DSGVO-Auskunftspflicht zur Speicherung personenbezogener Daten

Mit der DSGVO wurde die Auskunftsrechte von Personen gegenüber Unternehmen und Behörden, die personenbezogene Daten speichern, gestärkt, und die Zahl der Auskunftsersuchen hat sich spürbar erhöht. Anfragen müssen grundsätzlich in relativ kurzer Zeit beantwortet werden, um Sanktionen zu vermeiden, und die Antwort muss konkret und verständlich erfolgen. 

In der europäischen Datenschutzgrundverordnung sind die Auskunftsrechte der Betroffenen in Art. 15 geregelt. Demnach hat die von der Datenverarbeitung betroffenen Personen umfangreiche Informationsansprüche gegenüber Unternehmen und Behörden. Dieser Anspruch erstreckt sich auf sämtliche gespeicherten personenbezogenen Daten nach Art. 4 Nr. 1 DSGVO (inklusive der Metadaten).

Umfang der DSGVO-Auskunftspflichten und die dafür geltende  Fristen

In den Auskünften muss eine ganze Reihe von Informationen enthalten sein, diese betreffen etwa

  • die Verarbeitungszwecke,
  • weitere Empfänger, denen diese Daten zugänglich gemacht wurden
  • und die geplante Speicherdauer der Daten.

Zudem gibt es eine recht strikte Terminvorgabe durch die DSGVO, denn die für die Datenverarbeitung Verantwortlichen sollen die verlangten Auskünfte spätestens einen Monat nach Eingang der Anfrage erteilen. Ausnahmen von dieser Regel sind nur in begründeten Ausnahmen möglich, etwa wenn die Komplexität sehr hoch ist oder die Zahl der Anfragen die Kapazitäten für die Beantwortung überfordert. In diesen Fällen kann die Frist um weitere zwei Monate verlängert werden. 

Hinweis: Da durch die DSGVO bei Verstößen jetzt auch drastische Bußgelder fällig werden können (→Datenschutzverstöße und Sanktionen in 2020), empfiehlt es sich in keinem Fall, solche Auskunftsersuchen einfach zu ignorieren.

Tastatur mit Schloss-Taste, Datensicherung

Ausnahmen von der Auskunftspflicht zur Datenspeicherung

Ausnahmen von der Informationspflicht gibt es nur wenige. So kann etwa die Beantwortung nach Art. 12 Abs. 5 DSGVO dann verweigert werden, wenn offenkundig unbegründete oder exzessive Anträge durch eine Person gestellt werden.  In Deutschland gibt es im § 34 Abs. 1 BDSG noch weitere Ausnahmetatbestände. So besteht beispielsweise keine Auskunftspflicht, wenn Daten nur noch aufgrund gesetzlicher Aufbewahrungspflichten gespeichert werden oder es sich lediglich um Archiv- oder Protokolldateien handelt und der Aufwand zur Beantwortung der Anfrage unverhältnismäßig hoch wäre.

Fehlerquellen und Umfang der Beantwortung von DSGVO-Anfragen

Organisatorische Vorbereitungen sind unverzichtbar

  • Um eine die Anfrage zu personenbezogene Daten umfassend und wahrheitsgemäß zu beantworten, müssen die notwendigen Informationen in einer angemessenen Form zur Verfügung stehen.
  • Nur so kann der Verantwortliche einen umfassenden Überblick über die Datenverarbeitung haben und innerhalb der Frist die Auskünfte entsprechend der Vorgaben des Art. 15 DSGVO erteilen.
  • Daher ist es unverzichtbar, rechtzeitig die entsprechende organisatorische (und technische) Vorkehrungen zu treffen,  um diesen DSGVO-Anforderungen genügen zu können.

Pflicht zur Negativauskunft, aus der neue Hinweispflichten entstehen

Selbst wenn keine Daten über den Anfragenden vorliegen, gibt es eine Verpflichtung zur Antwort. Die Pflicht zu dieser Negativauskunft resultiert ebenfalls aus Art. 15 DSGVO. Im Rahmen einer solchen Negativauskunft werden nun allerdings wiederum personenbezogene Daten des Auskunftsersuchenden verarbeitet, etwa dessen Name und Anschrift oder Mail-Adresse.

Daher müssen Sie in der Antwort auf diesen Umstand aufmerksam machen und zugleich auf die grundlegenden Datenschutz-Informationen, wie sie in Art. 13 DSGVO beschrieben sind, hinweisen. Diesen Datenschutzhinweisen muss der Antragsteller dann beispielsweise auch entnehmen können, wie lange Sie die Anfrage und diese Antwort speichern. Denn eine solche Speicherung ist notwendig, wenn Sie belegen wollen oder müssen, wann sie die Anfrage erhalten und auf welche Weise sie geantwortet haben.

Umfang der Auskünfte

Liegen personenbezogene Daten der anfragenden Person vor und treffen die genannten Ausnahmetatbestände nicht zu, müssen gegebenenfalls Auskünfte zu folgenden Bereichen gemacht werden, die den Vorgaben des Art. 12 DSGVO zur Kommunikation (vollständig, konkret und detailliert) genügen:

  • Zweck der Datenverarbeitung
  • Kategorien der personenbezogenen Daten, die erfasst wurden
  • Speicherdauer
  • Hinweis auf Rechte der Betroffenen, etwa in Bezug auf Berichtigung, Löschung oder Einschränkung der Verarbeitungszwecke sowie Widerspruchshinweis
  • Hinweis auf die zuständige Aufsichtsbehörde, an die sich der Betroffene mit einer Beschwere wenden kann
  • Information über Empfänger bzw. Kategorien von Empfängern, an die die personenbezogenen gegebenenfalls Daten weitergeleitet werden
  • Werden Daten an Dritte außerhalb der EU bzw. des EWR weitergeleitet, müssen diese benannt und Sie müssen die Rechtsgrundlage für diesen Datentransfer angeben.
  • Sofern die Daten nicht direkt vom Betroffenen, sondern aus einer anderen Quelle stammen, müssen Sie umfassend über die Herkunft der Daten informieren.
  • Für den Fall, dass die Daten im Rahmen eines automatisierten Entscheidungsprozesses, wie etwa Profiling oder Scoring, verwendet werden, müssen zusätzliche Informationen zu diesem Verfahren und den möglichen Auswirkungen gegeben werden.

Wichtig: Überprüfung der Berechtigung der Auskunft und des Auskunftstellers

Vor der Beantwortung einer Auskunftsanfrage ist unbedingt sicherzustellen, dass die gewünschte Auskunft tatsächlich auch an die betroffene Person geht und nicht an unberechtigte Dritte. Denn sollte es zu so einer Datenweitergabe an Unberechtigte kommen, läge sogar eine meldepflichtige Datenpanne (→Wann muss man eine Datenpanne melden) vor.

Dazu, wie genau die Überprüfung, ob der Antragsteller tatsächlich auch die betroffene Person ist, ausfallen muss, gibt es keine expliziten Vorgaben. In Art. 12 Abs. 6 DSGVO heißt es dazu lediglich, dass es „keine begründeten Zweifel an der Identität“ geben dürfe. Solche Zweifel können etwa dann vorliegen, wenn eine per E-Mail übermittelte Anfrage über eine anonyme Mail-Adresse erfolgt oder die Mail-Adresse keine Rückschlüsse auf den Inhaber des Mail-Kontos ermöglicht.

Legitimität des um DSGVO-Auskunft Ersuchenden überprüfen

In solchen Zweifelsfällen könnten Sie die Legitimität überprüfen, indem Sie vor Beantwortung des Auskunftsersuchens Daten vom Antragsteller abfragen, die bereits vorliegen (etwa Geburtsdatum oder Kundennummer). Ebenso sollten Sie bei Beantwortung der Anfrage per Post zunächst die bereits vorhandene Anschrift verwenden.

DSGVO-Auskunftsersuchen über einen Anwalt

Erfolgt das Auskunftsersuchen über einen Anwalt, so muss sich dieser nach Meinung mehrerer Gerichte über die Vorlage eine Originalvollmacht legitimieren. So entschied jedenfalls bereits 2019 das Amtsgericht Berlin Mitte (Urteil v. 29.07.2019, 7 C 185/18) und kürzlich auch das OLG Stuttgart (Urteil vom 31.03.2021, Az. 9 U 34/21). In letzterem Urteil weisen die Richter auf die Gültigkeit des § 174 BGB hin, wonach ein einseitiges Rechtsgeschäft, „das ein Bevollmächtigter einem anderen gegenüber vornimmt“ unwirksam ist, „wenn der Bevollmächtigte eine Vollmachtsurkunde nicht vorlegt und der andere das Rechtsgeschäft aus diesem Grund unverzüglich zurückweist“. Demnach müssen Verantwortliche, an die das Auskunftsersuchen gerichtet ist, den Anspruch mit Hinweis auf die fehlende Vollmacht unverzüglich zurückweisen, denn nur dann ist das Rechtsgeschäft unwirksam. Im anderen Fall, wenn Sie also erst nach einer schuldhaften Verzögerung die Zurückweisung vornehmen, bleibt das Rechtsgeschäft dagegen wirksam und Sie müssen dem Auskunftsersuchen nachkommen.

Weitere News zum Thema:

Schadensersatzpflicht des Arbeitgebers nach unzureichender DSGVO-Auskunft

Schadensersatz für Betroffene bei DSGVO-Verstößen

Auswirkungen der Datenschutzgrundverordnung auf das Recruiting

Hintergrund: DSGVO-Auskunft muss vollständig und verständlich sein

Die Mitteilung zur Datenverarbeitung muss präzise, transparent, verständlich und in leicht zugänglicher Form in klarer, einfacher Sprache erfolgen (Art. 12 Abs.1 S.1 DSGVO). Pauschalitäten oder Phrasen wie 

„zum Zweck des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG“, 

reichen nicht. Die Angaben müssen vollständig, konkret und detailliert sein. Auch Verweise auf Anlagen genügen den Anforderungen von Art. 12 Abs.1 S.1 DSGVO nicht (ArbG Düsseldorf, Urteil v. 5.3.2020, 9 Ca 6557/18).