Die heutige Ausgabe von "Die DSGVO-Gazette" beschäftigt sich mit Ihrer Reaktion auf Auskunftsanfragen nach Art. 15 DSGVO. Fazit: Abwarten und Tee trinken ist keine Option!
Jedem, dessen Daten Sie verarbeiten, hat das Recht auf Auskunft nach Art. 15 DSGVO. Soweit – so gut. Nur wie sollten Sie reagieren, wenn ein solches Auskunftsverlangen Sie erreicht? Erstmal haben solche Auskunftsschreiben verschiedene Gesichter: Normalerweise formuliert ein Betroffener seine Aufforderung zur Auskunft nach Art. 15 DSGVO in ein paar freundlich, aber bestimmt, formulierten Sätzen und sendet diese Anfrage an die richtige Stelle im Unternehmen – den Datenschutzbeauftragten oder die Geschäftsführung. Es geht aber auch profaner – Selbst eine einfache eMail oder Postkarte mit den Worten „Geb mir Auskunft zu meinen Daten.“ oder „Ich will wissen, was ihr mit meinen Daten macht!“ reicht, damit sich der Verantwortliche für die Datenverarbeitung nach den Anforderungen des Art. 15 DSGVO messen lassen muss.
Im schlimmsten Fall einer Anfrage handelt es sich um die wortgleiche c‘t-Fassung von Framstags freundlichem Folterfragebogen (ct5F). Was eigentlich nur für „Unseriöse Versender von Werbung oder Spammer“ gedacht ist, wird häufig schon „gegen“ seriöse und rechtsschaffende Unternehmen verwandt, um sie – nach eigener Aussage des Autors – „zu foltern“.
Falls Sie eine solche Anfrage von Betroffenen (z. B. Kunden, Mitarbeiter, Mitglieder, Schüler, Patienten) erhalten, sollten Sie vorab prüfen, ob der Anspruchsberechtigte selbst diese Anfrage stellt. Ehepartner oder Lebensgefährten der Betroffenen zählen natürlich nicht zu den Anspruchsberechtigten. Auch die Beantwortung von Anfragen leiblicher Elternteile ohne Umgangsrecht kann für Sie als Verantwortlicher mehr Probleme bedeuten, als die Zurückweisung dieser Anfrage.
Wichtig ist, dass Anspruchsberechtigte diese Anfragen auch nicht begründen müssen. Sie können als Verantwortlicher höchstens versuchen, dass der Betroffene das Auskunftsersuchen spezifiziert (Erwägungsgrund 62 der DSGVO). Falls der Betroffene dieser Bitte jedoch nicht entspricht, müssen Sie eine umfassende Antwort erteilen.
Umfassend bedeutet, dass Ihre Antwort folgende Elemente beinhalten muss:
- Sie müssen mitteilen, ob Sie überhaupt personenbezogene Daten des Betroffenen verarbeiten. Wurden die Daten bereits anonymisiert, sollten Sie diesen Umstand auch dem Betroffenen mit einer entsprechenden Erläuterung des Anonymisierungsverfahrens mitteilen.
- Kern des Auskunftsrechts sind die Angaben über die konkret verarbeiteten personenbezogenen Daten. Falls es nicht explizit ausgeschlossen ist, sollten Sie nicht nur die Kategorien von personenbezogenen Daten, die verarbeitet werden, mitteilen. Stellen Sie dem Betroffenen am besten direkt eine Kopie der verarbeiteten Daten zur Verfügung.
- Dabei schließt der Begriff „verarbeitete Daten“ auch eventuell rechtswidrig verarbeitete, personenbezogene Daten ein. Verordnungswidrig würden Sie handeln, wenn Sie Daten nach der Auskunftsanfrage löschen und dann die Auskunft verweigern würden.
- Das Auskunftsrecht nach Art. 15 DSGVO umfasst ebenfalls die Zwecke, für die personenbezogene Daten verarbeitet werden.
- Neben den eigentlichen Daten, die verarbeitet werden, müssen auch die Kategorien verarbeiteter Daten beauskunftet werden. Dabei ist darauf zu achten, dass der Betroffene durch die Auflistung der Kategorien einen tieferen Einblick in die Verarbeitungstätigkeit erhält als durch die in Punkt 1 genannten eigentlichen Kopien der Daten.
- Auch die Empfänger (zukünftige, aktuelle und vergangene) der Daten des Betroffenen sind konkret auszuweisen. Nur wenn die (zukünftigen) Empfänger noch nicht detailliert feststehen, beschränkt sich der Anspruch der Beauskunftung auf Kategorien von Empfängern.
- Darüber hinaus ist die Dauer der Speicherung anzugeben. Bloße Verweise auf „gesetzliche Aufbewahrungsfristen“ sind natürlich nicht ausreichend. Falls sich die konkrete Dauer der Datenspeicherung noch nicht vorhersagen lässt, müssen die Kriterien angegeben werden, nach dem sich die Speicherung bemisst.
- Auf die bestehenden Rechte der Betroffenen ist ebenfalls bei der Beantwortung der Anfrage nach Auskunft einzugehen.
- Falls Sie die Daten bei Dritten und nicht bei dem Betroffenen selbst erhoben haben, müssen Sie die Quellen/die Herkunft der Daten angeben. Hintergrund ist, dass der Betroffene gegenüber diesen Parteien gegebenenfalls auch seine Rechte ausüben möchte.
- Falls Sie darüber hinaus eine „automatisierte Entscheidungsfindung“ verwenden, informieren Sie den Betroffenen darüber analog zu Art. 13 f. DSGVO über die involvierte Logik, die Tragweite sowie die Auswirkungen der Verarbeitung.
Wie geschrieben sollten Sie diese Auskunftsanfragen definitiv ernst nehmen. Solche Anfragen sind häufig nur der Aufhänger für Beschwerden bei der Datenschutzaufsichtsbehörde. Beantworten Sie die Anfragen vollständig und unverzüglich, spätestens jedoch innerhalb eines Monats.
Natürlich werden unterlassene oder nicht vollständig beantwortete Auskunftserteilungen gemäß Art. 83 Abs. 5 DSGVO mit einer abschreckenden Geldbuße bewährt.
Sie haben Fragen? Wenden Sie sich gerne an mich.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen