Das Thema "Auskunftsrechte der Betroffenen" hat es vor der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) nicht in dieser Ausprägung gegeben. Daher gehen wir im Folgenden auf die wesentlichen Punkte dazu ein.

Im Erwägungsgrund 63 wird beschrieben, dass eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten besitzt und dieses Recht problemlos und in angemessenen Abständen wahrnehmen kann. Jede betroffene Person kann und soll so erfahren, zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden, wie lange sie gespeichert werden und wer die Empfänger der personenbezogenen Daten sind.

Wann und wie muss die Kanzlei Auskunft geben?

In Art. 15 DSGVO findet man eine konkrete Auflistung der Informationen, die der Verantwortliche der betroffenen Person auf Anfrage mitteilen muss. Das Recht auf Auskunft umfasst folgende personenbezogenen Daten und Informationen: 

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden (z. B. das aktuell bestehende Abkommen „Privacy Shield“ mit den USA). Da dies in einer „normalen“ Steuerkanzlei eher eine Seltenheit darstellt, wollen wir auf diese Konstellation nicht weiter eingehen.

Der Verantwortliche muss die Informationen "unverzüglich", spätestens einen Monat nach Eingang des Auskunftsersuchens, zur Verfügung stellen. Diese Frist kann in Ausnahmefällen um zwei Monate verlängert werden.

In welcher Form ist die Auskunft zu erteilen?

Die betroffene Person ist auf Anfrage darüber zu informieren, ob der Verantwortliche – z.B. die Steuerkanzlei – personenbezogene Daten der Person verarbeitet oder nicht. Ist das der Fall, muss der betroffenen Person neben den oben geschilderten Informationen auch eine Kopie ihrer personenbezogenen Daten zur Verfügung gestellt werden. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern die betroffene Person nichts anderes angibt.

Die Pflicht zur Herausgabe einer Datenkopie stellt den Verantwortlichen in der Praxis sicherlich vor eine ganz neue Herausforderung. Konkret sind mit dieser Kopie tatsächlich 1-zu-1-Kopien der vorhandenen Datenbestände gemeint. Eine Akte ist zu Kopieren oder, wenn die Anfrage in elektronischer Form gestellt wird, in digitalisierter Form zur Verfügung zu stellen. Gleiches gilt für E-Mails, Korrespondenz, Aufzeichnungen, Auswertungen etc. Da die personenbezogenen Daten des Antragstellers bei der Nutzung von Software zur Verarbeitung der Daten meistens in einer Datenbank gespeichert sind, muss dieser Kopie auch ein Auszug der Datensätze in Dateiform beiliegen, in denen personenbezogene Daten des Antragstellers enthalten sind.

Hier ist wieder der Rückschluss zum Verzeichnis der Verarbeitungstätigkeiten notwendig. Ohne dieses ist es für den Verantwortlichen kaum möglich, in einem überschaubaren Zeitraum nachzuvollziehen, welche Daten eines Antragstellers an welchen Stellen in welcher Form vorliegen.

Diese neue Herausforderung technischer und organisatorischer Art und ist auf Anhieb ohne weitere Vorbereitung wahrscheinlich nicht zu erfüllen. Daher ist es im ersten Schritt empfehlenswert, im Verzeichnis der Verarbeitungstätigkeiten einen Hinweis festzuhalten, wo sich die zu einem Verfahren befindlichen Datenbestände körperlich befinden (Aktenschrank, Archiv, genauer Ablageort im Dateisystems auf dem Server, Datenbank welches Herstellers etc.). So sind die Daten im Falle einer Anfrage zum einen schneller zusammenzutragen. Zum anderen kann in dem zu definierenden Prozess für Bearbeitung einer Anfrage bereits festgelegt werden, wer sich konkret um die Kopie (körperlich oder digital) welcher Datenbestände kümmern kann bzw. muss.

Prüfung der Daten vor Herausgabe

Überall dort, wo eine berufsständische Verschwiegenheitspflicht ins Spiel kommt, ist vor der Herausgabe der Informationen an die betroffene Person besondere Vorsicht geboten, um nicht die Verschwiegenheitspflicht gegenüber Mandanten zu verletzen. Das Recht auf Erhalt einer Kopie darf außerdem die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. So ist darauf zu achten, dass im Zuge der Auskunftserteilung keine Informationen über weitere Personen offenbart werden und dass die Informationen, die im Rahmen der Auskunftserteilung herausgegeben werden beispielsweise keine Geschäftsgeheimnisse beinhalten oder Urheberrechte verletzen. Die Auskunft muss also verweigert werden, wenn sie in Konflikt mit den Rechten und Freiheiten anderer Betroffener steht. 

Gerade vor dem Hintergrund des Berufsrechts eines Steuerberaters ist ein solcher Konflikt nicht unwahrscheinlich, denn das Mandatsverhältnis ist nicht nur strafrechtlich, sondern auch berufsrechtlich geschützt. Verlangt beispielsweise im Rahmen einer Lohnbuchhaltung ein Mitarbeiter eines Mandanten Auskunft über seine personenbezogenen Daten, so muss er zur Bearbeitung seines Auskunftsbegehrens an den Mandanten verwiesen werden, da das Mandatsverhältnis der Verschwiegenheit zwischen Steuerberater und Mandant unterliegt. 

Vorsicht ist im Übrigen auch dann geboten, wenn Anfragen von Behörden, Krankenkassen oder Rechtsanwälten gestellt werden, auch wenn diese nicht unter das hier beschriebene Auskunftsrecht fallen, da sie nicht von einer betroffenen Person durchgeführt werden. In diesen Fällen ist immer zuerst zu prüfen, ob der Auskunftsersuchende überhaupt eine Rechtsgrundlage für sein Ersuchen hat, oder ob eine Einwilligung der betroffenen Person vorliegt. Als Stichwort sei hier z.B. das schützenswerte Interesse eines Beschäftigten genannt, wenn ein Auskunftsersuchen den Hintergrund einer Gehaltspfändung hat.

Was muss der Mitarbeiter wissen?

Es ist darauf zu achten, dass die Mitarbeiter für das Thema sensibilisiert werden, wie sie mit diesbezüglichen Anfragen umgehen. Wir empfehlen in den Richtlinien der Kanzlei Vorgaben zum Auskunftsverhalten am Telefon festzulegen, in denen insbesondere das Verhalten bei Auskunftsbegehren geregelt wird. Die Mitarbeiter der Kanzlei dürfen keine Auskunft über personenbezogene Daten und Mandatsgeheimnisse am Telefon erteilen, sofern der Anrufer nicht als persönlich bekannter Mandant erkannt wird. Im Zweifel fertigt der Mitarbeiter eine Notiz an, nimmt die Telefonnummer auf, kündigt einen Rückruf an und gibt den Vorgang an die Kanzleileitung weiter. 

Bei Anfragen von Behörden sollte im Übrigen stets auf eine schriftliche Anfrage mit Ermittlungsaktenzeichen geachtet werden. 

Prüfung durch die Kanzleileitung

Die Kanzleileitung muss zunächst die Identität der betroffenen Person überprüfen. Sofern diese Person bereits im System der Kanzlei vorhanden ist, kann die Auskunft an die dort hinterlegten Kontaktdaten übermittelt werden. Ist diese Person in der Kanzlei nicht bekannt, oder verfügt die Kanzlei nicht über die Kontaktdaten dieser Person, so hat die Kanzleileitung alle vertretbaren Mittel zu nutzen, um die Identität der betroffenen Person zu überprüfen. 

Muss die Auskunft in jedem Fall erteilt werden?

Es gibt einige Fälle, in denen keine Pflicht zur Auskunftserteilung besteht. Dies ist, wie bereits geschildert, der Fall, wenn im Zuge der Auskunft Informationen offenbart würden, durch die das Berufsgeheimnis oder Rechte und Freiheiten anderer Personen verletzt würden, soweit nicht das Interesse des Betroffenen an der Informationserteilung überwieg. 

Auch wenn die Daten nur gespeichert sind, weil sie aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde, darf die Auskunft verweigert werden. In diesem Fall muss aber sichergestellt sein, dass eine Verarbeitung dieser Daten zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist oder dass die Daten ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen.

Wenn keine Auskunftspflicht besteht, sind die Gründe der Auskunftsverweigerung zu dokumentieren und die Ablehnung der Auskunftserteilung muss gegenüber der betroffenen Person begründet werden, sofern damit nicht der mit der Auskunftsverweigerung verfolgte Zweck gefährdet wird.

Das Kurzpapier Nr. 6 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung, wie nach Auffassung der DSK die Datenschutz-Grundverordnung das Auskunftsrecht in der Praxis praktiziert werden sollte.

Fazit

Das Recht einer betroffenen Person auf Auskunft über die von einem Verantwortlichen verarbeiteten personenbezogenen Daten ist durch die DSGVO deutlich ausgeweitet worden und enthält, insbesondere durch die Pflicht zur Herausgabe einer Datenkopie, ganz neue Herausforderungen. Um bei der Beantwortung eines Auskunftsersuchens rechtssicher durchzuführen, sollte sofort nach Eingang der Anfrage der Datenschutzexperte mit ins Boot geholt werden. Je nach Art der Anfrage kann es unter Umständen auch notwendig sein, einen von der Anfrage betroffenen Mandanten mit einzubeziehen.

Da in der Praxis fast immer externe Dienstleister in die Verarbeitung personenbezogener Daten einbezogen sind (z.B. Softwarepartner, Rechenzentrum, externes Archiv etc.), wird im nächsten Teil dieser Serie abschließend das Thema Datenverarbeitung im Auftrag beleuchtet.