Auskunftsrechte und Auskunftspflichten
Recht
18. Mai 2020

Auskunftsrechte und Auskunftspflichten

Rechtsanwältin K. Kirchert, LL.M. Profilbild
Rechtsanwältin K. Kirchert, LL.M.

Nach der Datenschutzgrundverordnung (DSGVO) haben alle Personen, deren personenbezogene Daten z.B. durch ein Unternehmen oder einen Verein verarbeitet werden, unabhängig von den ihnen bereits erteilten Informationen ein Auskunftsrecht gegenüber dem jeweiligen Verantwortlichen. Dieser ist dazu verpflichtet, der anfragenden Person eine Auskunft über die von ihm durchgeführten Verarbeitungstätigkeiten und die dafür verwendeten Daten der Person zu erteilen.

Das Auskunftsrecht ist zweistufig aufgebaut: Es umfasst zunächst die Auskunft darüber, ob durch den Verantwortlichen überhaupt personenbezogene Daten von der jeweiligen betroffenen Person verarbeitet werden. Falls das nicht der Fall ist, hat die Person einen Anspruch auf eine sog. Negativauskunft. Falls aber tatsächlich personenbezogene Daten der betreffenden Person verarbeitet werden, muss der Verantwortliche der anfragenden Person detailliert Auskunft über die jeweilige Datenverarbeitung bei sich im Unternehmen oder Verein erteilen. Dazu gehören z. B. die Angaben, welche konkreten Daten gespeichert werden, woher diese stammen und an welche Empfänger diese Daten ggf. weitergegeben wurden.

Die Auskunftspflicht besteht natürlich nur dann, wenn die anfragende Person ohne begründeten Zweifel vom Verantwortlichen identifiziert werden kann. Anderenfalls bestünde das Risiko, dass durch die Auskunftserteilung die Daten in falsche Hände gelangen. Zu diesem Zweck ist es daher nötig, sich vor der Auskunftserteilung von der Authentizität des Auskunftsverlangens zu überzeugen. In der Regel genügt es, wenn das Auskunftsverlangen von derselben E-Mail-Adresse stammt, die für die bisherige Kommunikation mit dem Kunden oder Mitglied verwendet wurde. In Einzelfällen kann es notwendig sein, zusätzlich die Kundennummer oder die Anschrift zum Vergleich abzufragen. Eine Kopie des Ausweises darf nur unter ganz besonderen Umständen verlangt werden, z. B. wenn es um ganz besonders schützenswerte Daten geht oder an der Identität der anfragenden Person erhebliche Zweifel bestehen, die nicht auf anderem Wege ausgeräumt werden können.

Das Auskunftsverlangen ist an keine besondere Form gebunden: Es kann schriftlich, per E-Mail oder sogar mündlich erfolgen. Es muss auch nicht begründet werden. Falls der Auskunftsantrag auf elektronischem Wege, also z. B. per E-Mail erfolgt, schreibt die DSGVO vor, dass auch die Antwort in einem gängigen elektronischen Format, also z. B. als PDF-Datei zur Verfügung gestellt wird. Zu beachten ist, dass bei der Herausgabe der Kopien keine Rechte Dritter verletzt oder Geschäftsgeheimnisse offengelegt werden, daher sind solche Informationen aus der Auskunft zu entfernen, z. B. durch „Schwärzen“.

Die anfragende Person hat das Recht auf eine kostenfreie Kopie der Daten, es darf daher für die erste Kopie keine Gebühr o. ä. verlangt werden. Dies gilt übrigens auch für die Kopie einer Patientenakte bei Arztpraxen. Bisher war es nach deutschem Recht möglich, dem Patienten Kopierkosten bis zu 0,50 Euro pro Seite in Rechnung zu stellen. Das hat sich mit der DSGVO geändert, so dass die Übersendung einer Kopie der Patientenakte zur Vermeidung von Bußgeldern nicht von einer Erstattung der Kopierkosten abhängig gemacht werden sollte. Nur falls weitere Kopien angefordert werden, dürfen angemessene Verwaltungs- bzw. Kopierkosten erhoben werden.

Besonders wichtig für Unternehmen und Vereine ist es, die gesetzlich vorgeschriebene Frist von einem Monat nach Eingang des Auskunftsverlangens einzuhalten. Die Auskunft muss innerhalb dieser Frist erteilt werden, sonst drohen hohe Bußgelder. Falls die Bearbeitung nicht innerhalb eines Monats möglich ist, z. B. aufgrund der Vielzahl der eingegangen Auskunftsanfragen oder des Umfangs der betreffenden Auskunft, ist ausnahmsweise eine Verlängerung der Frist um weitere zwei Monate möglich. Hierüber muss die antragstellende Person aber binnen des ersten Monats informiert werden, außerdem ist die Verlängerung vom Verantwortlichen zu begründen.

Kurz und knapp
  • icon=
    Jede Person, deren Daten im Unternehmen oder Verein verarbeitet werden, hat das Recht, Auskunft über diese Daten und die einzelnen Verarbeitungen zu bekommen.
  • icon=
    Der Auskunftsanspruch bedarf keiner bestimmten Form, die Auskunft ist kostenfrei zu erteilen.
  • icon=
    Die Frist zur Beantwortung des Auskunftsverlangens beträgt in der Regel einen Monat und sollte vom Verantwortlichen nach Möglichkeit eingehalten werden.
Icon