Das Auskunftsrecht ist das zentrale Betroffenenrecht. Eine vollständige Antwort gestaltet sich oft schwierig und ist manchmal recht komplex. Aufsichtsbehörden berichten daher von einer hohen Anzahl von Datenschutzbeschwerden. Häufige Fehler bei der Auskunft nach Art. 15 DSGVO sind:
![]() | Auskunftsbegehren werden ignoriert, weil Zweifel an der Identität des Anfragenden bestehen. |
![]() | Die Antwort umfasst nur die Stammdaten und Kategorien von Empfängern. |
![]() | Der Antrag auf Auskunft nach Art. 15 DSGVO wird nicht weitergeleitet |
![]() | Auskünfte werde nicht rechtzeitig beantwortet. |
Dieser Beitrag gibt einen Überblick über die bisherige Rechtsprechung und zu den Anforderungen einer ordnungsgemäßen Auskunft.
Recht auf Auskunft nach Art. 15 DSGVO
Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffende personenbezogene Daten verarbeitet werden. Eine betroffene Person sollte [dieses] Auskunftsrecht [...] problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (Erwägungsgrund 63 S. 1).
Aufgrund der zum Teil sehr aufwendigen Recherche, Bearbeitung, Organisation und der knapp bemessen Zeit hat der Verantwortliche vorab in einem entsprechende Prozess sicherzustellen, dass Anfragen unverzüglich dem zuständigen Mitarbeiter oder im Bedarfsfall dem Datenschutzbeauftragten vorgelegt werden. Neben dem Sicherstellen einer zügigen Bearbeitung der Anfragen sollten auch geeignete Vorlagen zur Auskunft bereit gehalten werden. Neben einem möglichen Bußgeld können bei Versäumung der Frist auch Anwaltskosten entstehen.
Das OLG Köln (Beschluss vom 25. Juli 2019, Az.: 20 W 10/18) und das Amtsgericht München (Teilurteil vom 04. September 2019, Az: 155 C 1510/18) gehen davon aus, dass ein Streitwert i.H.v. 5.000,00 € für einen Auskunftsanspruch nach Art. 15 DSGVO angemessen ist. Dadurch würden sich die außergerichtlichen Anwaltskosten für jede versäumte Beantwortung einer Anfrage auf 492,54 Euro belaufen.
Phasen der Auskunft nach Art. 15 DSGVO
Der Prozess muss auch gewährleisten, dass vor Erteilung einer Auskunft in jedem Fall die Berechtigung des Auskunftsersuchens geprüft wird. Im Zweifel sollten zusätzliche Informationen nachgefordert werden, die die Identität der betroffenen Person bestätigen.
Prozess-Phasen:
Nummer | Phase | Anforderung |
![]() | Eingang des Auskunftsbegehrens | Weiterleitung an den zuständigen Mitarbeiter oder das Datenschutzteam |
![]() | Identitätsprüfung | Prüfung, ob sich Betroffener ausreichend identifiziert hat |
![]() | Bearbeitung | Zusammentragen aller Informationen |
![]() | Beantwortung | Die Antwort hat innerhalb eines Monats in einfacherer Sprache zu erfolgen. |
![]() | Abschluss des Verfahrens | Dokumentation und Festlegung der Speicherfrist |
Phase 1 - Eingang des Auskunftsbegehrens
Eine häufiger Fehler ist, dass Anträge auf Auskunft nach Art. 15 DSGVO auf dem Weg im Unternehmen verloren gehen.
Sensibilisierung der Mitarbeiter
Ein Auskunftsbegehren kann den Verantwortlichen theoretisch auf jedem Kommunikationskanal und über jeden Mitarbeiter mit Außenkontakt erreichen. Mitarbeiter mit Kundenkontakt (persönlich, telefonisch, per E-Mail oder Telefax) sind daher so zu sensibilisieren, dass Sie das Auskunftsbegehren als solches erkennen und dieses an den zuständigen Mitarbeiter weiterleiten. Dies kann der Datenschutzmanager, aber auch ein sonstiges Mitglied des Datenschutzteams sein.
Fristbeginn der Auskunft nach Art. 15 DSGVO
Der Fristlauf von einem Monat beginnt dann, wenn das Auskunftsbegehren beim Verantwortlichen eingeht. Dabei genügt es, wenn ein Brief am Empfang oder einer extern beauftragten Rezeption abgegeben wird. Das Arbeitsgericht Düsseldorf geht davon aus, dass Post üblicherweise nicht einmal einen Tag liegen gelassen, sondern binnen weniger Stunden an den Empfänger weitergeben wird.
Phase 2 - Identitätsprüfung
Vor Erteilung der Auskunft ist auf eine eindeutige Identifizierung der betroffenen Person zu achten. Eine Auskunft an eine falsche Person ist eine klare Datenschutzverletzung und muss unter Umständen auch der Aufsichtsbehörde gemeldet werden. Im Interesse der Datenminimierung dürfen bei der Identitätsprüfung grundsätzlich nur Daten gefordert werden, die zur Identifizierung zwingend erforderlich sind.
Übersicht über mögliche Wege der Antragstellung
Die Auswahl der Identifizierungsmethode obliegt dem Verantwortlichen unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen und ist daher eine Einzelfallentscheidung. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte das Verfahren sein.
Antragstellung über | Legitimation durch | Einschränkung |
schriftlich per Post |
| |
telefonisch |
|
|
per E-Mail / Fax |
|
|
über Nutzerkonto auf Webseite |
|
|
per Video oder persönlich |
|
De-Mail / qualifizierte elektronische Signatur
De-Mail und eine qualifizierte elektronische Signatur können grundsätzlich zur sicheren Identifizierung von betroffenen Personen genutzt werden. Da die entsprechende Identität durch eine vertrauenswürdige Stelle geprüft wurde, können sich Verantwortliche auf die vorherige Prüfung verlassen.
Übermittlung einer geschwärzten Ausweiskopie
In Einzelfällen kann auch die Übermittlung einer geschwärzten Ausweiskopie zulässig sein. Dies sollte nur über einen sicheren Weg, z.B. mit einer Ende-zu-Ende-verschlüsselten E-Mail oder über eine HTTPS-geschützte Website passieren.
Zur Identifizierung sind dabei nur der Vor- und Nachname, die Anschrift und ggfs. auch die Gültigkeitsdauer zulässig. Die übrigen Daten sollten geschwärzt sein. Ausnahmsweise kann auch das Geburtsdatum sowie der Ort abgefragt werden, wenn sonst keine eindeutige Zuordnung möglich ist.
Nach Auffassung des LDI NRW ist die Anforderungen einer Ausweiskopie unter folgenden Voraussetzungen zulässig:
|
Bei reinen Negativauskünften soll auf die Anforderung von Ausweiskopien verzichtet werden (Tätigkeitsbericht des BayLDA 2013/2014, S. 77)
Vertretungsvollmacht
Wird der Auskunftsanspruch eines Betroffenen von seinem Anwalt geltend gemacht, dann sollte auch die Originalvollmacht angefordert werden. Das Amtsgericht Berlin-Mitte stellte dazu in seinem Urteil vom 29.07.2019 - Az.: 7 C 185/18 klar, dass die Erteilung einer Auskunft ohne Vorlage der Vollmacht gegen den Sinn und Zweck der DSGVO verstoßen würde. Dies betrifft aber nur Fälle, in denen die anwaltliche Vertretung in der Angelegenheit nicht schon bekannt ist, also begründete Zweifel an der Identität des Anfragenden bestehen.
Die Monatsfrist, innerhalb welcher die Auskunft zu erfolgen hat, beginnt erst ab dem Zeitpunkt, zu dem die Vollmacht tatsächlich vorgelegt wurde. Das Gericht stellte weiterhin fest, dass es vor diesem Hintergrund nicht statthaft ist, ein Unternehmen auf Auskunft zu verklagen, bevor die Monatsfrist abgelaufen ist.
Zweifel an der Identität
Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche bei begründeten Zweifeln an der Identität der Auskunft suchenden Person zusätzliche Informationen anfordern, die zur Bestätigung deren Identität erforderlich ist.
Keine Zweifel bestehen grundsätzlich, wenn der Antragsteller dem Verantwortlichen persönlich bekannt ist. Dies bedeutet aber nicht, dass automatisch jede Anfrage eines Unbekannten Zweifel auslöst. Die Verwendung unbekannter Kontaktdaten oder die Abweichung von der bisherigen Form der Korrespondenz können jedoch Zweifel begründen.
Das VG Berlin (Urteil vom 31.08.2020, Az.: 1 K 90.19) geht davon aus, dass ohne besonderen Anlass kein Identitätsnachweis von einem Antragsteller, wie die Kopie des Personalausweises, verlangt werden kann. Der Auskunft-Suchende begehrte hier eine Auskunft auf postalischem Wege. Dem Verantwortlichen (ein Amtsgericht) war die gegenwärtige Anschrift aufgrund der Übersendung verschiedener Entscheidungen bekannt. Dadurch fehle jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte. Schließlich wies das Gericht auch darauf hin, dass eine Fehlleitung der Auskunft durch eine förmliche Zustellung des Auskunftsschreibens unterbunden werden kann.
Ist der Kommunikationskanal also bekannt, müssen besondere Gründe hinzutreten, um einen Identitätsnachweis vom Antragsteller zu verlangen.
Phase 3 - Bearbeitung
Der Umfang der zu erteilenden Informationen ergibt sich aus Art. 15 Abs. 1 DSGVO. Welche personenbezogenen Daten im Einzelfall konkret erfasst sein können, finden Sie in meinem Beitrag: Personenbezogene Daten einer Auskunft
Für den Umfang des Auskunftsverlangens ist grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich. Daten, die in der Vergangenheit einmal verarbeitet wurden und über die der Verantwortliche nun nicht mehr verfügt, sind nicht Bestandteil der Auskunft. Wird die Frist von einem Monat gemäß Art. 12 Abs. 3 DSGVO versäumt, so sind nachfolgende Datenverarbeitungen aber einzubeziehen (Arbeitsgerichts Düsseldorf, Urteil vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).
Werden eine große Menge von Informationen über die betroffene Person verarbeitet, so sollte der Betroffene aufgefordert werden, sein Auskunftsersuchen noch weiter zu konkretisieren. Eine Präzisierung könnte bestimmte Verarbeitungszwecke,
Zeiträume oder Datenkategorien umfassen. Dieses gestufte Vorgehen wird ausdrücklich von Erwägungsgrund 63 S. 7 beschrieben.
Bei der Beantwortung einer Auskunft nach Art. 15 DSGVO sollte insbesondere auf die Einhaltung des Grundsatzes der Transparenz geachtet werden:
Empfänger |
|
Verarbeitungszwecke |
|
Phase 4 - Beantwortung
Die Übermittlung der Information kann schriftlich, elektronisch oder auch mündlich erfolgen. Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft in einem gängigen elektronischen Format zur Verfügung zu stellen. Dies soll in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen.
Die Auskunft ist unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen.
Das Bayerische Landesamt für Datenschutzaufsicht hat ein Muster veröffentlicht, wie eine Auskunft nach Art. 15 DSGVO zu erfolgen hat. Dieses kann hier (PDF) abgerufen werden.
Phase 5 - Abschluss des Verfahrens
Um den Nachweis der ordnungsgemäßen Beauskunftung erbringen zu können, sollte diese für etwaige Nachfragen seitens des Betroffenen oder der Aufsichtsbehörden dokumentiert werden. Dabei sollte auch geklärt werden, innerhalb welcher Frist die Anfrage des Betroffenen zu löschen ist.
Grundsätzlich sind die Daten solange aufzubewahren, bis eine etwaige Verletzung von Betroffenenrechten nach DSGVO, BDSG und OWiG nicht mehr möglich ist. Das wäre dann der Fall, wenn Verjährung eingetreten ist. Nach § 31 OWiG verjährt eine Ordnungswidrigkeit bei den mit der DSGVO vorgesehenen Geldbußen in drei Jahren. Die Verjährungsfrist beginnt dabei, sobald die Handlung, also die Auskunft des Betroffenen, beendet ist.
Verwandte Beiträge
- Personenbezogene Daten einer Auskunft
Nach Art. 15 DSGVO hat jede Person das Recht, von einem Verantwortlichen eine Bestätigung zu…
- Umfang des Auskunftsanspruches nach Art. 15 DSGVO
Leitsatz: Der Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich nicht auf alle internen…
- Umfang der Auskunft weiterhin unklar
Eine unvollständige, inkorrekte und zu spät erteilte Auskunft kann wie im Fall vor dem Arbeitsgericht…