Negativauskunft: Informationspflicht bei Bearbeitung des Auskunftsersuchens?

Fachbeitrag

Inzwischen trudeln sie ein. Die Auskunftsersuchen besorgter Menschen, die gerne wissen möchten, welche personenbezogenen Daten das Unternehmen so über sie gespeichert hat. Das ist auch ihr gutes Recht, denn es steht jeder betroffenen Person nach Art. 15 Abs. 1 DSGVO offen, Auskunft über verarbeiteten Daten zu ihrer Person zu verlangen. Was aber, wenn das Unternehmen tatsächlich gar keine Daten hat?

Negativauskunft: Wir haben keine Daten – oder doch?!

Nach Eingang des Auskunftsersuchens geht im Unternehmen die Suche nach einschlägigen Daten los. Die entsprechenden Abteilungen werden gefragt, welche Daten sie über die bestimmte Person gespeichert haben. Und die Antwort ist oftmals erstaunlich: Keine! Schön, denkt man sich zunächst. Denn die Mitteilung, dass keine Daten gespeichert sind, sollte ja schnell über die Bühne gebracht werden können.

Aber halt! So ganz stimmt das ja nicht. Denn mit dem Auskunftsersuchen selbst hat das Unternehmen personenbezogene Daten erhalten. Und diese Daten wurden in der Regel im Unternehmen auch in den Systemen erfasst, also gespeichert, sprich verarbeitet. Was bedeutet, dass streng genommen mit jeder Negativauskunft gleichzeitig auch Informationen über die Datenverarbeitung mitgeteilt werden müssen. Um sicher zu gehen ist also eine umfassende Information der betroffenen Person nach Art. 13 DSGVO erforderlich. Bei Anfragen, die online eingehen, können diese Informationen in der Regel bereits mit der Datenschutzerklärung der Website erteilt werden.

Welche Informationen Verantwortliche den Betroffenen in diesem Zusammenhang ansonsten zur Verfügung stellen müssen und welche formalen Anforderungen gelten, haben wir bereits hier dargestellt.

Und was machen wir jetzt damit?

Im Anschluss stellt sich die nächste Frage. Was sollte das Unternehmen mit dem Auskunftsersuchen machen? Schließlich ist das Unternehmen gemäß Art. 5 Absatz 2 DSGVO zur Rechenschaft verpflichtet und muss im Zweifel nachweisen können, dass es die Betroffenenrechte gewahrt hat. Es empfiehlt sich also (so auch die LDI NRW), sowohl das Auskunftsersuchen, als auch die Antwort zu speichern. Und zwar so lange, bis Verjährung eingetreten ist.

Die Frist berechnet sich durch den Verweis in § 41 BDSG für Verstöße nach Art. 83 Absatz 4 bis 6 DSGVO nach § 31 OWiG und beträgt damit 3 Jahre. Die Frist beginnt, sobald die Handlung beendet ist, also mit Auskunftserteilung. Nach Ablauf der 3 Jahre müssen auch diese Daten wieder gelöscht werden und über die Dauer der Speicherung muss widerum schon im Rahmen der Negativauskunft informiert werden!

Auskunftserteilung – Muss das sein?

Das bedeutet wieder einen immensen Mehraufwand (DSGVO sei Dank) und es empfiehlt sich daher, bei Eingang eines solchen Auskunftsersuchens zunächst zu prüfen, ob überhaupt Auskunft erteilt werden muss. Vielleicht kann man sich das alles ja sparen. Folgende Fragen sollten Sie sich daher stellen:

  1. Bin ich überhaupt zur Auskunft verpflichtet?

Wer nicht zuständig ist, muss auch nichts machen. Insbesondere im Fall einer Auftragsverarbeitung ist der Auftragnehmer zwar in der Regel verpflichtet den Auftraggeber über das Auskunftsersuchen zu benachrichtigen, erteilt jedoch selbst keine Auskunft – werfen Sie mal einen kurzen Blick in Ihren Vertrag!

  1. Ist das Auskunftsrecht ausgeschlossen?

In einigen Fällen ist das Auskunftsrecht auch gesetzlich eingeschränkt. Sie können die Auskunft beispielsweise dann verweigern, wenn die Anfrage offenkundig unbegründet oder aufgrund häufiger Wiederholung exzessiv ist (Art. 12 Absatz 5 lit. b DSGVO). Oder zum Beispiel dann, wenn Sie nur solche Daten gespeichert haben, die aufgrund von Aufbewahrungspflichten nicht gelöscht werden dürfen und wenn die Auskunftserteilung für den Verantwortlichen einen unverhältnismäßigen Aufwand bedeuten würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist (§ 34 Absatz 1 Ziffer 1 lit. a BDSG). Daneben gibt es weitere in den §§ 27 Absatz 2, 28 Absatz 2, 29 Absatz 1 Satz 2 und 34 BDSG geregelte Fälle.

Unternehmen können außerdem verlangen, dass die betroffene Person konkretisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich das Auskunftsersuchen bezieht, wenn eine große Menge von Informationen über die betroffene Person verarbeitet wird.

  1. Hat sich die anfragende Person ausreichend identifiziert?

Bestehen hier berechtigte Zweifel an der Identität der anfragenden Person, darf um weitere Informationen gebeten werden. Hierzu zählt beispielsweise die Anschrift oder das Geburtsdatum. In besonderen Fällen (beispielsweise, wenn es sich um sensible Daten handelt) darf auch eine Ausweiskopie angefordert werden.

Das Dilemma bei Auskunftsersuchen

Ein einfaches Auskunftsverlangen kann also dazu führen, dass ein Unternehmen, welches zunächst keine personenbezogenen Daten über eine Person gespeichert hat, plötzlich doch personenbezogene Daten der anfragenden Person verarbeitet. Und das, obwohl betroffene Personen in der Regel durch ein Auskunftsersuchen dafür sorgen möchten, dass so wenig wie möglich personenbezogene Daten von ihnen verarbeitet und gespeichert werden. So wird das Gegenteil von dem erreicht, was eigentlich gewollt ist.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Naja, so einfach ist das mit dem ausgeschlossenen Auskunftsrecht nicht … zumindest in der Praxis:
    Bei uns wünscht eine Person, mit der wir geschäftlich in Kontakt stehen/standen Auskunft über die über sie gespeicherten Daten. Wir haben nur Daten gespeichert, die aufgrund von Aufbewahrungspflichten nicht gelöscht werden dürfen (Finanzamt) und antworten: Nichts.
    Was passiert? Der Anfragende bittet erneut um Auskunft, solange, bis irgendwann die Antwort erfolgt, daß eben nur Daten gespeichert sind, die wegen Aufbewahrungspflichten nicht gelöscht werden dürfen.
    Das verärgert nur Kunden und kostet auch Ressourcen.
    Besten Gruß
    Andreas

  2. @Andreas: auch wenn man nur Daten speichert, für die jetzt nur noch eine Aufbewahrungspflicht besteht, entbindet das nicht von der Pflicht, die Betroffenen darüber zu informieren. Die Kategorien der verarbeiteten Daten, die Zwecke der Verarbeitung und die Auskunftspflichten sind, so gesehen, voneinander getrennte Dinge.
    Wenn Du Kundendaten pflegst, dann hast Du die Daten ja entweder selbst erhoben oder erheben lassen und sie wohl wegen „Artikel 6, 1“ verarbeitet. Also aus geschäftlichen Gründen oder um einen Vertrag zu erfüllen. Wenn es kein aktives Kundenverhältnis mehr gibt, verlangen HGB oder AO die Aufbewahrung. Ich nehme an, dass Du diese Aufbewahrungspflichten meinst.
    In dem Fall – so sehe ich es – darf eine Antwort eben NICHT lauten: „Wir speichern keine Daten“, sondern eher „Wir speichern noch Deine Kontaktdaten, weil wir dazu nach AO und HGB die nächsten 6 bzw. 10 Jahre verpflichtet sind“. Das ist „Betroffenen-freundlicher“ und transparenter.
    Problematisch wird ein „Datenauszug“, denn wenn der Betroffene aus der Firma ausgeschieden ist, unter deren Namen seine Kontaktdaten gespeichert wurden, dann muss man wohl die Daten filtern, um nicht Geschäftsgeheimnisse an (jetzt) Unbefugte weiterzugeben. Das ist nach DSGVO auch erlaubt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.