Diese Auskunftsrechte haben Betroffene nach der DSGVO

Fachbeitrag

Wie das BDSG in der Fassung bis zum 25.05.2018 (BDSG-alt) sieht auch die Datenschutz-Grundverordnung (DSGVO) ein Auskunftsrecht für betroffene Personen vor (Art. 15 DSGVO). Das Bestehen eines Auskunftsrechts für Betroffene ist aus datenschutzrechtlicher Sicht daher keine Neuigkeit. In Bezug auf die Anforderungen und den Inhalt der Auskunft gehen die Bestimmungen der DSGVO jedoch über die Bestimmungen des BDSG-alt hinaus. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Inhalt des Auskunftsrechts nach Art. 15 DSGVO

Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und darüber hinausgehende Informationen zu deren Verarbeitung.

Das Auskunftsrecht untergliedert sich demnach in zwei Stufen. Zunächst können betroffene Personen von dem Verantwortlichen eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Werden keine personenbezogenen Daten eines Antragstellers verarbeitet, ist der Antragsteller darüber zu informieren. Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten. Zusätzlich hat der Verantwortliche nach Art. 15 Abs. 1 DSGVO auch die folgenden Informationen bereitzustellen:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Widerspruchsrecht gegen diese Verarbeitung
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren

Werden personenbezogene Daten in Drittländer übermittelt, haben betroffene Personen darüber hinaus nach Art. 15 Abs. 2 DSGVO das Recht, über die in Zusammenhang mit der Datenübermittlung getroffenen geeigneten Garantien gemäß Art. 46 DSGVO (z.B. vereinbarte Standard-Datenschutzklauseln oder verbindliche interne Datenschutzvorschriften) informiert zu werden.

Form und Frist der Auskunftserteilung

Nach Art. 12 Abs. 1 der Datenschutz-Grundverordnung können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden. Erfolgt die Auskunftserteilung mündlich, muss die Identität der betroffenen Person jedoch in anderer Form nachgewiesen werden. Wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch stellt, sind die zur Verfügung zu stellenden Informationen gemäß Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z.B. als PDF). In Erwägungsgrund 63 zur Datenschutz-Grundverordnung heißt es diesbezüglich, dass der Verantwortliche nach Möglichkeit den Fernzugang zu einem sicheren System bereitstellen können sollte, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. In jedem Fall ist bei der Auskunftserteilung darauf zu achten, dass angemessene Sicherheitsanforderungen eingehalten werden.

Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, sind ihr die zu erteilenden Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann in komplexen Fällen um zwei Monate verlängert werden. Über Fristverlängerungen ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang ihres Antrags zu informieren.

Häufigkeit und Kosten der Auskunftserteilung

Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Nach Art. 12 Abs. 5 DSGVO hat der Verantwortliche diese Informationen grundsätzlich kostenlos zur Verfügung zu stellen.

Verlangt die betroffene Person über die kostenlos zur Verfügung gestellte Kopie hinaus weitere Kopien, kann der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Außerdem kann der Verantwortliche im Falle unbegründeter oder exzessiver Anträge durch eine betroffene Person gemäß Art. 12 Abs. 5 DSGVO entweder ein angemessenes Entgelt verlangen oder eine Auskunftserteilung verweigern. Allerdings hat der Verantwortliche auch den Nachweis dafür zu erbringen, dass der Antrag ausnahmsweise als unbegründet eingestuft wird. Nach Art. 12 Abs. 4 DSGVO ist die betroffene Person über die Gründe der verweigerten Auskunftserteilung zu informieren.

Dies bedeutet jedoch nicht, dass der Verantwortliche der betroffenen Person nach einmaliger Auskunftserteilung keine weiteren kostenlosen Auskünfte mehr zu erteilen braucht. In Erwägungsgrund 63 zur DSGVO heißt es, dass betroffene Personen ihr Recht auf Auskunftserteilung in angemessenen Abständen wahrnehmen können sollten.

Ausnahmen vom Auskunftsrecht

Auskunftsersuchen sind durch den Verantwortlichen nicht in jedem Fall zu beantworten. Neben der Möglichkeit, eine Auskunftserteilung bei unbegründeten oder exzessiven Anträgen zu verweigern, können Verantwortliche, die eine große Menge von Informationen über die betroffene Person verarbeiten, gemäß Erwägungsgrund 63 zur Datenschutz-Grundverordnung verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung zu erfolgen hat. Gemäß Art. 15 Abs. 4 DSGVO kann von einer Auskunftserteilung ausnahmsweise auch dann abgesehen werden, wenn dies die Rechte und Freiheiten anderer Personen beeinträchtigen würde.

Darüber hinaus enthält das BDSG-neu u.a. in § 34 einige Einschränkungen und Ausnahmen zum Auskunftsrecht nach Art. 15 DSGVO. Inwiefern eine Einschränkung des Art. 15 DSGVO durch den nationalen Gesetzgeber möglich ist, ist aufgrund des bestehenden Anwendungsvorrangs der DSGVO im konkreten Einzelfall zu entscheiden. Das gilt jedenfalls für die Bereiche, in denen Art. 15 DSGVO nicht direkt einigen der zahlreichen Öffnungsklauseln der Datenschutz-Grundverordnung unterfällt.

Handlungsempfehlung

Für Verantwortliche im Sinne der Datenschutz-Grundverordnung empfiehlt es sich, rechtzeitig organisatorische Vorkehrungen zu treffen, um Auskunftsersuchen schnell und vollständig beantworten zu können. Denn Gemäß der Art. 12 Abs. 1 und Art. 5 Abs. 2 DSGVO haben Verantwortliche bereits vorbereitend geeignete organisatorische Maßnahmen zu treffen, um betroffenen Personen beantragte Auskünfte fristgerecht und in einer geeigneten Form zur Verfügung zu stellen.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

2 Kommentare zu diesem Beitrag

  1. „Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.“

    Was bedeutet das denn genau? Es klingt so, als ob die konkreten Datensätze kopiert werden müssen. In 1c ist aber nur von den Kategorien personenbezogener Daten die Rede.

    • Nach Art. 15 Abs. 1, 2. Hs. DSGVO hat der Verantwortliche der betroffenen Person Auskunft über die verarbeiteten personenbezogenen Daten – die konkret verarbeiteten personenbezogenen Daten – zu erteilen. Darüber hinaus sind dem Betroffenen die Informationen aus Art. 15 Abs. 1 lit. a) – h) DSGVO zur Verfügung zu stellen. Nach Art. 15 Abs. 1 lit. b) DSGVO hat der Verantwortliche dem Betroffenen ergänzend auch die Kategorien der personenbezogenen Daten mitzuteilen, die verarbeitet werden. Dies kann z.B. besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO betreffen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.