Werden personenbezogene Daten verarbeitet, haben Betroffene gem. Art. 15 DSGVO gegenüber dem Verantwortlichen, sprich dem Daten verarbeitenden Unternehmen einen Anspruch auf verschiedene Auskünfte. Eine Studie[1] zeigt jedoch, dass 85 der 100 größten Onlinehändler diesem Auskunftsersuchen nur unvollständig nachkommen. Dieses Vorgehen sollte nicht als Orientierung dienen. Wir zeigen darum, wie Unternehmen auf ein entsprechendes Auskunftsersuchen ihrer Kunden reagieren sollten.
Allgemeines
Das Auskunftsrecht ist in Art. 15 Datenschutzgrundverordnung (DSGVO) normiert. Zusammen mit den Informationspflichten der Art. 13 und 14 DSGVO bildet er den fundamentalen Teil der Betroffenenrechte. Dem Betroffenen wird es oft erst möglich sein, durch die Auskunftserteilung von bestimmten Verarbeitungsvorgängen Kenntnis zu erlangen und diese dann auf ihre Rechtmäßigkeit hin zu überprüfen. Art. 15 DSGVO bezweckt daher Transparenz und eine mögliche Rechtmäßigkeitskontrolle der Verarbeitungsvorgänge. Darum liegt es nicht im Ermessen des Daten verarbeitenden Unternehmens, darüber zu entscheiden, ob das Auskunftsersuchen sinnvoll oder zielführend ist. Sind alle rechtlichen Voraussetzungen erfüllt, sind die Informationen zwingend zu erteilen.
Form und Inhalt des Auskunftsverlangens
Eine Auskunft kann nach überwiegender Auffassung in der juristischen Literatur nur von geschäftsfähigen Personen verlangt werden. Also Personen, die das 18. Lebensjahr vollendet haben.
Das Auskunftsverlangen ist grds. an keine Form gebunden und kann in der Regel durch einen Brief oder eine E-Mail erfolgen. Art. 15 Abs. 3 DSGVO besagt, dass ein elektronisches Auskunftsersuchen dazu führt, die Auskunft in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sich aus den Umständen nichts anderes ergibt. Gängige elektronische Formate dürften etwa eine PDF-Datei, oder Word- oder Excel-Dateien sein. Da Art. 15 Abs. 3 DSGVO von einem elektronischen Auskunftsersuchen ausgeht, ist Unternehmen, die elektronisch Daten verarbeiten, anderseits aber das Auskunftsersuchen nur auf schriftlichem und postalischem Wege akzeptieren, zu raten, dies zu ändern.
Unternehmen können für das Auskunftsersuchen ein Online-Formular auf ihrer Homepage erstellen oder eine spezielle E-Mailadresse dafür einrichten. Umstritten ist, welche Wirkung es hat, wenn Betroffene ihr Auskunftsersuchen an eine andere als die dafür vorgesehene E-Mailadresse senden. Kein wirksames Auskunftsersuchen ist darin zu sehen, wenn für den Betroffenen klar erkennbar war, welchen Kanal er für sein Ersuchen hätte nutzen müssen. In allen anderen Fällen kann von einem wirksamen Ersuchen ausgegangen werden. Die Wahl des falschen Kanals wird dann durch den Entfall der Frist zur Bearbeitung gem. Art. 12 Abs. 3 S. 1 DSGVO berücksichtigt. Danach muss ein solches Ersuchen unverzüglich, spätestens einen Monat nach Eingang des Antrags bearbeitet sein. Unternehmen ist dennoch zu raten, intern dafür Sorge zu tragen, dass falsch adressierte Auskunftsersuchen an die zuständige Stelle (z.B. Datenschutzbeauftragte Person) weitergeleitet werden.
Inhalt einer Auskunft gem. Artikel 15 DSGVO
Art. 15 DSGVO enthält einen Auskunftsanspruch hinsichtlich des Ob und des Wie einer Datenverarbeitung. Bezüglich des Ob ist schlicht mitzuteilen, ob personenbezogene Daten des Auskunftsersuchenden verarbeitet werden. Daraus folgt auch ein Anspruch auf eine Negativauskunft. Werden keine Daten verarbeitet, ist auch dies zu bestätigen.
Bezüglich des Wie hat der Verantwortliche Auskünfte über alle in Art. 15 Abs. 1 Hs. 2 DSGVO aufgezählten Informationen zu erteilen:
- Verarbeitungszwecke – Die Auskunft über die Zwecke der Verarbeitung dient den Betroffenen zur Überprüfung, ob die Datenverarbeitung mit dem Zweckbindungsgrundsatz des Art. 5 Abs. 2 lit. b DSGVO im Einklang steht. Danach ist für jede Datenverarbeitung ein Zweck nötig. Eine bloße Verarbeitung um ihrer selbst willen ist unzulässig.
- Kategorien verarbeiteter Daten – Der Verantwortliche hat nicht bloß das Datum als solches mitzuteilen, sondern auch dessen Kategorie bzw. dessen Umfeld. So ist es für den Betroffenen etwa relevant, ob seine E-Mailadresse lediglich für eine Bestellabwicklung oder auch für Marketingmaßnahen verwenden wird.
- Empfänger oder Kategorien von Empfängern – Die Empfänger der Daten sind grds. genau zu bezeichnen. Ein Wahlrecht steht nach wohl überwiegender Auffassung lediglich dem Betroffenen zu. Er kann entscheiden, ob er die konkreten Empfänger beauskunftet haben möchte oder ob ihm die Kategorien der Empfänger genügen.
- Geplante Speicherdauer bzw. Kriterien für deren Festlegung – Der Verantwortliche hat grds. die konkrete Speicherdauer zu ermitteln und mitzuteilen. Nur wenn ihm dies nicht möglich ist, kann er die Kriterien für die Festlegung der Speicherdauer mitteilen, z.B. für die Dauer einen bestehenden Vertragsverhältnisses oder für die Dauer der Speicherfristen der Abgabenordnung oder des Handelsgesetzbuches.
- Hinweis auf Betroffenenrechte – Der Verantwortliche hat über die Betroffenenrechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und des Widerspruchsrecht gegen die Verarbeitung zu informieren. Da diese Informationen aber bereits im Vorfeld der Verarbeitung durch die Informationspflicht des Verantwortlichen erteilt werden müssen, sollte diese Auskunft keine Hürde darstellen.
- Beschwerderecht – Der Verantwortliche hat über das Beschwerderecht des Art. 57 DSGVO Auskunft zu erteilen.
- Datenherkunft – Wurden die Daten nicht beim Betroffenen erhoben, hat der Verantwortliche alle verfügbaren Informationen über die Herkunft der Daten mitzuteilen. Irrelevant ist dabei, ob der Verantwortlich die Daten selbst aktiv beschafft hat oder ihm von einem Dritten mitgeteilt wurden. Eine Pflicht zur Speicherung der Informationen, woher die Daten stammen, ist der Norm nicht zu entnehmen. Die Auskunft beschränkt sich auf die verfügbaren Daten der Herkunft.
- Automatisierte Entscheidungsfindung – Die Auskunft ist nur in den Fällen der automatisierten Entscheidungsfindung des Art. 22 DSGVO zu erteilen. Dann sollen aussagekräftige Informationen über die involvierte Logik sowie der Tragweite und die angestrebte Wirkung der Verarbeitung mitgeteilt werden.
- Drittstaatenübermittlung – Werden die Daten an Drittstaaten oder an eine internationale Organisation übermittelt, hat der Verantwortliche über die geeigneten Garantien im Sinne des Art. 46 DSGVO zu unterrichten, welche eine Datenverarbeitung im Einklang mit der DSGVO ermöglichen.
Der Verantwortliche hat eine Kopie der personenbezogenen Daten, die Teil der Verarbeitung sind gem. Art. 15 Abs. 3 DSGVO zur Verfügung zu stellen. Für alle darüberhinausgehenden weiteren Kopien kann er ein angemessenes Entgelt verlangen.
