Bereiten Sie sich rechtzeitig auf ein Auskunftsersuchen nach Art. 15 DSGVO vor
Nach § 15 DSGVO kann jeder Betroffene verschiedene Auskünfte verlangen. In der ersten Stufe kann ein Betroffener fragen, ob überhaupt Daten von ihm verarbeitet werden, und in der zweiten Stufe, welche. Sie sollten diese Fragen rechtzeitig vorbereiten, da Fehler erhebliche finanzielle Konsequenzen nach sich ziehen können.
Die Auskunft ist nach Art. 12 Abs. 3 DSGVO in der Regel sofort („unverzüglich“) zu erteilen, d.h. in der Regel innerhalb einer Woche, längstens aber eines Monats. Weitere Verlängerungen sind nur mit guten Gründen möglich.
„Datenkopie“?
Sie sind verpflichtet, jedem Betroffenen jährliche eine kostenlose Kopie seiner Daten zur Verfügung zu stellen. Allerdings müssen Sie beachten, dass Sie keine Rechte Dritter dadurch gefährden. Sie müssen also Namen anderer in der Regel schwärzen. Die Datenkopie wird in der Regel digital sein. Sie sollten Ihre Verwaltung auf solch eine Anfrage vorbereiten, damit Sie „unverzüglich“ antworten können.
§ 34 BDSG erleichtert diese Pflicht jedoch dadurch, dass Sicherheitskopien von der Pflicht ausgenommen werden, wenn das zu aufwändig wäre und keiner mehr regulären Zugriff darauf hat. Das müssen Sie jedoch begründen.
Es war lange umstritten, ob tatsächlich eine 1:1-Kopie der Daten geschuldet ist, eine tabellarische Form ebenso genügt oder beides nebeneinander erfolgen muss. Der EuGH hat jedoch in der Rechtssache C-487/21, Urt. v. 04.05.2023 (Österreichische Datenschutzbehörde gegen CRIF GmbH) festgestellt, dass eine tabellarische Form ausreicht, solange die genauso verständlich ist. Wenn es aber beispielsweise auf die tatsächliche Unterschrift oder anderen Kontext ankommt, muss im Zweifel eine exakte Kopie bereit gestellt werden.
Welche Fragen müssen weiter „beauskunftet“ werden?
Sie müssen neben der Datenkopie folgende Zusatzfragen beantworten:
Zu welchen Zwecken werden die Daten verarbeitet?
Wenn Sie beispielsweise eine Adressdatei führen, müssen Sie für jede Person notieren, ob sie ein Kunde ist, ein Mitarbeiter oder ein potentieller Werbekontakt (Lead).
Wenn Sie einen E-Mail-Rundbrief (Newsletter) anbieten, müssen Sie notieren, welche Personen Newsletter zu welchem Thema abonniert haben und welche davon zusätzlich eingewilligt haben, dass Sie mit verdeckten Methoden messen, wer die Rundbriefe öffnet (Reichweitenmessung) und bei welchen Adressanten sie keine solche Statistikfunktionen verwenden dürfen.
Welche Zwecke Sie verfolgen, ergibt sich bei einer Einwilligung aus dieser selbst. Verwenden Sie also Fotos mit Einwilligung, müssen Sie diese zu jedem Foto vorweisen können.
Art der Datenverarbeitung
Die Art der Datenverarbeitung betrifft Fragen dazu, welche Kategorien von Daten verarbeitet und an welche Empfänger sie weitergeleitet werden. Dabei müssen Sie nach EuGH, Urteil vom 12.01.2023 (Rs. C-154/21 – Österreichische Post) so genau wie möglich sein, dass heißt, konkrete Namen nennen. Zu den Empfängern gehören beispielsweise Ihre Auftragsverarbeiter und die Information, ob die Daten in sog. unsichere Drittländer gehen. Sie müssen angeben, wie lange die Daten gespeichert, bzw. wann sie gelöscht werden. Dazu brauchen Sie natürlich ein Löschkonzept.
Datenschutzrechte
Im Rahmen der Auskunft sind Sie verpflichtet, abermals über die Betroffenenrechte zu unterrichten, die hoffentlich schon in Ihrer Datenschutzerklärung stehen.
Sonderfälle
Sofern Sie Daten von Dritten erhalten haben, etwa einer Auskunftei, wie Schufa oder Creditreform oder einem Adresshändler, müssen Sie das mitteilen. Das heißt, in Ihrem CRM, Ihrer Adressdatenbank, müssen Sie bei jedem Datensatz notieren, ob Sie Daten von Dritten erhalten haben.
Falls Sie eine automatische Entscheidungsfindung oder Profiling betreiben, müssen Sie das mitteilen und beschreiben. Rund um diese Anforderung streitet gerade die Schufa mit den Behörden, weil diese durch diese Anforderung praktisch gezwungen wird, ihre Geschäftsgeheimnisse offen zu legen. Falls Sie sich der Schufa bedienen, sollten Sie sich schon mal über Alternativen Gedanken machen.
Folgen und Risiken
Wird die Auskunft nicht, nicht richtig oder nicht so schnell wie möglich erteilt, drohen nebeneinander Schadenersatz nach § 82 DSGVO und zusätzlich Bußgeld nach Art. 83 DSGVO. Der Schadenersatz für den immateriellen Schaden (Schmerzensgeld) beträgt für einfache Fehler schnell mal 1000 €. Das Arbeitsgericht Düsseldorf verhängte für eine unvollständige Auskunft jedoch bereits 2020 einen Schadenersatz in Höhe von 5000 €.
Zu Ihren Gunsten wird die deutsche Rechtsprechung immer restriktiver in Bezug auf Rechtsmissbrauch der Auskunftsanfragen. Wird das Auskunftsrecht zu anderen Zwecken benützt, als dem eigentlichen Datenschutz, begrenzen die Gerichte es häufig. Ob das vor dem EuGH Bestand haben wird, ist aber noch offen.
Weiterführend
- Der Weg zur rechtssicheren Webseite
- EuGH-Urteil zum Anspruch auf Datenkopie nach Art. 15 Abs. 3 DS-GVO: Eine Entscheidung mit weitreichenden Konsequenzen für die Praxis — GDD e.V.
- Sebastian Laoutoumai, LL.M. – Das datenschutzrechtliche Recht auf Auskunft - Art. 15 DSGVO
Autor: Florian Thomas Hofmann, Data Privacy Legal Consultant, 04.09.2023