Serie Betroffenenrechte: Das Recht auf Auskunft nach Art. 15 DSGVO
Nach der Einleitung zu allgemeinen Regelungen des Art. 12 DSGVO ist dies der zweite Beitrag unserer Reihe zu den Betroffenenrechten. In den nächsten Monaten werden wir in weiteren Artikeln auf die Rechte der betroffenen Personen, welche sich aus der DSGVO ergeben, eingehen.
Das Recht auf Auskunft nach Art. 15 DSGVO ist vermutlich das mit Abstand am häufigsten in Anspruch genommene Betroffenenrecht. Gemäß Art. 15 Abs. 3 DSGVO besteht neben dem reinen Recht, zu erfahren, ob überhaupt Daten über die betroffene Person verarbeitet werden auch das Recht auf Erhalt einer Kopie aller verarbeiteten personenbezogenen über den Antragsteller.
So ein Auskunftsrecht klingt eigentlich recht trivial. Dennoch stellt gerade dieses Recht die Verantwortlichen immer wieder vor große Herausforderungen. Hintergrund ist, dass es einige Anforderungen gibt, welche bei der Erteilung der Auskunft zu berücksichtigen sind. Mit diesem Artikel möchten wir Ihnen eine Handlungsempfehlung geben, welche die in Art. 15 DSGVO festgelegten Vorgaben berücksichtigt.
Risiken bestehen bereits bei der Annahme des Auskunftsersuchens
Bereits der Erhalt eines Auskunftsersuchens kann Verantwortliche vor eine Herausforderung stellen. So ist nämlich genau dieser Teil des Auskunftsrechts in der DSGVO gar nicht geregelt. Das hat zur Folge, dass ein Auskunftsersuchen, ebenso wie die Wahrnehmung sämtlicher anderen Rechte der betroffenen Personen, auf beliebigem Weg und an beliebiger Stelle beim Verantwortlichen ankommen kann. Das bedeutet, dass sämtliche „von außen erreichbaren“ Mitarbeiter entsprechend auf das Eintreffen von Auskunftsersuchen vorbereitet sein müssen. Sie müssen auf allen möglichen Kommunikationskanälen adäquat auf eintreffende Anfragen reagieren können. Um zu illustrieren, wie problematisch das sein kann, möchten wir hier einmal das recht extreme (fiktive) Beispiel einer großen Supermarktkette anbringen. Hier könnte es passieren, dass bei jemand an der Kasse bei der dort arbeitenden Person persönlich sein Recht auf Auskunft geltend machen möchte. Diese Mitarbeitenden müssen nun mindestens so weit geschult sein, dass sie mit dieser Anfrage korrekt umgehen können. Das bedeutet sicher nicht, dass sie die Auskunft selbst erteilen sollen. Sie müssen allerdings die richtigen Schritte (siehe weiter unten) einleiten und dürfen auf keinen Fall die anfragende Person abweisen. Das Potenzial für Fehler und damit einhergehenden Streit ist durchaus hoch.
Der Prozess macht‘s
Es ist also wichtig, einen definierten und standardisierten Prozess für den Umgang mit eingehenden Anfragen betroffener Personen zu haben. Dieser sollte unseres Erachtens aus den folgenden Schritten bestehen:
- Annahme der Anfrage
- Eingangsbestätigung
- Identifizierung/Legitimierung der betroffenen Person
- Zusammenstellen der verarbeiteten Daten über die betroffene Person
- Bereinigung der Daten um Daten Dritter
- Übermittlung der Auskunft
Schritt für Schritt unter Berücksichtigung der Anforderungen
Annahme der Anfrage
Die Annahme der Anfrage haben wir oben bereits besprochen. Hier soll nur noch ergänzt werden, dass es für den korrekten Umgang mit den betroffenen Personen unerlässlich sein wird, sämtliche Personen, bei denen solche Anfragen eingehen können, entsprechend zu schulen. Je nach Unternehmen kann es sogar sinnvoll sein, regelmäßig entsprechende Übungen mit den Personen zu machen.
Eingangsbestätigung
Eine Eingangsbestätigung gegenüber der betroffenen Person wird in der DSGVO nicht gefordert, sie sollte aber zum guten Ton gehören. Darüber hinaus schafft eine solche Eingangsbestätigung zu einem frühen Zeitpunkt eine nachweisbare Dokumentation im Umgang mit Anfragen betroffener Personen. Im Sinne der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) kann dies sicher nicht schaden.
Identifizierung
Gleich zu Beginn des Prozesses wird zudem geprüft, ob die antragstellende Person auch wirklich die betroffene Person ist, für die sie sich ausgibt. Optimaler Weise erfolgt die Identifikation – insbesondere bei persönlich vorgebrachten Anfragen – direkt im Rahmen der Antragstellung. Die Überprüfung kann beispielsweise durch die Vorlage eines Ausweisdokuments erfolgen. Ist dies nicht möglich oder besteht ein begründeter Zweifel an der Identität der antragstellenden Person, sollte eine weitere Identifizierung stattfinden. Dies kann beispielsweise durch das Anfordern einer Ausweiskopie erfolgen. Beim Umgang mit Ausweiskopien in Bezug auf den Datenschutz gibt es einige Punkte die zu berücksichtigen sind. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat hierfür vor Kurzem eine Leitlinie veröffentlicht.
Zusammenstellen der Daten
Ist das Auskunftsersuchen der betroffenen Person nun intern an der richtigen Stelle angekommen, werden die Daten zusammengestellt. Dies klingt deutlich einfacher als es in der Praxis ist. Denn zu beauskunften sind alle zu der Person verarbeiteten Daten. Welche Daten dies sind hängt stark von der Beziehung zwischen Verantwortlichem und betroffener Person ab. Handelt es sich um einen ehemaligen Beschäftigten oder einen erfolglosen Bewerber? Oder verlangt ein Ansprechpartner eines Zulieferers, Dienstleisters, Auftraggebers oder sonstigen Geschäftspartners Auskunft? In vielen Fällen werden es Verbraucher sein, die von ihrem Recht auf Auskunft Gebrauch machen. Gegebenenfalls handelt es sich sogar um eine Kombination aus mehreren dieser Kategorien betroffener Personen.
Es müssen also sämtliche vorhandenen Datenbanken, Dokumentablagen und sonstigen Stellen, an denen personenbezogene Daten gespeichert werden, geprüft und alle Informationen zusammengetragen werden. An dieser Stelle nur ein kurzer Hinweis darauf, dass beispielsweise auch Log-Dateien, in denen Loginversuche oder Nutzerverhalten von Anwendungen gespeichert werden, personenbezogene Daten enthalten.
Werden zu einer Person sehr viele und gegebenenfalls zu unterschiedlichen Verarbeitungen gehörende personenbezogene Daten verarbeitet kann Erwägungsgrund 63 die Beauskunftung etwas erleichtern. Demnach kann der Verantwortliche verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er die Auskunft erteilt.
Bereinigung um Daten Dritter
Nach Art. 15 Abs. 4 DSGVO ist außerdem zu beachten, dass durch die Erteilung der Auskunft keine Rechte und Freiheiten anderer Personen beinträchtigt werden.
Damit wären wir beim nächsten Risiko: Sofern in den zusammengestellten Daten nämlich Daten Dritter enthalten sind, scheidet eine Übermittlung dieser Daten aus. Gegebenenfalls können bestimmte Dokumente daher nicht zur Vefügung gestellt werden oder es müssen zumindest Teile unkenntlich gemacht werden.
Übermittlung der Auskunft
Jede Auskunft ist unabhängig von der Vielzahl der Zuständigkeiten, der Anzahl und Vielfältigkeit der eingesetzten Systeme sowie der Menge an zu beauskunftenden Daten mit einer Frist von einem Monat zu beantworten und zuzustellen (siehe Art. 12 Abs. 3 DSGVO). Sofern der Verantwortliche ein hohes Anfrageaufkommen hat oder sich die Zusammenstellung der Informationen als schwierig erweist, kann diese Frist auch verlängert werden, wenn dies bei der betroffenen Person innerhalb der Monatsfrist entsprechend begründet wird. Der maximale zusätzliche Aufschub beträgt zwei Monate.
Die Auskunft ist in der Regel unentgeltlich zur Verfügung zu stellen. Lediglich wenn mehrere Kopien angefordert werden, kann für alle weiteren Kopien ein angemessenes Entgelt in Form der angefallen Bearbeitungskosten verlangt werden. Das Gleiche gilt bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung- exzessiven Anträgen. In diesen Fällen kann ein Entgelt verlangt werden oder sogar die Auskunft verweigert werden. Eine häufige Wiederholung wird insbesondere dann vorliegen, wenn Anträge in kurzen Zeitabständen gestellt werden, ohne dass die betroffene Person Anhaltspunkte dafür hat, dass sich die zu Ihrer Person gespeicherten Daten geändert haben könnten.
Die betroffene Person kann frei wählen, ob die Kopie der Auskunft auf elektronischen Weg oder in Papierform erstellt wird. Sofern der Antrag auf elektronischem Weg gestellt wird, wie beispielsweise per E-Mail, muss die Auskunft in einem gängigen elektronischen Format übermittelt werden. Hierzu und zu den damit verbundenen praktischen Problemen hatten wir uns bereits in einem früheren Artikel geäußert. Gleiches gilt zum genauen Umfang der Auskunft, denn neben den verarbeiteten personenbezogenen Daten sind noch zahlreiche weitere Informationen in der Auskunft zu liefern.
Dokumentation und „Restarbeiten“
Auch bei dem Recht auf Auskunft sollte das Thema Dokumentationspflichten nicht außer Acht gelassen werden. Wir empfehlen neben einem definierten Prozess auch damit korrespondierende Dokumentvorlagen für die Kommunikation, die eigentliche Auskunft und auch für die Dokumentation vorzuhalten und zentral zur Verfügung zu stellen. Darüber hinaus müssen alle möglicherweise betroffenen Mitarbeiter sensibilisiert werden. Sofern dies noch nicht passiert ist, empfehlen wir dies so schnell wie möglich nachzuholen, denn jede Anfrage einer betroffenen Person birgt auch das Risiko einer Beschwerde bei einer Aufsichtsbehörde für den Datenschutz und als Folge die Prüfung durch die Behörde, sei die Beschwerde nun berechtigt oder nicht.
Sind Sie unsicher wie das Thema DSGVO-konform anzugehen ist? Dann kontaktieren Sie uns gerne!
Dieser Artikel ist Teil unserer Reihe zu den Betroffenen-Rechten. Die anderen finden Sie hier:
- Teil 1: Allgemeine Regelungen
- Teil 2: Auskunft / Art. 15 (dieser Artikel)
- Teil 3: Berichtigung / Art. 16
- Teil 4: Löschung / Art. 17
- Teil 5: Einschränkung der Verarbeitung / Art. 18
- Teil 6: Datenübertragbarkeit / Art. 20
- Teil 7: Widerspruch / Art. 21
- Teil 8: Beschwerde bei der Aufsichtsbehörde / Art. 77
- Teil 9: Widerruf einer Einwilligung / Art. 7