Auskunftsersuchen: So gehen Sie richtig damit um
Geht im Unternehmen oder in der Behörde ein Auskunftsersuchen ein, ist Ignorieren die schlechteste aller Lösungen. Das Gesetz fordert, dass der Verantwortliche so oder so eine Antwort erteilen muss, und zwar spätestens innerhalb eines Monats. Diese Frist ist neu unter der Datenschutz-Grundverordnung (DSGVO).
Nur in begründeten Ausnahmen ist eine Verlängerung möglich (Art. 12 Abs. 3 DSGVO). Abzuwarten und zu versuchen, das Ganze auszusitzen, ist jedenfalls keine Option, will man es nicht auf eine Geldbuße anlegen.
Fünf zentrale Fragen bei Auskunftsersuchen
Bereiten Sie daher anhand der folgenden fünf Überlegungen die Antwort vor:
- Verarbeiten wir überhaupt Daten des Anfragenden?
- Können wir die Auskunft vielleicht verweigern?
- Welche Inhalte müssen wir mitteilen?
- In welcher Form muss die Auskunft erfolgen?
- Ist der Anfragende berechtigt?
1. Verarbeiten wir überhaupt Daten des Anfragenden?
Klären Sie zunächst, ob im konkret angefragten Fall überhaupt eine Verarbeitung von Daten über die betroffene Person stattfindet. Das ist oft leichter gesagt als getan. Grundvoraussetzung ist nämlich, dass der Verantwortliche einen Überblick darüber hat, wo er welche Daten verarbeitet (siehe dazu auch Ehmann, Heft 06/18, S. 1).
Hier ist also schon eine Menge Vorarbeit erforderlich, die aber auf jeden Fall getan werden muss, da sonst z.B. auch kein Verzeichnis der Verarbeitungstätigkeiten möglich ist. Ist klar, dass der Verantwortliche Daten der betroffenen Person verarbeitet, ist die erste Hürde genommen, und Sie können gleich zur Frage springen „Können wir die Auskunft vielleicht verweigern?“
Negativauskunft
Liegen keine Daten über den Anfragenden vor, muss der Verantwortliche ihm auch dies mitteilen. Das ergibt sich aus Art. 15 Abs. 1 erster Halbsatz DSGVO. Der dahinterstehende Gedanke ist, dass sich der Anfragende nur so ein umfassendes Bild darüber verschaffen kann, wo überall Daten über ihn im Umlauf sind.
Bei einer solchen sogenannten Negativauskunft sind weitere Gesichtspunkte zu beachten: Denn die Anfrage enthält ja selbst personenbezogene Daten, etwa den Namen des Absenders und seine Anschrift. Diese Daten muss der Verantwortliche verarbeiten, um die Antwort erteilen zu können.
Denken Sie deshalb daran, die allgemeinen Datenschutz-Grundsätze anzuwenden und insbesondere die Datenschutz-Informationen nach Art. 13 DSGVO zur Verfügung zu stellen.
Die Hinweise zum Datenschutz müssen die üblichen Angaben nach Art. 13 DSGVO enthalten. Dazu gehört u.a. eine Angabe, wie lange das Unternehmen oder die Behörde Auskunftsersuchen und deren Beantwortung aufbewahrt.
Dass es sinnvoll ist, die Auskunftserteilung und auch Negativauskünfte für eine gewisse Zeit zu speichern, ergibt sich aus der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Denn nur so kann das Unternehmen belegen, dass es die Datenschutzgesetze einhält.
Zudem kann es sich verteidigen, falls es wegen der Antwort zu einer Auseinandersetzung mit der Aufsichtsbehörde kommen sollte.
Beispielformulierung für eine Negativauskunft, falls keine Daten über den Auskunft Begehrenden gespeichert sind:
Sehr geehrte/r Frau/Herr …,
wir haben keine personenbezogenen Daten zu Ihrer Person gespeichert. Davon ausgenommen sind diejenigen Daten, die Sie uns selber in Ihrer Bitte um Auskunft mitgeteilt haben.
Unsere Hinweise zum Datenschutz finden Sie … (z.B. nachfolgend, auf der Rückseite, in angehängter Datei, auf der Internetseite www.xyz.de/datenschutz).
Speicherfrist: drei Jahre
Und wie lange sollte dieser Vorgang gespeichert werden? Eine unbefristete Speicherung ist, wie sonst auch, nicht zulässig. Als Richtwert lässt sich auf die Verjährung zurückgreifen – denn nach Ablauf der Verjährung kann ein Betroffener keine Ansprüche mehr aus einer Nicht- oder Falscherteilung einer Auskunft geltend machen.
Über eine etwas komplizierte Verweisungskette ergibt sich eine Verjährungsfrist von drei Jahren. Das besagt § 31 Abs. 2 Nr. 1 Ordnungswidrigkeitengesetz (OWiG), der anwendbar ist aufgrund einer Verweisung in § 41 Abs. 1 Bundesdatenschutzgesetz (BDSG) unter Verweis auf Art. 83 Absatz 5 Buchst. b DSGVO.
Somit sollten Verantwortliche eine Negativauskunft für drei Jahre nach der Auskunftserteilung aufbewahren und danach löschen.
2. Können wir die Auskunft vielleicht verweigern?
Normalerweise wird ein Verantwortlicher die Auskunft erteilen müssen. Ausnahmen gibt es nur bei exzessiven Anträgen, also wenn der Betroffene seine Anfrage z.B. ohne nachvollziehbaren Anlass mehrmals im Jahr wiederholt (Art. 12 Abs. 5 Buchst. b DSGVO).
Dabei liegt die Beweislast hierfür beim Verantwortlichen, nicht beim Anfragenden.
Ausnahmen von der Auskunftpflicht im BDSG
Weitere Ausnahmen regeln Sondervorschriften, die nur in Deutschland zur Anwendung kommen. So besteht beispielsweise keine Auskunftspflicht,
- wenn die Daten nur noch aufgrund gesetzlicher Aufbewahrungsvorschriften gespeichert bleiben müssen (z.B. aus buchhalterischen Gründen) und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2a BDSG),
- wenn es sich ausschließlich um Archiv- und Protokollierungsdaten handelt (z.B. Backups oder Logfiles) und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2 b BDSG) oder
- wenn ein Interesse an Geheimhaltung besteht (§ 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG).
Die Geheimhaltung kann sich aus einer Rechtsvorschrift oder aus „ihrem Wesen“, insbesondere aus „überwiegend berechtigten Interesse eines Dritten“, ergeben. Darauf können sich in erster Linie Berufsgeheimnisträger wie Rechtsanwälte oder Ärzte berufen.
Weitere Spezialfälle
Darüber hinaus gibt es Ausnahmen für Spezialfälle in folgenden Bereichen:
- Datenverarbeitung zu Zwecken der Forschung oder Statistik (§ 27 Abs. 2 BDSG)
- Datenverarbeitung bei Archiven im öffentlichen Interesse (§ 28 Abs. 2 BDSG)
- Datenverarbeitung durch Behörden, wenn ihre Auskunft zu einer Gefährdung führen würde (§ 34 Abs. 1 Nr. 1 und § 33 BDSG)
Kommt eine dieser Ausnahmen zur Anwendung, muss der Verantwortliche dies begründen. Die Gründe muss er dem Betroffenen mitteilen (Art. 12 Abs. 4 DSGVO).
3. Welche Inhalte müssen wir in der Auskunft mitteilen?
Die Inhalte der Auskunft richten sich nach dem Auskunftsbegehren des Betroffenen.
Maximal besitzt der Betroffene einen gesetzlichen Anspruch auf die folgenden Informationen (Art. 15 Abs. 1 DSGVO):
- Zu welchen Zwecken verarbeitet der Verantwortliche die Daten des Betroffenen? Beispiel: zur Erfüllung des Vertrags mit dem Betroffenen.
- Welche Kategorien von personenbezogenen Daten über ihn verarbeitet er? Es ist hier nicht notwendig, jedes einzelne Datenfeld aufzulisten, sondern es genügt, Oberbegriffe zu nennen.
- An welche Empfänger oder Kategorien von Empfängern werden seine Daten ggf. offengelegt? Auch Empfänger in Drittländern außerhalb von EU und EWR müssen genannt werden.
- Nach welchen Kriterien bemisst sich die Speicherdauer? Ergänzen Sie die oft verwendete Aussage, dass Daten „so lange gespeichert werden, so lange sie für die oben genannten Zwecke erforderlich sind und gesetzliche Aufbewahrungsfristen dies verlangen“ durch möglichst konkrete Aufbewahrungsfristen.
- Hinweis auf die Betroffenenrechte, also auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch.
- Hinweis auf die Möglichkeit, sich bei einer Aufsichtsbehörde über die Datenverarbeitung zu beschweren. Konkrete Kontaktdaten müssen jedoch nicht mitgeteilt werden.
- Stammen die Daten nicht vom Betroffenen, sondern aus einer anderen Quelle: Angaben über alle verfügbare Informationen zur Herkunft der Daten.
- Sind die Daten einer automatisierten Entscheidung, einschließlich Profiling, unterworfen – im Sinn des Art. 22 DSGVO, etwa bei Bonitäts-Scoring oder Verfolgung des Standorts: aussagekräftige Informationen über die zugrunde liegende Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
- Werden die Daten an ein Drittland übermittelt, also an ein Land außerhalb der EU und des EWR, besitzt der Anfragende auch das Recht, die Rechtsgrundlage dafür zu erfahren (z.B. EU-Standardvertrag, Privacy-Shield-Zertifizierung o.Ä.).
PRAXIS-TIPP: Der aufmerksame Leser erkennt etliche Gemeinsamkeiten zwischen diesen Angaben und denen der Datenschutz-Informationen nach Art. 13, 14 DSGVO sowie dem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Tatsächlich handelt es sich weitgehend um dieselben Angaben.
Ein Verantwortlicher kann sich also Zeit und Mühen sparen, wenn er die Angaben untereinander abgleicht.
4. In welcher Form muss die Auskunft erfolgen?
Die betroffene Person hat Anspruch darauf, „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zu erhalten (Art. 15 Abs. 3 DSGVO). Der Verantwortliche muss die Daten so herausgeben, wie sie bei ihm vorliegen.
In der Praxis kommen Unternehmen und Behörden dem am einfachsten nach, indem sie den Datensatz oder die Akte über den Betroffenen ausdrucken bzw. kopieren und übergeben.
Bei der Form der Auskunft besteht jedoch ein Spielraum. Sie muss nicht so wie früher unbedingt schriftlich erfolgen. Das Gesetz stellt beispielsweise fest, dass Anträge, die in elektronischer Form eingehen, auch elektronisch beantwortet werden dürfen, soweit der Betroffene nichts anderes angibt (Art. 15 Abs. 3 Satz 3 DSGVO). Denkbar ist dann etwa die Übermittlung einer PDF-Datei.
Im besten Fall erhält der Betroffene direkten Einblick in die eigenen Daten über einen Fernzugriff, etwa über eine Weboberfläche. Wichtig ist hierbei, dass alle Kommunikationswege angemessen geschützt sind.
Zudem ist darauf zu achten, dass die Datenkopie vollständig ist. Teile zu schwärzen oder wegzulassen, ist nur zulässig,
- wenn eine der Ausnahmen besteht, die oben beschrieben sind, oder
- wenn die Herausgabe die „Rechte und Freiheiten anderer Personen“ beeinträchtigt (dazu zählt auch der Verantwortliche selbst, vgl. Art. 15 Abs. 4 DSGVO). Eine solche Beschränkung des Auskunftsrechts kann sich beispielsweise ergeben aus Geschäftsgeheimnissen oder aus geistigen Eigentumsrechten, etwa dem Urheberrecht an Software (Erwägungsgrund 63 der DSGVO).
Auch in diesen Fällen muss der Verantwortliche die Auskunft jedoch erteilen. Nur die sensiblen Passagen darf er weglassen oder unkenntlich machen.
Die Auskunft muss kostenfrei erfolgen. Lediglich in Ausnahmefällen dürfen Verantwortliche Kosten in Rechnung stellen, und dann auch nur angemessene Verwaltungskosten, wenn der Betroffene z.B. eine zweite oder „weitere Kopie“ verlangt oder wenn es sich um einen exzessiven Antrag handelt (Art. 12 Abs. 5 DSGVO).
5. Ist der Anfragende berechtigt?
Auskunft darf nur derjenige erhalten, um dessen Daten es geht. Der Verantwortliche muss verhindern, dass Unberechtigte Informationen erhalten, die nicht für sie bestimmt sind. Bekäme ein Unberechtigter eine Auskunft, läge regelmäßig eine Datenpanne vor, die der Verantwortliche bei der Behörde melden müsste (Art. 33 DSGVO).
Um so etwas zu vermeiden, sind klare interne Vorgaben nötig, wie eine Identitätsprüfung stattzufinden hat. Die DSGVO stellt hier allerdings keine allzu hohen Anforderungen. Laut Gesetz darf eine Auskunft bereits erteilt werden, soweit „keine begründeten Zweifel an der Identität“ des Anfragenden bestehen (vgl. Art. 12 Abs. 6 DSGVO).
Solche begründeten Zweifel können sich z.B. ergeben, wenn die Anfrage von einer Fantasie-E-Mail-Adresse kommt oder es Abweichungen zur hinterlegten Anschrift gibt.
Was können Sie als Datenschutzbeauftragter empfehlen, wenn so ein Fall vorliegt? Bei einem persönlichen Gespräch könnte man sich einen Ausweis mit Foto vorzeigen lassen. In anderen Fällen können die Kollegen nach Daten fragen, die bereits im System hinterlegt sind, und diese vergleichen, etwa Geburtsdatum oder Kundenummer.
Bei einem elektronischen Antrag könnte man sich die Postanschrift bestätigen lassen. Soweit der Betroffene Auskunft über besonders sensible Daten begehrt (etwa Gesundheitsdaten), ist es hilfreich, wenn der Anfragende freiwillig eine Kopie seines Ausweises bereitstellt. In dieser Kopie dürfen dann alle nicht benötigten Angaben geschwärzt sein.
Eine weitere wichtige Maßnahme, um das Risiko einzudämmen, ist, die Auskunft immer nur an diejenige Adresse zu übermitteln, die bereits vor dem Auskunftsersuchen für den Betroffenen hinterlegt war.
Fazit: Auskunftsersuchen im Datenschutz ernst nehmen!
Auskunftsersuchen sind ernst zu nehmen. Denn unvollständige, unterlassene oder zu späte Antworten sind von hohen Geldbußen bedroht (bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes gemäß Art. 83 Abs. 5 Buchst. b DSGVO).
Sorgen Sie deshalb vor: Wissen die Mitarbeiter, wie sie in solchen Fällen vorzugehen haben, und ist klar festgelegt, wer für was verantwortlich ist, lässt sich die Auskunft fristgerecht und sicher erteilen.