Popular Topics
Trending NowView All

Auskunft nach Art. 15 DSGVO im Überblick
Eine praktische Orientierung
byCI Redaktion
6 minute read
©261324492 - stock.adobe.com
Total
0
Shares
0
0
0
0
0

In einer zunehmend digitalisierten Welt sind personenbezogene Daten zu einem unverzichtbaren Gut geworden, das in allen Lebensbereichen Verwendung findet. Um das Vertrauen der Bürger:innen in den Umgang mit ihren persönlichen Informationen zu gewährleisten, wurde die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union eingeführt. Eine zentrale Bestimmung dieser Verordnung ist das Recht auf Auskunft nach Art. 15 DSGVO, das es jedem Einzelnen ermöglicht, von Unternehmen und Organisationen zu erfahren, welche Daten über ihn gespeichert sind und wie diese verarbeitet werden.

In der Praxis zeigt sich jedoch, dass viele Unternehmen mit der Umsetzung dieses Auskunftsrechts noch immer Schwierigkeiten haben. Oftmals werden unvollständige oder unverständliche Auskünfte erteilt, was nicht nur das Vertrauen der Betroffenen erschüttert, sondern auch zu rechtlichen Konsequenzen führen kann.

Dieser Blogbeitrag beleuchtet die wichtigsten Aspekte der datenschutzrechtlichen Auskunft gemäß Art. 15 DSGVO. Dabei werden insbesondere die wesentlichen Elemente einer solchen Auskunft erläutert und die rechtlichen Anforderungen aufgezeigt.

Inhalt der Auskunft

Bestätigung bzw. Negativauskunft: Zunächst ist der auskunftsersuchenden Person mitzuteilen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn keine Daten verarbeitet werden, ist es erforderlich, eine sogenannte Negativauskunft zu erteilen. Diese informiert darüber, dass keine entsprechenden Daten verarbeitet werden.

Der Begriff der „personenbezogenen Daten“ ist äußerst weit zu fassen. Dies schließt alle Arten von Informationen ein, die sich auf die betreffende Person beziehen.
Dazu gehören auch:
  • Persönliche Schreiben, Stellungnahmen oder Beurteilungen, die in Verbindung mit dem/r Antragsteller:in stehen, wie es in einem Urteil des BGH vom 15.06.2021, Az. VI ZR 576/19, festgehalten wurde.
  • Gesprächsvermerke und Telefonnotizen, die in Bezug auf die Person, die um Auskunft sucht, erstellt wurden, gemäß einer Entscheidung des OLG Köln vom 26.07.2019, Az. 20 U 75/18.

Identität des Unternehmens als verantwortliche Stelle: Angabe des Namens und der Kontaktdaten des Unternehmens oder der Organisation, die für die Verarbeitung der personenbezogenen Daten verantwortlich ist.

Zwecke der Datenverarbeitung: Eine klare Aufschlüsselung der Zwecke, für die die personenbezogenen Daten verarbeitet werden. Dies kann beispielsweise die Erfüllung eines Vertrags, die Einhaltung rechtlicher Verpflichtungen oder berechtigte Interessen des Verantwortlichen umfassen.

Kategorien der personenbezogenen Daten: Der Verantwortliche ist dazu verpflichtet, der betroffenen Person die Kategorien der sie betreffenden und verarbeiteten personenbezogenen Daten mitzuteilen. Diese Pflicht erfordert, dass der Verantwortliche nicht nur die spezifischen Daten an sich, sondern auch den Kontext, in dem diese Daten verarbeitet werden, offenlegt. Der Hintergrund hierfür ist, dass „neutral“ erscheinende Daten der betroffenen Person (z. B. Name) in einem bestimmten Kontext (z. B. Speicherung in Datei mit Kategorie „Schuldner“) eine bestimmte Aussage implizieren.

Empfänger oder Kategorien von Empfängern: Nennung der Empfänger oder Empfängerkategorien, denen die personenbezogenen Daten möglicherweise offengelegt werden, einschließlich etwaiger Datenübermittlungen in Drittländer außerhalb der EU. Hier muss auch darüber informiert werden, welche Sicherheitsmaßnahmen und Garantien getroffen wurden, um die Daten zu schützen (z. B. Abschluss von SCC).

Gut zu wissen

Das EuGH-Verfahren C-154/21 (wir haben hier bereits darüber berichtet ) hat die Streitfrage geklärt, dass der Verantwortliche verpflichtet ist, der betroffenen Person die Identität der konkreten Empfänger mitzuteilen. Eine Einschränkung auf die Angabe der Empfängerkategorien ist nur dann erlaubt, wenn es entweder unmöglich ist, die Empfänger zu identifizieren oder der Verantwortliche nachweisen kann, dass die Anträge der betroffenen Person offensichtlich unbegründet oder exzessiv sind.

Speicherdauer: Angabe der voraussichtlichen oder festgelegten Dauer, für die die personenbezogenen Daten gespeichert werden. Fall dies nicht möglich ist, sind die Kriterien, die zur Festlegung dieser Dauer verwendet werden, zu nennen.

Rechte der betroffenen Person: Der Verantwortliche sollte über die Rechte der betroffenen Person gemäß Artikel 15 DSGVO informieren, einschließlich des Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit.

Beschwerderecht: Es muss zudem ein Hinweis auf das Recht der betroffenen Person erfolgen, bei der Datenschutzbehörde eine Beschwerde einzureichen, falls sie der Meinung ist, dass ihre Datenschutzrechte verletzt wurden.

Datenherkunft: Darüber hinaus sind alle verfügbaren Informationen über die Herkunft von personenbezogenen Daten mitzuteilen, wenn diese nicht bei der betroffenen Person bzw. der antragstellenden Person erhoben wurden.

Automatisierte Entscheidungsfindung: Falls eine automatisierte Entscheidungsfindung einschließlich Profiling stattfindet, sollte dies angegeben werden, zusammen mit Informationen über die Logik, Bedeutung und mögliche Auswirkungen dieser Verarbeitung.

Praxistipp

Art. 22 DSGVO besagt, dass Entscheidungen, die erhebliche Beeinträchtigungen oder rechtliche Auswirkungen auf eine Person haben, nicht ausschließlich automatisiert erfolgen dürfen. Wenn der Verantwortliche gemäß Art. 22 DSGVO Dienstleister einsetzt (z. B. ein E-Commerce-Händler, der einen Zahlungsdienstleister beauftragt), sollte er darauf achten, dass die Dienstleister entsprechende vertragliche Garantien abgeben. Dadurch kann der Verantwortliche sicherstellen, dass er seinen Auskunftspflichten vollständig nachkommen kann. Außerdem ist es ratsam, aufgrund des EuGH-Verfahrens C-634/21 von den Dienstleistern eine Bestätigung über die rechtliche Zulässigkeit der verwendeten Scoring-Maßnahmen und eine entsprechende Haftungsfreistellung einzufordern.

Form der Auskunft

Die DSGVO legt keine bestimmte Form für die Auskunftserteilung fest. Jedes Unternehmen kann das Auskunftsschreiben individuell gestalten. Wichtig ist, dass die Auskunft präzise, transparent, verständlich und leicht zugänglich in klarer und einfacher Sprache erfolgt, damit auch Laien sie problemlos nachvollziehen können. Die Auskunft kann schriftlich oder elektronisch erteilt werden. Falls der Antrag elektronisch gestellt wurde, sollte die Auskunft normalerweise auch elektronisch erfolgen, es sei denn, die anfragende Person wünscht eine postalische Zusendung. Wenn die Anfrage mündlich gestellt wird, muss die Auskunft ebenfalls mündlich erteilt werden, allerdings muss sichergestellt sein, dass der Kontakt tatsächlich mit der betreffenden Person erfolgt, deren Daten Gegenstand der Auskunft sind.

Gut zu wissen

Wenn eine Person eine Auskunftsanfrage stellt, ist es wichtig, ihr stets eine Datenkopie zur Verfügung zu stellen. Diese Datenkopie muss alle personenbezogenen Daten, die beim Verantwortlichen verarbeitet werden, vollständig und originalgetreu wiedergeben. Um die Privatsphäre anderer Personen zu schützen, dürfen Informationen, die sich nicht auf die anfragende Person beziehen, unkenntlich gemacht oder geschwärzt werden, sofern deren Rechte und Freiheiten sonst beeinträchtigt würden.

Frist

Gemäß Art. 15 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten, die sie betreffen, verarbeitet werden. Die Auskunft ist unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang des Auskunftsersuchens zu erteilen. In bestimmten Fällen kann diese Frist um weitere zwei Monate verlängert werden, abhängig von der Komplexität und der Anzahl der Anfragen.

Interessante Frage

Wer hat die Kosten für eine Auskunft nach Art. 15 DSGVO zu tragen?

In der Regel sind die Daten und Auskünfte der betroffenen Person kostenlos zur Verfügung zu stellen. Falls zusätzliche Kopien angefordert werden oder wenn mehrfach unbegründete oder exzessive Anträge gestellt werden, können dem/r Antragsteller:in jedoch Kosten in Rechnung gestellt werden. In solchen Fällen kann die Auskunft verweigert oder nur gegen entsprechendes Entgelt zur Verfügung gestellt werden.

Es ist jedoch wichtig zu betonen, dass der Verantwortliche den Nachweis erbringen muss, dass die Anfrage ausnahmsweise als unbegründet eingestuft werden kann und die Gründe für die Ablehnung der betroffenen Person klar und nachweislich mitgeteilt werden müssen. Transparenz und Nachvollziehbarkeit sind hierbei entscheidend, um sicherzustellen, dass die Kostenberechnung gerechtfertigt ist.

Ausnahmen der Auskunftspflicht

Gemäß Art. 15 DSGVO gibt es einige Ausnahmen oder Auskunftsverweigerungsrechte, die es dem Verantwortlichen ermöglichen, in bestimmten Situationen die Auskunftspflicht einzuschränken:
  1. Wenn die Auskunftserteilung die Rechte und Freiheiten anderer Personen beeinträchtigen würde, kann der Verantwortliche die Auskunft verweigern.
  2. Falls die angeforderten Informationen vertrauliche Geschäftsgeheimnisse oder gewerbliche Schutzrechte offenlegen würden, kann die Auskunftspflicht eingeschränkt werden.
  3. Die Auskunft kann auch verweigert werden, wenn die Daten personenbezogene Informationen über Dritte enthalten, es sei denn, diese Dritten haben der Weitergabe ausdrücklich zugestimmt oder die Offenlegung ist anderweitig gesetzlich zulässig.
  4. Wenn die Daten für Zwecke der Strafverfolgung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind, kann die Auskunftspflicht eingeschränkt werden.
Diese Ausnahmen sind jedoch eng begrenzt, und der Verantwortliche muss sorgfältig prüfen, ob eine Auskunftserteilung tatsächlich ausgeschlossen ist, bevor er die Auskunft verweigert. Die Grundsätze der Verhältnismäßigkeit und Transparenz sollten immer beachtet werden.

Zusammenfassung

Die vorliegende Übersicht liefert eine wertvolle Orientierung für die korrekte Umsetzung von Auskunftsersuchen gemäß Art. 15 der DSGVO. Der Schutz personenbezogener Daten ist von entscheidender Bedeutung, und die Einhaltung der Datenschutzvorschriften ist eine zentrale Verantwortung für jedes Unternehmen oder jede Organisation, die personenbezogene Daten verarbeitet.

Die erarbeitete Übersicht bietet Verantwortlichen eine klare und strukturierte Anleitung, wie sie den gesetzlichen Anforderungen der DSGVO im Zusammenhang mit Auskunftsersuchen gerecht werden können. Sie umfasst wichtige Aspekte wie die Identifizierung des/r Antragsteller:in die Prüfung der Berechtigung des Antrags, die Erfassung und Verarbeitung relevanter Daten sowie die ordnungsgemäße Übermittlung der Auskunft.

Durch die Berücksichtigung der in der Übersicht dargestellten Maßnahmen können potenzielle Datenschutzverletzungen vermieden werden. Darüber hinaus verdeutlicht die Übersicht, wie wichtig es ist, dass Unternehmen und Organisationen interne Prozesse etablieren, um Auskunftsersuchen effizient und zeitnah zu bearbeiten. Die rechtzeitige Reaktion auf solche Anfragen ist nicht nur eine rechtliche Verpflichtung, sondern auch ein wichtiger Aspekt, um das Vertrauen der Kunden und anderer Betroffener zu wahren.

Total
0
Shares
Teilen 0
Mail 0
Tweet 0
Teilen 0
Share 0
Prev
BSG: Klarstellung der Scheinselbständigkeit bei GmbH & UG Geschäftsführern | 20.07.2023 (Az. B 12 BA 1/23 R, B 12 R 15/21 R, B 12 BA 4/22 R)
Markenparfüm Discounter

BSG: Klarstellung der Scheinselbständigkeit bei GmbH & UG Geschäftsführern | 20.07.2023 (Az. B 12 BA 1/23 R, B 12 R 15/21 R, B 12 BA 4/22 R)

Urteil der Woche
Next
EuGH: Erneute Niederlage für den Meta-Konzern | 04.07.2023 (Rechtssache C‑252/21)
Markenparfüm Discounter

EuGH: Erneute Niederlage für den Meta-Konzern | 04.07.2023 (Rechtssache C‑252/21)

Urteil der Woche
You May Also Like