Nach Artikel 15 der Datenschutz-Grundverordnung (DSGVO) haben Einzelpersonen das Recht, eine Kopie aller ihrer personenbezogenen Daten, die von "Verantwortlichen" (also Unternehmen) verarbeitet werden, anzufordern. Dieser Vorgang wird als Betroffenenanfrage, Auskunftsersuchen, Auskunftsanfrage, Datenschutz-Anfrage oder DSGVO-Auskunft bezeichnet.
Der erste und wichtigste Schritt ist, eine Auskunftsanfrage als solche zu erkennen. Ihr Datenschutzbeauftragter (DSB) kann Sie dabei unterstützen, Ihre Mitarbeiter zu schulen, Betroffenenanfragen richtig einzuordnen und beantworten zu können.
Wie kann das Auskunftsrecht von Betroffenen ausgeübt werden?
Die DSGVO sieht keine spezifische Methode vor, um einen gültigen Antrag auf Auskunft zu stellen, sodass ein Antrag von einer Person schriftlich oder mündlich gestellt werden kann. Es ist für Betroffene allerdings sinnvoll, schriftliche Auskunftsersuchen zu stellen, um Streitigkeiten über die Details, den Umfang oder den Zeitpunkt einer Betroffenenanfrage zu vermeiden.
In der Betroffenenanfrage sollte immer angegeben werden, welche personenbezogenen Daten konkret angefragt werden. Als Unternehmen können Sie ggf. einen Nachweis der Identität anfragen, wenn Sie die anfragende Person nicht eindeutig zuordnen können. Dies dient dazu, sicherzustellen, dass personenbezogene Daten nicht an die falsche Person weitergegeben werden.
Hinterfragen Sie jedoch kritisch, ob dies zwingend notwendig ist. Sofern Sie die anfragende Person über z. B. die Email-Adresse eindeutig identifizieren können, da diese bei Ihnen bereits hinterlegt ist, sollten Sie keinen zusätzlichen Nachweis anfordern.
Kann eine Gebühr für die Beantwortung des Auskunftsersuchens erhoben werden?
In den meisten Fällen kann von Einzelpersonen nicht verlangt werden, dass sie eine Gebühr für die Beantragung auf Auskunft zahlen müssen. Nur unter bestimmten, sehr begrenzten Umständen, wie in Artikel 12 der DSGVO festgelegt, kann ein für die Datenverarbeitung Verantwortlicher eine "angemessene Gebühr" für die Verwaltungskosten zur Erfüllung der Datenschutz-Anfrage erheben. Dies wäre z. B. der Fall, wenn der ursprüngliche Antrag "offensichtlich unbegründet oder übermäßig" ist (was Sie als Verantwortlicher allerdings nachweisen müssen).
Können Mitarbeiter Auskunft von ihrem Arbeitgeber verlangen?
Auch Mitarbeiter können ein Auskunftsersuchen an ihren Arbeitgeber stellen.
Die angeforderten Informationen sind in der Regel:
- Eine Bestätigung, ob personenbezogene Daten über sie verarbeitet werden
- Eine Beschreibung der personenbezogenen Daten, die Zwecke, zu denen sie verarbeitet werden und ob sie an andere Organisationen oder Personen weitergegeben werden
- Kopien von Informationen, die die Daten enthalten
- Angaben zur Quelle der Daten (falls vorhanden)
Bei der Beantwortung einer Betroffenenanfrage sollte die Personalabteilung beachten, dass der Mitarbeiter, der Auskunft zu seinen persönlichen Daten wünscht, seine Anfrage in keiner Weise begründen oder erklären muss.
Format der Informationsanforderung
Generell gilt, dass ein für die Datenverarbeitung Verantwortlicher Ihren Antrag auf Auskunft in der gleichen Art und Weise beantworten sollte, wie der Antrag gestellt wurde, oder in dem Format, in dem ausdrücklich um eine Antwort gebeten wurde.
Wenn Sie den Antrag auf elektronischem Wege erhalten haben (z. B. per Email), sollten Sie die erforderlichen Informationen in einem elektronischen Standardformat bereitstellen, sofern die betroffene Person nichts anderes verlangt hat.
Gibt es Einschränkungen für das Auskunftsrecht?
Gemäß Art. 12 Abs. 5 DSGVO kann ein für die Verarbeitung Verantwortlicher unter bestimmten Umständen die Beantwortung eines Antrags auf Auskunft verweigern, wenn dieser "offensichtlich unbegründet oder unverhältnismäßig" ist. Dies ist jedoch eine hohe Schwelle, die es zu erfüllen gilt, und der Verantwortliche muss in der Lage sein, nachzuweisen, dass die Anfrage offensichtlich unbegründet oder unverhältnismäßig war. Es dürfte nur sehr wenige Fälle geben, in denen die Ablehnung einer Anfrage auf dieser Grundlage gerechtfertigt werden kann.
Der Verantwortliche müsste eine Abwägung vornehmen, um das Recht auf Zugang zu den personenbezogenen Daten gegen das festgestellte Risiko für einen Dritten abzuwägen. Die DSGVO besagt, dass diese Erwägungen nicht einfach zu einer Verweigerung der Bereitstellung aller relevanten Informationen im Rahmen der Betroffenenanfrage führen sollten. Stattdessen sollte sich der Verantwortliche bemühen, dem Ersuchen so weit wie möglich nachzukommen und gleichzeitig einen angemessenen Schutz der Rechte und Freiheiten von Dritten zu gewährleisten.