Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

DSGVO-Gazette #42: Alles (!) rund um Auskunftsanfragen

Hallo zusammen,

immer mehr Unternehmen erreichen Auskunftsanfragen zum Datenschutz von betroffenen Personen. Diese Auskunftsanfragen sind verpflichtend von den Unternehmen, also den Verantwortlichen für die Datenverarbeitung, zu beantworten. Sie basieren immer auf das Recht auf Auskunft nach Art. 15 EU-Datenschutz-Grundverordnung, abgekürzt DSGVO.

Die Gründe für solche Anfragen von Betroffenen können sehr unterschiedlich sein. Zum Beispiel als Ersatz für eine sonst nicht wirksame „Akteneinsicht“ durch Rechtsanwälte, welche die Personalakte oder die Kunden- und Vertragsakte einsehen möchten, im Rahmen von Abfindungsverhandlungen oder – sehr umfangreich – auch bei Kündigungsschutzklagen. Ggfs. haben Sie auch Auskunftsanfragen von – zumeist abgelehnten - Bewerbern erreicht. Neben Trotzreaktionen von enttäuschten Kunden oder Bewerbern kann auch der bloße Spieltrieb ein Grund sein, um eine Auskunftsanfrage zu stellen.

Denn häufig werden dabei sogenannte Online-Anfragegeneratoren wie bespielsweise Saymine ausprobiert. Bei dem Dienst Saymine müssen die Anwender im ersten Schritt eine App installieren, die vollen Zugriff auf das E-Mailpostfach einfordert. Diese App liest dann alle E-Mails aus und stellt in einer Dashboard-Übersicht dar, welche Unternehmen Daten von dem Anwender haben. In einem zweiten Schritt kann dann der Anwender bei all diesen Unternehmen Anfragen nach Art. 15 DSGVO stellen. Die vollständige Sammlung aller Daten kann der Anwender dann an Saymine senden, damit diese das Dashboard des Anwenders erweitern können. Ein Schelm, wer dabei denkt, dass der im nicht-europäischen Ausland ansässige Dienstleister Saymine Technologies die Daten nicht nur zum Wohle des Anwenders nutzt.

Ein weiteres Beispiel für solche Auskunftsanfragen-Generatoren ist datenanfragen.de. Dieser Anbieter hat über 2.500 Kontaktdaten von Datenschutzbeauftragten von Unternehmen. Mit wenigen Mausklicks lassen sich dann automatisiert Auskunftsanfragen erstellen und an jegliche Art von Unternehmen versenden. Dieser Anbieter ist diesmal kein Unternehmen aus dem Nahen Osten, sondern es sind zwei Datenschutz-Aktivisten, die mit ihrem Verein es sich zur Aufgabe gemacht haben, Anwender bei der „Ausübung des Rechts auf Datenschutz“ zu helfen.

Letztlich können noch profanere Gründe eine Auskunftsanfrage auslösen. Denn nicht fristgerecht oder inhaltlich nicht korrekt beantwortete Auskunftsanfragen können auch sehr negative Konsequenzen für Unternehmen haben. Da kann schnell eine anwaltliche Abmahnung samt Schadenersatz, Anwaltskosten und einem Bußgeld von der zuständigen Datenschutz-Aufsichtsbehörde im Raum stehen. Vielleicht kennen Sie den Fall, bei dem ein Mitarbeiter vor dem Arbeitsgericht Oldenburg 10.000 Euro Schadenersatz gegen seinen Arbeitgeber erstritten hat, weil das Unternehmen seinem Arbeitnehmer die Datenauskunft nicht fristgerecht bereitgestellt hat.

Den richtigen Umgang mit Auskunftsanfragen sollten Sie also beherrschen.

Grob gesagt darf eine betroffene Person zu jeder Zeit, auf jeden eröffneten Kontaktweg und in jeder Form auf Sie zukommen und das Recht auf Auskunft einfordern. Der Begriff „betroffene Person“ ist dabei sehr weit ausgelegt. Denn auch Personen, von denen Sie noch nie etwas gehört haben, dürfen Auskunft darüber verlangen, ob Sie Daten von ihr verarbeiten. Wenn Sie keine Daten von dieser Person verarbeiten, müssen sie auf jeden Fall eine negative Auskunft erteilen.

Bevor Sie jedoch Datenauskünfte erteilen, sollten Sie die Identität der Person klären, die mit einer Auskunftsanfrage auf Sie zukommt. Unkritisch wäre beispielsweise eine postalische Auskunftsanfrage, bei der die Unterschrift der betroffenen Person mit der bei Ihnen hinterlegten Unterschrift übereinstimmt und die Antwort der Auskunftsanfrage an die Ihnen bekannte, aktuelle Anschrift der betroffenen Person versandt werden soll.

Dem gegenüber ist es bei einer Auskunftsanfrage per E-Mail über eine Ihnen nicht bekannte E-Mailadresse wichtig, über die Identität der anfragenden Person absolute Klarheit zu haben. Selbst sogenannte Negativauskünfte wären kritisch, wenn Sie die Identität der anfragenden Person nicht zweifelsfrei geklärt haben.

Wenn Sie Identität der betroffenen Person geklärt haben, geht es daran, die Anfrage zu beantworten.

Unspezifische Auskunftsanfragen, also solche die „ins Blaue hinein gestellt“ werden, wie durch die Angebote von Saymine oder datenanfragen.de, sollten nicht direkt mit einer umfassende Kopie der Daten erwidert werden. Hier wird auch von den Datenschutz-Aufsichtsbehörden eine zweistufige Auskunft empfohlen.

Eine zweistufige Auskunft bedeutet, dass Sie erst eine Auskunft darüber erteilen können, ob Sie überhaupt personenbezogene Daten der betroffenen Person verarbeiten. Diese Information können Sie anreichern mit Stammdaten der betroffenen Person. Falls Sie eine Vielzahl von Daten verarbeiten, können Sie die anfragende Person mit der ersten Antwort fragen, zu welchem Teilbereich sie Auskunft über weitere Daten erhalten möchte. Erst nach einer konkretisierenden Antwort stellen Sie dem Betroffenen dann die entsprechenden Daten als Kopie zur Verfügung.

Neben dem Inhalt der Antwort auf die Auskunftsanfrage sollten Sie auf jeden Fall auf die Frist zur Beantwortung einer Auskunftsanfrage achten. Sie müssen zu jeder an Sie gestellten Auskunftsanfrage innerhalb eines Monats eine qualifizierte Antwort geben. Das klassische Einwurfeinschreiben hat sich in diesem Zusammenhang auch bewährt, um den fristgerechten Zugang der Antwort auf die Auskunftsanfrage nachweisen zu können.

Apropos Nachweis: Auskunftsanfragen sollten Sie intern dokumentieren und solange aufbewahren, wie Ihnen Schadenersatzpflichten entstehen können, falls Sie die fristgerechte Auskunftsanfrage nicht nachweisen können.

Zusammenfassend achten Sie bitte bei jeder Gelegenheit darauf, dass Ihnen Auskunftsanfragen von betroffenen Personen nicht „durch die Lappen“ gehen. Teilweise werden diese nur als Halbsatz beschrieben, um die Verfristung der Antwort herbeizuschwören. Leiten Sie die Auskunftsanfragen immer an die internen Ansprechpartner weiter. Dies kann ein Datenschutzkoordinator oder Ihr Datenschutzbeauftragter sein. Sitzen Sie auf keinen Fall diese Art von Anfragen aus, denn Sie müssen inhaltsgerecht, qualifiziert und fristgerecht beantwortet werden.

Abschließend möchte ich noch darauf hinweisen, dass zu dem Recht aus Auskunft nicht nur die DSGVO zu beachten ist. Denn in der jüngsten Vergangenheit wurde das Recht auf Auskunft in verschiedenen Gerichtsverfahren, z. B. vor dem Europäischen Gerichtshof und dem Bundesgerichtshof, thematisiert. Geurteilt wurde dabei zu den Fragen nach dem Inhalt und der Form einer Datenkopie oder den Grenzen des Rechtsmissbrauch durch eine Auskunftsanfrage. Achten entsprechend darauf, dass Sie Ihren Datenschutzbeauftragten einbinden, der die aktuelle Rechtslage kennt, damit Betroffene bei Auskunftsanfragen nichts zu „klagen“ haben.

Falls Sie Fragen haben, melden Sie sich einfach.

Viele Grüße aus Aachen
Ingo Goblirsch


Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter

Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von AbsolutVision auf Unsplash. Vielen Dank!