Ratgeber

Datenschutzrechtlicher Auskunftsanspruch

Wer kann Auskunft verlangen? Wie ist mit einem Auskunftsersuchen umzugehen? Wann kann die Auskunft verweigert werden? Wie wird ordnungsgemäß Auskunft erteilt?

//OPENER (DESKTOP, TABLET)

Geht im Unternehmen ein Auskunftsersuchen ein, so muss dieses zügig und ordnungsgemäß bearbeitet werden (können). In diesem Ratgeber finden Sie wichtige praxisrelevante Informationen. 

//OPENER (MOBILE)

Geht im Unternehmen ein Auskunftsersuchen ein, so muss dieses zügig und ordnungsgemäß bearbeitet werden (können). In diesem Ratgeber finden Sie wichtige praxisrelevante Informationen.

Das sollten Sie wissen.

Auskunftsrecht Des Betroffenen

Das Auskunftsrecht gliedert sich in zwei Stufen. Auf der ersten Stufe kann die betroffene Person vom Verantwortlichen eine Bestätigung darüber verlangen, ob dieser sie betreffende personenbezogene Daten verarbeitet. Ist dies nicht der Fall ist, so ist der Antragsteller darüber zu informieren (Negativauskunft). Werden hingegen personenbezogene Daten des Antragstellers verarbeitet, so hat dieser – auf der zweiten Stufe – ein Recht auf Auskunft, welche personenbezogenen Daten verarbeitet werden (z.B. Name, Anschrift, Geburtsdatum, medizinische Befunde); zudem hat die betroffene Person das Recht, folgende Informationen vom Verantwortlichen bereitgestellt zu bekommen (Art. 15 Abs. 1 DSGVO; Positivauskunft):
  Verarbeitungszwecke
  Kategorien personenbezogener Daten, die verarbeitet werden
  Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden
  Geplante Speicherdauer, andernfalls die Kriterien für die Festlegung dieser Dauer
  Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
  Widerspruchsrecht gegen diese Verarbeitung
  Beschwerderecht bei der Aufsichtsbehörde
  Herkunft der Daten, wenn diese nicht bei der betroffenen Person selbst erhoben wurden
  Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer solchen Verarbeitung für die betroffene Person.
Das Auskunftsrecht kann durch einen entsprechenden (formlosen) Antrag der betroffenen Person geltend gemacht werden (Auskunftsersuchen). 

Auskunftsverweigerungsrecht DES VERANTWORTLICHEN

Ein Auskunftsverweigerungsrecht besteht, wenn der Antragsteller offenkundig unbegründete oder exzessive Anträge, d.h. wiederholt missbräuchliche Anträge, stellt (Art. 12 Abs. 5 S. 2 DSGVO); für das Vorliegen dieser Voraussetzungen hat allerdings der Verantwortliche die entsprechenden Nachweise zu erbringen (Art. 12 Abs. 5 S. 3 DSGVO). Von einer Auskunftserteilung kann ausnahmsweise auch dann abgesehen werden, wenn dies die Rechte und Freiheiten anderer Personen beeinträchtigen würde (Art. 15 Abs. 4 DSGVO).

Einschränkungen und AusNAHMEN DES AUSKUNFTSRECHTS

In besonderen Konstellationen kann das Auskunftsrecht – bei Vorliegen der entsprechenden Voraussetzungen – ausgeschlossen sein (z.B. bei Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (§ 27 Abs. 2 BDSG); bei Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken (§ 28 Abs. 2 BDSG); soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen (§ 29 Abs. 1 S. 2 BDSG) sowie in den Fällen des § 34 BDSG. Der Verantwortliche hat das Vorliegen dieser Voraussetzungen zu begründen und die Gründe der betroffenen Person mitteilen (Art. 12 Abs. 4 DSGVO).

Auskunftserteilung

Die Auskunftserteilung hat in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erfolgen und kann schriftlich oder in anderer Form, gegebenenfalls auch elektronisch sowie – auf Verlangen der betroffenen Person – auch mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde (Art. 12 Abs. 1 DSGVO). Wird das Auskunftsersuchen elektronisch gestellt, so sind die zur Verfügung zu stellenden Informationen in einem gängigen elektronischen Format (z.B. als PDF) zur Verfügung zu stellen (Art. 15 Abs. 3  S. 4 DSGVO).
Die Auskunftserteilung hat unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Auskunftsersuchens zu erfolgen; diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist (Art. 12 Abs. 3 DSGVO). Bei nicht fristgerechter Auskunftserteilung drohen Schadensersatzforderungen des Antragstellers, wenn dieser daraufhin einen Anwalt mit der außergerichtlichen Geltendmachung des Auskunftsanspruchs beauftragt. Bei verspäteten,  unterlassenen oder unvollständigen Auskunftserteilungen drohen zudem hohe Geldbußen durch die Aufsichtsbehörde (Art. 83 Abs. 5 lit. b DSGVO).
Der Verantwortliche hat der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind (Art. 15 Abs. 3 S. 1 DSGVO). 
Die Auskunftserteilung hat grundsätzlich unentgeltlich zu erfolgen (Art. 12 Abs. 5 S. 1 DSGVO). Bei offenkundig unbegründeter oder exzessiver Antragstellung (Nachweispflicht liegt beim Verantwortlichen) einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen oder eine Auskunftserteilung verweigern (Art. 12 Abs. 5 S. 2 DSGVO). Die betroffene Person ist  über die Gründe der verweigerten Auskunftserteilung zu informieren (Art. 12 Abs. 4 DSGVO). Beachten Sie jedoch, dass betroffene Personen das ihr zustehende Recht auf (unentgeltliche) Auskunftserteilung in angemessenen Abständen wahrnehmen können (vgl. Erwägungsgrund 63 zur DSGVO).

So sollten Sie vorgehen.

IDENTITÄTSCHECK!

Stellen Sie sicher, dass der Antragsteller tatsächlich die Person ist, für die er sich im Auskunftsersuchen ausgibt. Sofern begründete Zweifel an der Identität des Antragstellers bestehen (z.B. Antragstellung über eine Fantasie-E-Mail-Adresse), müssen Sie diesen – zur Vermeidung einer Datenpanne – um die Übermittlung weiterer Informationen bitten, die eine eindeutige Identifikation ermöglichen und einen Missbrauch durch unbefugte Dritte ausschließen (§ 12 Abs. 6 DSGVO).
Sofern der Antragsteller das Auskunftsersuchen nicht selbst, sondern durch einen Anwalt stellt, sollte vor Auskunftserteilung auf Vorlage einer entsprechenden Originalvollmacht des Anwalts bestanden werden, um überprüfen zu können, ob eine wirksame Stellvertretung des Antragstellers durch den Rechtsanwalt vorlag und die Auskunft ihm gegenüber überhaupt erteilt werden darf (AG Berlin-Mitte, Urteil vom 29.07.2019, 7 C 185/18). 

BESTEHT EIN RECHT ZUR VERWEIGERUNG DER AUSKUNFT?

Prüfen Sie, ob die Auskunft ausnahmsweise verweigert werden kann, weil der Antragsteller offenkundig unbegründete oder exzessive Anträge, d.h. wiederholt missbräuchliche Anträge, stellt (Art. 12 Abs. 5 S. 2 DSGVO). Beachten Sie jedoch, dass der Verantwortliche allerdings die entsprechenden Nachweise für das Vorliegen dieser Voraussetzungen zu erbringen hat (Art. 12 Abs. 5 S. 3 DSGVO).

WERDEN DATEN DES ANTRAGSTELLERS VERARBEITET?

Sofern personenbezogene Daten des Antragstellers verarbeitet werden, muss darüber ordnungsgemäß Auskunft erteilt werden (Positivauskunft). Werden keine personenbezogene Daten des Antragstellers verarbeitet, muss darüber ebenfalls Auskunft erteilt werden (Negativauskunft).

IST DAS AUSKUNFTSRECHT AUSGESCHLOSSEN?

In besonderen Konstellationen kann das Auskunftsrecht – bei Vorliegen der entsprechenden Voraussetzungen – ausgeschlossen sein (z.B. bei Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (§ 27 Abs. 2 BDSG); bei Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken (§ 28 Abs. 2 BDSG); soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen (§ 29 Abs. 1 S. 2 BDSG) sowie in den Fällen des § 34 BDSG.

ORDNUNGSGEMÄßE AUSKUNFTSERTEILUNG

Werden personenbezogene Daten des Antragstellers verarbeitet und liegen keine Gründe für eine Auskunftsverweigerung vor, ist der Verantwortliche zur ordnungsgemäßen Auskunftserteilung verpflichtet. Eine Aufstellung über die bereitzustellenden Daten und Informationen finden Sie hier.

Muster einer Auskunftserteilung.

//DESKTOP, TABLET

John Doe GmbH
Hauptstraße 123
45678 Platzhalter
An
Herrn Max Mustermann
Musterstraße 1
23456 Musterstadt
Platzhalter, den 01.02.2020
Auskunftserteilung gemäß Art. 15 DSGVO
Sehr geehrter Herr Mustermann,

auf Ihren Antrag auf Auskunftserteilung gemäß Art. 15 DSGVO vom 01.01.2020, bei uns eingegangen am 02.01.2020, teilen wir Ihnen Folgendes mit:
1. Zu Ihrer Person haben wir folgende Daten gespeichert:
Name: Mustermann
Vorname: Max
Anschrift: Musterstraße 1, 23456 Musterstadt
Telefon: 01234/567890
E-Mail: max@mustermann.de
2. Verarbeitungszwecke:
Wir verarbeiten diese Daten ausschließlich zur Erfüllung vertraglicher Verpflichtungen aus dem mit Ihnen geschlossenen Kaufvertrag sowie für die entsprechende Kommunikation mit Ihnen.
3. Kategorien personenbezogener Daten:
Wir verarbeiten folgende Kategorien von personenbezogenen Daten:
  Kontaktdaten
  Adressdaten
  Vertrags- und Abrechnungsdaten
4. Datenempfänger
Wir haben Ihre Adressdaten an das Transportunternehmen XYZ, das wir mit der Lieferung der bestellten Ware beauftragt haben, weitergegeben. Zudem werden wir Ihre Abrechnungsdaten an öffentliche Stellen weitergeben, wenn dies aufgrund gesetzlicher Vorschriften erforderlich ist (z.B. Finanzbehörden).
5. Speicherdauer
Wir speichern die Daten für einen Zeitraum von 3 Jahren nach Vertragserfüllung und löschen diese im Anschluss, wenn diese nicht mehr für Vertragserfüllung sind und keine weitergehenden gesetzlichen Aufbewahrungspflichten einer Löschung entgegenstehen.
6. Recht auf Berichtigung, Löschung, Einschränkung
Ihnen steht bei Vorliegen der gesetzlichen Voraussetzungen ein Recht auf Berichtigung (Art. 16 DSGVO) oder Löschung  (Art. 17 DSGVO) der Sie betreffenden personenbezogenen Daten oder auf Einschränkung der Datenverarbeitung (Art.  18 DSGVO) durch uns zu. 
7. Widerspruchsrecht
Zudem steht Ihnen ein Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO) zu. 
8. Beschwerderecht
Daneben haben Sie das Recht, sich bei der Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten nicht rechtmäßig erfolgt.
9. Herkunft der Daten (soweit Sie nicht beim Betroffenen selbst erhoben wurden)
Die Daten haben Sie uns mitgeteilt, sodass wir diese bei Ihnen erhoben haben.
9. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt.
10. Übermittlung in Drittstaaten
Auch eine Übermittlung Ihrer oben genannten Daten in Drittstaaten findet nicht statt.
Wir hoffen, dass wir mit den vorstehenden Ausführungen Ihre Fragen hinreichend beantworten konnten.

Mit freundlichen Grüßen

John Doe GmbH

//MOBILE

John Doe GmbH
Hauptstraße 123
45678 Platzhalter
An
Herrn Max Mustermann
Musterstraße 1
23456 Musterstadt
Platzhalter, den 01.02.2020
Auskunftserteilung gemäß Art. 15 DSGVO
Sehr geehrter Herr Mustermann,

auf Ihren Antrag auf Auskunftserteilung gemäß Art. 15 DSGVO vom 01.01.2020, bei uns eingegangen am 02.01.2020, teilen wir Ihnen Folgendes mit:
1. Zu Ihrer Person haben wir folgende Daten gespeichert:
Name: Mustermann
Vorname: Max
Anschrift: Musterstraße 1, 23456 Musterstadt
Telefon: 01234/567890
E-Mail: max@mustermann.de
2. Verarbeitungszwecke:
Wir verarbeiten diese Daten ausschließlich zur Erfüllung vertraglicher Verpflichtungen aus dem mit Ihnen geschlossenen Kaufvertrag sowie für die entsprechende Kommunikation mit Ihnen.
3. Kategorien personenbezogener Daten:
Wir verarbeiten folgende Kategorien von personenbezogenen Daten:
  Kontaktdaten
  Adressdaten
  Vertrags- und Abrechnungsdaten
4. Datenempfänger
Wir haben Ihre Adressdaten an das Transportunternehmen XYZ, das wir mit der Lieferung der bestellten Ware beauftragt haben, weitergegeben. Zudem werden wir Ihre Abrechnungsdaten an öffentliche Stellen weitergeben, wenn dies aufgrund gesetzlicher Vorschriften erforderlich ist (z.B. Finanzbehörden).
5. Speicherdauer
Wir speichern die Daten für einen Zeitraum von 3 Jahren nach Vertragserfüllung und löschen diese im Anschluss, wenn diese nicht mehr für Vertragserfüllung sind und keine weitergehenden gesetzlichen Aufbewahrungspflichten einer Löschung entgegenstehen.
6. Recht auf Berichtigung, Löschung, Einschränkung
Ihnen steht bei Vorliegen der gesetzlichen Voraussetzungen ein Recht auf Berichtigung (Art. 16 DSGVO) oder Löschung  (Art. 17 DSGVO) der Sie betreffenden personenbezogenen Daten oder auf Einschränkung der Datenverarbeitung (Art.  18 DSGVO) durch uns zu. 
7. Widerspruchsrecht
Zudem steht Ihnen ein Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO) zu. 
8. Beschwerderecht
Daneben haben Sie das Recht, sich bei der Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten nicht rechtmäßig erfolgt.
9. Herkunft der Daten (soweit Sie nicht beim Betroffenen selbst erhoben wurden)
Die Daten haben Sie uns mitgeteilt, sodass wir diese bei Ihnen erhoben haben.
9. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt.
10. Übermittlung in Drittstaaten
Auch eine Übermittlung Ihrer oben genannten Daten in Drittstaaten findet nicht statt.
Wir hoffen, dass wir mit den vorstehenden Ausführungen Ihre Fragen hinreichend beantworten konnten.

Mit freundlichen Grüßen

John Doe GmbH

Sie haben ein datenschutzrechtliches Auskunftsersuchen erhalten und benötigen anwaltliche Unterstützung?

//KONTAKT (MOBILE)

Kontaktieren Sie uns schnell und einfach über unser Kontaktformular

//KONTAKT (DESKTOP, TABLET)

Kontaktieren Sie uns schnell und einfach über unser Kontaktformular