Das datenschutzrechtliche Auskunftsrecht in Kürze…
Das Auskunftsrecht gehört zu Grundlagen des Datenschutzes und ist das wohl wichtigste Betroffenenrecht. Leider stellen wir trotzdem immer wieder Defizite fest. Deswegen hier nochmal die wichtigsten Punkte zur Auskunft in Kürze zusammengefasst.
Für unsere Mandanten möchten wir darauf hinweisen: Wir unterstützen und beraten bei allen Phasen der Auskunft! Von der Bewertung, über die Identifizierung, der Zusammenstellung der Informationen bis zur Beantwortung – wir helfen Ihnen weiter…
Ist eine Auskunft inkl. der vorhandenen Daten zu erteilen?
Aus unserer Sicht muss eine datenschutzrechtliche Auskunft nicht nur eine Übersicht der Kategorien der verarbeiteten Daten enthalten, sondern diese Daten auch inhaltlich benennen.
Während wir die Argumentation darauf stützen, dass der Betroffene ohne die konkrete Nennung der Daten kaum einen Vorteil zu den bereits durch die Informationspflichten (Artt. 12-14 DSGVO) erhaltenen Hinweise hätte.
Zusätzlich hat aber auch der EuGH mit Urteil vom 04.05.2023 (C-487/21) in den Randnummern 31 und 32 festgestellt, dass Art. 14 Abs. 3 S. 1 DSGVO kein weiteres Recht des Betroffenen darstellt, sondern tatsächlich das Auskunftsrecht konkretisiert und Modalitäten zur Auskunft festlegt.
Müssen auch Dokumente kopiert werden?
Nur im Ausnahmefall müssen ganze Dokumente oder Dateien der Auskunft beigefügt werden, nämlich dann, wenn eine reine Nennung der personenbezogenen Daten ein Verständnis der Daten und Zwecke nicht möglich macht. So wurde es auch vom EuGH bestätigt. (EuGH mit Urteil vom 04.05.2023 (C-487/21) in Randnummer 45)
Hat der Betroffene den Auskunftsanspruch zu konkretisieren?
Bei großen Datenmengen kann es sinnvoll sein, dass der Betroffene seinen Auskunftsanspruch konkretisiert und damit angibt, welche Informationen vor allem von Interesse sind. Im Erwägungsgrund 63 zur DSGVO wird dies in Satz 7 auch explizit genannt. So kann z.B. der Betroffene gefragt werden, in welcher Eigenschaft er die Anfrage stellt (Kunde, Interessent, Mitarbeiter…). Dadurch kann bei der Bearbeitung des Vorganges die Auswahl der zu prüfenden Verarbeitungen auf die entsprechenden Verfahren beschränkt werden.
Kann die Auskunft eingeschränkt werden?
Eine Einschränkung ist natürlich nicht willkürlich möglich. Aber tatsächlich sind Ausnahmen von der Erteilung einer Auskunft möglich.
Folgende Daten sind nicht Teil der Auskunft:
§29 Abs. 1 S. 2 BDSG – Daten, die einer Geheimhaltungspflicht unterliegen
§34 Abs. 1 Nr. 2b BDSG – Daten, die nur auf Grund gesetzlicher Aufbewahrungspflichten gespeichert sind
§34 Abs. 1 Nr. 2b BDSG – Daten, die der Datensicherung oder der Datenschutzkontrolle unterliegen
Ansonsten besteht auch die Möglichkeit eine Auskunft in Gänze zu verweigern, wenn eine der nachfolgenden Situationen vorliegt:
Art. 12 Abs. 5 DSGVO – offenkundig unbegründete oder exzessive Anfragen des Betroffenen
Art. 11 Abs. 2 / Art. 12 Abs. 6 DSGVO – wenn die betroffene Person nicht identifiziert werden kann
Zudem können rechtsmissbräuchliche Auskunftsanfragen (schikanöse Anfragen) abgelehnt werden. Dies muss jedoch nachweisbar sein und sollte nur mit rechtlicher Beratung erfolgen.
Bis wann muss eine Auskunft erfolgen?
Eine Auskunft muss regelmäßig innerhalb eines Monats erfolgen. Bei komplexen Themen und Zusammenhängen kann die Frist auf maximal 3 Monate verlängert werden, sofern dem Betroffenen dies fristgerecht mitgeteilt wird. ACHTUNG: Es gibt ein Urteil, wonach eine einfach zu beantwortende Anfrage auch vor Ablauf des Monats in Verzug sein kann. Dies ist bisher jedoch ein einzelnes Urteil.
Ist auch eine Auskunft zu erteilen, wenn keine Daten vorliegend sind?
Kurz: Ja. Auch dann muss eine Negativ(!)-Auskunft erteilt werden. In dieser Beantwortung wird dem Betroffenen mitgeteilt, dass keine Daten über die Person gespeichert waren, allerdings nun zur Einhaltung der datenschutzrechtlichen Nachweispflichten die Anforderung der Auskunft und die Antwort dokumentiert wird.
Was sollten Sie (jetzt) tun?
Damit Sie im Falle einer Anfrage angemessen und fristgerecht antworten können, sollten Sie Ihre Mitarbeiter bezüglich der Betroffenenanfragen schulen. Stellen Sie Ihren Mitarbeitern einen einfachen Weg zur Verfügung, wie entsprechende Anfragen an die passenden internen Mitarbeiter bzw. den Datenschutzbeauftragten weiterreichen können. Wir bieten unseren Mandanten dazu ein Online-Formular bereit, womit die Anfrage direkt gemeldet werden können. Wir, als Ihre Datenschutzbeauftragten, beraten und unterstützen Sie bei der Identifizierung der Betroffenen, bei der Zusammenstellung der zu beauskunftenden Daten und bei der Erstellung der entsprechenden Antwortschreiben.
Der Beitrag Das datenschutzrechtliche Auskunftsrecht in Kürze… erschien zuerst auf CompliPro GmbH.