  • Wie werden die vorhandenen Anlaufstellen pro Kanal betreut? Wird sichergestellt, dass die eingehenden Meldungen auch empfangen und an die zuständige, bearbeitende Stelle weitergeleitet werden?
  • Kennt jeder seine Funktion in der Prozesskette?
  • Wird die vollständige Bearbeitung des Auskunftsersuchens gemäß Art. 15 Abs. 1 lit. a bis h DSGVO sichergestellt?
  • Wie wird der Gesamtvorgang gemäß Art. 5 Abs. 2 DSGVO dokumentiert?

Der Personenkreis „Sonstige“ wird oben erwähnt, weil es immer wieder Personen gibt, die sich nicht mehr ganz sicher sind, ob sie in irgendeiner Beziehung zum Verantwortlichen standen, d.h. ob es zu einer Datenerhebung kam und deshalb sicherheitshalber beim Verantwortlichen um Auskunft nach Art. 15 Abs. 1 DSGVO nachfragen.

Daneben gibt es aber auch Personen, die ganz bewusst z.B. Newsletter pro forma bei einer Vielzahl von Unternehmen abonnieren, um dann an eben diese Firmen wohlwissend, welche Daten verarbeitet werden, Auskunftsersuchen zu stellen. Sie tun dies mit dem Ziel bei

  • Untätigkeit der Unternehmen,
  • nicht richtiger/vollständiger Auskunft der Unternehmen,
  • nicht rechtzeitiger Auskunft der Unternehmen

mit Hilfe von Anwälten Ansprüche geltend zu machen.

Wer ist betroffene Person?

Man kann zu diesem oben beschriebenen Gebaren eines gewissen Personenkreises stehen wie man will, eines steht fest, das datenschutzrechtliche Auskunftsrecht ist das Magna-Charta-Grundrecht der DSGVO. Ohne dieses sind alle anderen Betroffenenrechte aus Art. 12 ff DSGVO und Art. 34 DSGVO nichts und laufen ins Leere, will heißen sie können nicht vollumfänglich wahrgenommen werden.

Betroffener i.S. der DSGVO kann jeder EU-Bürger sein, aber auch ein Bürger eines Drittlandes, der in der EU Waren von einem Unternehmen eines Drittlandes bezieht. Dies auch dann, wenn das Unternehmen keinen Sitz innerhalb der EU hat und gem. Art. 3 Abs. 2 DSGVO der räumliche Anwendungsbereich der DSGVO eröffnet ist (Marktortprinzip), d.h. es können dem Betroffenen aus dem Drittland innerhalb der EU mehr Rechte zustehen, als er diese in seinem Heimatland hätte.

Inhaltliche Ausgestaltung der Auskunft

Gibt es formelle oder inhaltliche Anforderungen an das Auskunftsersuchen?

Das Auskunftsersuchen muss nicht substantiiert begründet werden und ist nicht formgebunden. Es ist auch nicht notwendig, dass die betroffene Person geschäftsfähig ist.

Was beinhaltet der Auskunftsanspruch?

Die Reichweite des Auskunftsanspruches erstreckt sich auf sämtliche zu der betroffenen Person gespeicherten personenbezogenen Daten gem. Art. 4 Nr. 1 DSGVO , inkl. Metadaten nach Art. 15 Abs. 1 S. 1 DSGVO. Mit dem Verweis auf früher erteilte Auskünfte kann der Anspruch auf Auskunft nicht verweigert werden, weil sich seit dem Zeitpunkt der ursprünglichen Auskunftserteilung die Daten geändert haben könnten. Darüber hinaus ist auch die Auskunft nicht auf eine einmalige Beantwortung beschränkt, anders als die Kopie nach Art. 15 Abs. 3 DSGVO.

Wann kann die Auskunft verweigert werden?

  • Offenkundig unbegründetes Auskunftsersuchen oder rechtsmißbräuchliche
    Liegt ein offenkundig unbegründetes Auskunftsersuchen oder ein exzessiver Antrag auf Auskunft vor, kann der Verantwortliche nach Art. 12 Abs. 5 S. 2 DSGVO die Auskunft verweigern. Das bedeutet jedoch nicht, dass der Verantwortliche einfach untätig bleiben kann. Im Fall des offenkundig unbegründeten Auskunftsersuchens erfolgt eine Negativauskunft und auch die Auskunftsverweigerung, wenn die Auskunft exzessiv, also mehrmals pro Jahr verlangt wird, muss nach meinem Dafürhalten kundgetan werden. Der Verantwortliche kann die Auskunft verweigern oder ein Entgelt hierfür verlangen. Wäre der Betroffene bereit dieses Entgelt zu bezahlen, dann könnte die Auskunftsverweigerung rechtsmißbräuchlich sein. Damit dieses Wahlrecht Sinn macht, muss der Betroffene zuvor Kenntnis über die Einschätzung des Verantwortlichen zu dem Auskunftsersuchen haben. Darüber hinaus besagt Art. 12 Abs. 5 S. 3 DSGVO, dass der Verantwortliche den Nachweis für den exzessiven Gebrauch bzw. den offenkundigen unbegründeten Charakter des Antrags bringen muss. Hieraus ergibt sich die Notwendigkeit, die betroffene Person darüber zu informieren, dass man das Auskunftsersuchen als offenkundig unbegründet ansieht und daher verweigert. Dies entspricht im Übrigen auch dem Transparenzgrundsatz in Art. 5 Abs. 1 a DSGVO.
  • Forschungs- oder Statistikzwecke
    Über die Öffnungsklausel in Art. 23 DSGVO werden in §§ 27, 28 BDSG weitere Auskunftsbeschränkungen festgelegt, wenn hierdurch Forschungs- oder Statistikzwecke unmöglich gemacht oder ernsthaft beeinträchtigt werden oder aus Archivzwecken § 28 II BDSG.
  • Gesetzliche oder anderweitige Aufbewahrungspflichten
    Auch kein Auskunftsrecht besteht für die Daten, die nach § 34 Abs. 1 Nr. 2 lit. a, b BDSG aufgrund gesetzlicher oder anderweitiger Aufbewahrungspflichten oder aus Gründen der Datenschutzkontrolle oder Datensicherung noch gespeichert werden. Des Weiteren muss die Auskunftserteilung zusätzlich einen unverhältnismäßigen Aufwand erfordern sowie die Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen sein, damit das Auskunftsrecht nicht greift.

Welche Fristen sind zu beachten?

In Art. 12 Abs. 3 und 4 DSGVO ist das Beantwortungsgebot sowie das Beschleunigungsgebot festgelegt. Dies gilt sowohl für die Positiv- als auch Negativantwort. Wobei unter Positivantwort auch schon das teilweise Nachkommen des Antrags verstanden wird. Was bedeutet dies:

  • Grundsätzlich hat der Verantwortliche unverzüglich zu handeln, d.h. die Information an den Betroffenen und die Erfüllung des Betroffenenrechtes (z.B. Löschung) also beides hat unverzüglich zu erfolgen.
  • Der Verantwortliche darf dafür höchstens einen Monat ab Antragseingang benötigen. Die Monatsfrist beginnt ab Zugang des Auskunftsersuchen.
  • Für eine Positivantwort darf der Verantwortliche gem. Art. 12 Abs. 3 S. 2 DSGVO die Auskunftsfrist um weitere zwei Monate verlängern, wenn dies für die Beantwortung erforderlich ist. Die Gründe hierfür sind jedoch restriktiv auszulegen. Eine routinemäßige Verlängerung scheidet aus, vielmehr ist auf den Einzelfall, dessen Komplexität und der sich hieraus ergebende Arbeitsaufwand abzustellen.

Wie die Berechnung der Monatsfrist im Einzelfall erfolgt, hatten wir im Beitrag „Die Uhr tickt! Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage“ anhand eines Beispiels dargestellt.

Schadensersatz bei Fristversäumnis

Wird die Monatsfrist durch den Verantwortlichen versäumt, dann tritt Verzug ohne Mahnung gem. § 286 BGB i.V.m. Art. 12 Abs. 3 S. 1 DSGVO ein, weil sich die Leistung nach dem Kalender berechnen lässt. Nimmt sich der Betroffene daher nach Ablauf der Frist einen Anwalt zur vorgerichtlichen Geltendmachung des Auskunftsanspruches, kann er die hierfür angefallenen Kosten als Verzugsschaden gem. § 280 i.V.m. § 286, 288 Abs. 4 BGB geltend machen. Bei den Anwaltskosten handelt sich um Mehrkosten, die durch den Verzug verursacht wurden und gem. § 249 BGB zu ersetzen sind. Das LG München I hat den Streitwert für die vorgerichtliche Tätigkeit des Anwaltes auf 5.000 EUR festgelegt und zwar unabhängig von den möglichen datenschutzrechtlichen Folgen bei einer Beschwerde an die Aufsichtsbehörde.

Ein funktionierender Prozess, der sicherstellt, dass eingehende Auskunftsersuchen termingerecht bearbeitet werden, ist daher mehr als sinnvoll.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

7 Kommentare zu diesem Beitrag

  1. Richtet sich die gesamte Fristberechnung nicht nach der „Verordnung (EWG, Euratom) Nr. 1182/71 des Rates vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine“ statt nach BGB?

    • Vielen Dank für den Hinweis. Wir haben den Beitrag an der entsprechenden Stelle angepasst und insbesondere um einen Artikel ergänzt, der sich intensiv mit der Berechnung der Frist nach der Fristenverordnung auseinandersetzt.

  2. Sie zitieren den § 34 Abs. 1 Nr. 2 lit a,b nicht vollständig.
    Lt. Mitteilung unserer Aufsichtsbehörde besteht die Einschränkung nach § 34 Abs. 1 Nr. 2 lit. a, b nur unter Beachtung des ganzen Sachverhaltes (….und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.)
    Kann die Aufsichtsbehörde keinen unverhältnismäßigen Aufwand erkennen, wären auch diese Daten zu beauskunften.

  3. Guten Tag, gem. Art. 15 Abs. 1 (b) sind „lediglich“ die Kategorien der verarbeiteten personenbezogenen Daten gemeinsam mit Zweck, Empfänger, Speicherdauer usw. für das Auskunftsersuchen erforderlich. Aus welchem Passus ergibt sich die Notwendigkeit des Auslesens von Metadaten und wie wird das Auskunftsersuchen unter Berücksichtigung der Metadaten beantwortet? Vielen Dank!

    • Die Verpflichtung die Metadaten an den Auskunftsersuchenden herauszugeben, ergibt sich aus Art. 15 Abs. 1 Halbsatz 2 Var. 2 DSGVO. Die Metadaten sind pro Verarbeitungstätigkeit anzuführen.

      Mitgeteilt werden müssen nicht nur die Kategorien der Daten, sondern vielmehr die Daten im Klartext, denn nur durch die Kenntnis dieser konkreten Daten kann der Betroffene weitere Rechte geltend machen. Die Auskunft sollte i.d.R. auf die Weise gegeben werden, wie diese vom Betroffenen verlangt wird, d.h. in der Regel in Textform, per Brief, Telefax oder E-Mail. Bei letzterem ist jedoch zu beachten, dass dies transportverschlüsselt, bei sensiblen Daten: zusätzlich Ende-zu-Ende-verschlüsselt erfolgt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.