Checklisten zur Auskunft

Checkliste Auskunftsanfragen.

Wenn jemand Sie um (datenschutzrechtliche) Auskunft nach Art. 15 DSGVO bittet, sollten Sie folgende Punkte bedenken:

1. Die Anfrage ist „unverzüglich“, also so schnell es geht zu beantworten.
   D.h. Rückfragen beim Datenschutzbeauftragten sind erlaubt. Insgesamt sollte nach Art. 12 Abs. 3 DSGVO ein Monat regelmäßig nicht überschritten werden, sonst sind Zusatzmaßnahmen erforderlich ­­– anderenfalls entsteht eine Schadenersatzpflicht.

2. Sofern Sie keine Daten verarbeiten, sollten Sie das innerhalb einer Woche kundtun, ansonsten in dieser Zeit schon mal eine Eingangsbestätigung verschicken. Bitte vergessen Sie nicht in der Antwort – am Besten sowieso in der Signatur – Ihre Datenschutzerklärung zu verlinken.

3. Bei einer allgemeinen Auskunft müssen Sie die Liste in Art. 15 Abs. 1, Abs. 2 DSGVO abarbeiten - das Meiste davon sollte schon in Ihrer Datenschutzerklärung für diese Zielgruppe stehen. Kontrollieren Sie diese auf Vollständigkeit und verschicken Sie diese erneut.

4. Falls jemand eine konkrete Kopie seiner gespeicherten Daten verlangt, ist diese einmal jährlich gratis. Falls die Anfrage elektronisch kommt, sollte sie auch elektronisch beantwortet werden. Bitte erwägen Sie dringend, diese mit einem Passwort zu verschlüsseln, wenn es keine Daten sind, die das Gegenüber sowieso freizügig übers Internet teilt. Bei Mitarbeitern könnte das sein

   1. sein betriebliches Email-Postfach,

   2. Arbeitsanweisungen allgemein und individuell,

   3. Listen bei Einstellung und Verlassen des Unternehmens,

   4. Personalakte,

   5. Auszug aus Berechtigungssystem,

   6. Abrechnungsdaten,

   7. Zeiterfassung, Fehlzeiten,

   8. Mitarbeiterfotos

5. Sie können die Daten aber möglicherweise begrenzen. Dann müssen Sie das mit Begründung nach § 34 Abs. 2 BDSG vermerken. Gründe dafür könnten sein

   1. die Herausgabe erfordert unverhältnismäßigen Aufwand und Sie heben die Daten nur auf, weil Sie gesetzlich dazu verpflichtet sind (z. B. Abrechnungsunterlagen für die Steuer),

   2. bestimmte Daten müssen Sie nach Art. 15 IV DSGBO, EG 63 DSGVO nicht herausgeben.

      1. Daten die andere Personen betreffen und deren Rechte und Freiheiten beeinträchtigen - diese dürfen Sie schwärzen.

      2. Daten, die der Betroffene gerade erst erhalten hat,

      3. (interne!) Aussagen z. B. über

         1. Gründe einer Kündigung,

         2. das Verhalten einer Person, die der Person oder den anderen Kollegen noch nicht (offiziell) mitgeteilt wurden;

      4. alle internen Vermerke und Kommunikation,

      5. Richtlinien und Arbeitsanweisungen, die man bei Einstellung zur Kenntnis bringt und die nicht unterschrieben wurden, da sie keinen Personenbezug aufweisen,

      6. Vermerke die ein Vorgesetzter sich zur internen Verwendung angefertigt hat, aber nie an andere weitergegeben wurden,

      7. Sensible Emails, mit Geschäftsgeheimnissen oder mehr als triviale personenbezogene Kundendaten, wie Vertragsverhandlungen.

   3. Eine Formulierungshilfe bei Einschränkungen für gekündigte Arbeitnehmer könnte sein: „Wir sehen keinen unbegrenzten Anspruch auf Kopien.” Sofern der Arbeitnehmer seine Anfrage entsprechende konkretisiert, können wir Kopien zur Verfügung stellen. Wir verweisen dazu auf das Urteil des BAG vom 16.12.2021 – 2 AZR 235/21“.

   4. Betroffene Videoaufnahmen aus dem Betrieb sollte man sichern, die normalen Löschfristen werden durch eine Anfrage in der Regel ausgehebelt, aber im Übrigen mit der Herausgabe sehr vorsichtig sein, da meistens noch andere Personen betroffen sind.

Bei komplizierten Anfragen sollten Sie diese deshalb unbedingt mit Ihrem Datenschutzbeauftragten koordinieren.

Autor: Thomas Hofmann, Data Privacy Legal Consultant, 07.03.2025