Auskunftsbegehren in der Unternehmenspraxis

Das sollten Sie wissen und beachten

PLANIT//LEGAL

Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn Sie Betroffenenanfragen erhalten ist es wichtig, damit richtig umzugehen, damit daraus kein größeres Problem für Ihr Unternehmen und Ihre Datenschutz-Organisation wird. Lesen Sie hier, was es zu beachten gilt.

Wie muss das Auskunftsbegehren gestellt sein?

Es gibt praktisch keine formalen Anforderungen an Betroffenenanfragen. Betroffene können diese schriftlich, elektronisch oder mündlich stellen. Wichtig für die Bearbeitung ist es, zu verstehen, worum es den Betroffenen geht. Das klingt logisch, kann in der Praxis aber bereits die erste Herausforderung sein. Stellen Sie sich daher die Frage, was die Betroffenen wirklich wollen. Wenn Betroffenenanfragen nicht klar sind, müssen Sie diese auslegen. In Betracht kommen dafür insbesondere Anfragen zu den Betroffenenrechten

  • Auskunft gemäß Art. 15 Abs. 1 DSVO
  • Herausgabe einer Datenkopie gemäß Art. 15 Abs. 3 DSGVO
  • Berichtigung Art. 16 DSGVO
  • Löschung Art. 17 DSGVO
  • Einschränkung der Verarbeitung bzw. Sperrung ihrer personenbezogenen Daten (Art. 18 DSGVO) oder
  • Datenübertragung (Art. 20 DSGVO)

Denkbar und in der Praxis ein häufiger fall ist auch, dass Betroffene die Sperrung ihrer E-Mail oder Telefonnummer für Webemailings oder -anrufe wünschen.

Die richtige Auslegung des Begehrens der Betroffenen ist der erste Schritt zur richtigen Beantwortung. Um Missverständnissen vorzubeugen, macht es für die Beantwortung oft Sinn, das Ergebnis der Auslegung den Betroffenen bei der Beantwortung mitzuteilen. Eine Formulierung dafür kann sein:

Vielen Dank für Ihre E-Mail. Wir verstehen Ihr Anliegen als Auskunftsbegehren gemäß Art. 15 Abs. 1 DSGVO.“

Wir sehen uns hier die besonders relevanten Fälle der Auskunft gemäß Art. 15 Abs. 1 DSVO und Herausgabe einer Datenkopie gemäß Art. 15 Abs. 3 DSGVO genauer an.

Identitätsprüfung

Damit die Beantwortung des Auskunftsbegehrens nicht selbst zum Compliance-Bumerang wird, ist es wichtig, die Auskunft nur an den Betroffenen zu erteilen. Das fordert auch Art. 12 Abs. 6 DSGVO. In der Praxis kommt es immer wieder vor, dass geschiedene Ehepartner, der/die Ex, andere Familienangehöre oder völlig fremde Auskunftsbegehren stellen. Diese ohne Identitätsprüfung zu beantworten kann leicht zum Supergau führen.

Prüfen Sie daher, mit wem Sie es auf der anderen Seite zu tun haben. Bei Anfragen der eigenen Beschäftigten, Kunden, die Sie persönlich kennen oder anderen persönlich bekannten Personen ist das kein Problem. Kennen Sie die Anfragenden nicht persönlich, müssen Sie sich fragen, ob es begründete Zweifel an der Identität gibt. Das kann etwa der Fall sein, wenn eine Anfrage von einem anderen als dem bei Ihnen bekannten E-Mail-Account versendet wird oder eine E-Mail nahe legt, dass es sich um eine andere Person handelt weil z.B. von dem E-Mail-Account petra.maier@ eine Betroffenenanfrage für den Betroffenen Björn Müller gestellt wird.

Bestehen begründete Zweifel, muss die Identität verifiziert werden. Dabei gilt der Grundsatz, je sensibler die zu beauskunftende Information, desto höher die Anforderungen an die Identifizierung. In Betracht kommen dafür insbesondere

  • Abfrage von zusätzlichen Informationen (Frage nach Geburtstag, bitte eine E-Mail von einem bekannten E-Mail-Account zu schicken,
  • Anmeldung und Bestätigung über verifizierten Account oder
  • Post-/Video-Ident und die Übersendung von Ausweisdokumenten bei besonders sensiblen Auskünften.

Prüfung der Vollmacht bei Auskunftsbegehren von Anwälten

In der Praxis kommt es relativ häufig vor, dass Auskunftsansprüche durch Anwälte gestellt werden. Das ist zulässig. Der Verantwortlicher sollte dann sicherstellen, dass eine Vollmacht für das Stellen der Auskunftsanfrage und für den Empfang der Auskunft vorliegt. Wird keine Originalvollmacht vorgelegt, sondern nur ein Fax o.ä., kann man die Auskunft gem. § 174 BGB „unverzüglich“ zurückweisen (siehe dazu OLG Stuttgart Urteil vom 31.03.2021 - Az.: 9 U 34/21). Die Auskunftsfrist (siehe unten) beginnt dann erst mit Übermittlung einer Originalvollmacht.

Enthält die Vollmacht keinen klaren Hinweis, dass auch die Auskunft an den Anwalt erteilt werden darf, sollte man im Zweifel die Auskunft nicht an den Anwalt schicken, sondern direkt an die Betroffenen.

Was ist zu beauskunften?

Bei Auskunftsanfragen ist zuerst immer die Frage zu beantworten, ob personenbezogene Daten des Betroffenen verarbeitet werden. Das ist entweder zu bestätigen oder zu verneinen.

Werden personenbezogenen Daten verarbeitet, kommt es für den Inhalt der Auskunft darauf an, was Betroffene verlangen. Auskunft nach Art. 15 Abs. 1 DSGVO, Herausgabe von Datenkopien nach Art. 15 Abs. 3 DSGVO oder eine besonders spezifizierte Auskunft. Verantwortliche können Betroffene auffordern/bitten zu spezifizieren, welche Informationen beauskunftet werden sollen oder auf welche Verarbeitungen sich das Begehren bezieht. Das kann helfen, eine schnelle und den Wünschen der Betroffenen entsprechende Auskunft sicherzustellen. Es führt aber nicht dazu, dass Betroffene Anspruch auf weniger als die ursprüngliche begehrte Informationen haben.

Wird Auskunft nach Art. 15 Abs. 1 DSGVO verlangt, muss Information gemäß dem Katalog von Art. 15 Abs. 1 DSGVO bereitgestellt werden, über

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfängern oder Kategorien von Empfängern der personenbezogenen Daten (im Zweifel nach Wahl der Betroffenen),
  • die geplante Dauer, für die die personenbezogenen Daten gespeichert werden oder die Kriterien für die Festlegung dieser Dauer,
  • das Bestehen von Betroffenenrechten und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • Herkunft der Daten,
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Wird Herausgabe von Datenkopien nach Art. 15 Abs. 3 DSGVO verlangt, müssen Kopien der Daten herausgegeben werden. Bezieht sich die Anfrage auf Dokumente, muss nach der Rechtsprechung des EuGH auch eine Kopie des Dokuments selbst bereitgestellt werden, soweit das für die Kontrolle der Datenverarbeitung notwendig ist.

Wird weniger als der Inhalt von Art. 15 Abs. 1 DSGVO oder Art. 15 Abs. 3 DSGVO begehrt, muss entsprechend weniger beauskunftet werden.

Frist und Form der Beauskunftung

Für die Auskunft besteht gemäß Art. 12 Abs. 3 DSGVO eine Frist von einem Monat ab Eingang des Auskunftsbegehrens. Die Frist kann bei einer besonderen Komplexität oder hohen Anzahl von Anfragen auf bis zu drei Monate verlängert werden. In der Praxis bietet es sich an, direkt nach Erhalt eines Begehrens eine Eingangsbestätigung zu schicken und anzukündigen, sich innerhalb eines Monats zu melden, um die Erwartungen zu managen und Beschwerden bei Datenschutzbehörden zu vermeiden. Das gilt natürlich besonders, wenn Betroffene selbst kürzere Fristen setzen.

Für die Übermittlung der Auskunft ist es wichtig, einen sicheren Kanal zu wählen, damit die Inhalte der Auskunft geschützt sind. Je sensibler die Inhalte, desto höher sind die Anforderungen. Bei dem häufigen Fall der Übermittlung per E-Mail sollte man im Zweifel eine angemessene Verschlüsselung vorsehen.

Die Auskunft ist abhängig von der Art der Kommunikation mit den Betroffenen schriftlich, elektronisch oder mündlich zu erteilen. Im Zweifel sollte der von Betroffenen gewählte oder soweit erkennbar gewünschte Kanal genutzt werden. Datenkopien sind in der Regel in einem gängigen elektronischen Format zu übermitteln.

Wann kann man die Auskunft verweigern?

Es gibt Fälle, in denen die Auskunft verweigert oder ein Entgelt dafür verlangt werden kann. Das sind

  • offensichtlich unbegründete Begehren und
  • exzessive Anträgen.

Diese Ausnahmen liegen selten vor und werden in der Rechtsprechung sehr zurückhalten angewendet. Es ist also ein sehr stumpfes Schwert, um sich gegen Auskunftsbegehren zu wehren.

Was passiert, wenn man nicht beauskunftet?

Nicht beantwortete Auskunftsbegehren sind die Sollbruchstelle jeder Datenschutz-Organisation und sollten vermieden werden. Insbesondere wenn es bereits einen Konflikt mit Betroffenen gibt, landen nicht beantwortetet Auskunftsbegehren häufig bei den Datenschutzbehörden. Dann sollte man eine gute Begründung – oder Ausrede parat haben, sonst drohen Bußgelder bis zu EUR 20 Millionen oder 4% des Unternehmensumsatzes. Zusätzlich können Betroffene materiellen und immateriellen Schadensersatz geltend machen. Es gibt erste Urteile, in denen Schadensersatzansprüche wegen verspäteter Auskunft zugesprochen wurden, z.B. EUR 10.000 durch das Arbeitsgericht Oldenburg Urteil vom 9. Februar 2023 – Az. 3 Ca 150/21.