Datenschutz-Grundverordnung: Recht auf Auskunft

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Betroffene Personen haben ein Recht auf Auskunft über die von ihnen gespeicherten Daten bei dem Verantwortlichen. Zusätzlich ist auf Antrag eine Kopie der Daten zur Verfügung zu stellen.

Geldbuße bis zu 20 Mio. EUR oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit

Die zu erteilenden Auskünfte werden im Vergleich zum BDSG deutlich ausgeweitet. Folgenden Informationen werden von dem Recht auf Auskunft umfasst:((Rechtsgrundlage: Art. 15 (1)))

• Verarbeitungszwecke
• Datenkategorien
• Empfänger oder Kategorien von Empfängern
• Speicherdauer (oder Kriterien für deren Festlegung)
• Recht auf Berichtigung, Löschung, Widerspruch
• Beschwerderecht bei einer Aufsichtsbehörde
• Herkunft der Daten, wenn diese nicht selbst bei dem Betroffenen erhoben wurden
• bei Bestehen einer automatisierten Entscheidung auf Datenbasis und Profiling (z. B. Scoring): aussagekräftige Informationen über die involvierte Logik (z. B. Grundfunktionen der Algorithmus-Logik, nicht jedoch der Algorithmus selbst) sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person Art. 15 (1)
• bei Übermittlung an Drittland: Unterrichtung über geeignete Garantien gemäß Art. 46((Rechtsgrundlage: Art.15 (2)))

Das Recht auf Auskunft soll problemlos((Rechtsgrundlage: ErwGr 63)) und in angemessenen Abständen wahrgenommen werden können.((Rechtsgrundlage: Art. 12 (1), 5 (2)))

Es müssen im Vorhinein geeignete organisatorische Maßnahmen getroffen werden, um Auskunftsersuchen von betroffenen Personen zu beantworten.((Rechtsgrundlage: ErwGr 63)) Dies kann insbesondere auch in dem Kundenkonto eines Online-Shops oder durch Fernzugang zu einem sonstigen sicheren System (z. B. einer Online-Plattform) geschehen. Eine einfache E-Mail ist zur Erfüllung des Auskunftsbegehrens nicht geeignet, weil sie nicht hinreichend sicher und vor dem Zugriff Dritter geschützt ist.

Auf Antrag erhält die betroffene Person oder ein ggf. bevollmächtigter Dritter eine Kopie der Daten. Dabei ist eine Kopie der Daten nur eine Zusammenstellung der gespeicherten personenbezogenen Daten und es handelt sich nicht um sämtliche Dokumente, auf denen personenbezogene Daten der betroffenen Person zu finden sind.((Rechtsgrundlage: Art. 15 (3)))

Bei weiteren Kopien (d. h. zusätzlichen Ausfertigungen des gleichen Datensatzes) kann der Verantwortliche ein angemessenes Entgelt verlangen. Die Grundlage für die Höhe des Entgelts sollen die Verwaltungskosten des entsprechenden Verfahrens sein. 

Wird ein Antrag elektronisch gestellt, sind die Informationen in einem gängigen elektronischen Format (z. B. pdf) zur Verfügung zu stellen.

Die Identität einer Auskunft suchenden betroffenen Person ((Rechtsgrundlage: ErwGr 64)) soll mit allen vertretbaren Mitteln festgestellt werden.((Rechtsgrundlage: Art. 12 (6))) Bestehen Zweifel hinsichtlich der Identität, können weitere Informationen angefordert werden. 

Bei Anfragen per einfacher E-Mail oder Web-Formular ist eine Identitätsfeststellung in der Regel nicht hinreichend sicher möglich, so dass weitere Maßnahmen zur Identitätsfeststellung erforderlich sein dürften (z. B. telefonische Rückfragen, postalische Kontaktaufnahme).

Die Auskunftserteilung muss unverzüglich, spätestens jedoch innerhalb eines Monats erfolgen. Nur in begründeten Ausnahmefällen ist eine längere Frist zulässig.((Rechtsgrundlage: Art. 12 (3) ))

Wenn eine große Menge von Informationen über betroffene Personen verarbeitet wird, kann der Verantwortliche verlangen, dass präzisiert wird, auf welche Informationen oder Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht.((Rechtsgrundlage: ErwGr 63 ))

Zudem darf ein Auskunftsersuchen nicht die Rechte ((Rechtsgrundlage: Art. 15 (4))) und Freiheiten anderer Personen beeinträchtigen, z. B. durch Verletzung von Geschäftsgeheimnissen oder Urheberrechten.((Rechtsgrundlage: ErwGr 63))

Der deutsche Gesetzgeber sieht in engen Grenzen zusätzliche Ausnahmen vor, etwa bei zwingenden Aufbewahrungsvorschriften bzw. Zwecken der Datensicherung, wenn eine Auskunftserteilung unverhältnismäßigen Aufwand erfordern würde.((Rechtsgrundlage:§ 34 (1), (2) BDSG (neu) ))