SupraTix GmbH | Auskunftsrecht

Auskunftsrecht

Öffentlich

Es sind noch 0 von None Plätzen verfügbar.

Dieser Leitfaden soll Ihnen helfen, wenn der Kunde Auskunft verlangt.

Mit der DSGVO ändern sich die Anforderungen teilweise. Auskunft können beispielsweise Mitarbeiter, Kunden oder Website-Nutzer verlangen. Wenn Sie Auskunftsanfragen beantworten müssen, können Sie diese zehn Schritte als Hilfestellung nutzen.

Verpflichtung

Personenprüfung

Wiederholung

Verarbeitung

Ausnahme

Daten

Auskunftsschreiben

Beantwortungszeit

Auskunftserteilung

Datenkopie

Am Anfang steht immer die Frage:

Bin ich zuständig?

Das ist kein Versuch, sich lästige Arbeit vom Hals zu halten, sondern elementar für korrekte Auskunftserteilungen.

Wissen Sie, wer im Zweifelsfall verantwortlich ist?

Wenn Sie beispielsweise als IT-Dienstleister Daten im Auftrag verarbeiten, sind Sie in der Regel verpflichtet, Ihren Auftraggeber über das Auskunftsersuchen zu benachrichtigen (schauen Sie einmal in Ihren Verträgen nach!).

Wenn Sie als Konzern nach außen einheitlich auftreten, aber aus mehreren Gesellschaften bestehen, muss die Auskunft bei derjenigen Gesellschaft gestellt werden, welche die Daten des Antragstellers verarbeitet. Die Konzernstrukturen sind den Antragstellern aber häufig nicht bekannt.

Viele Anträge erreichen Unternehmen per E-Mail. Um sicherzustellen, dass der Antragsteller tatsächlich die Person ist, die er vorgibt zu sein, können Sie bei begründeten Zweifeln um weitere Informationen bitten, die eine eindeutige Identifizierung sicherstellen. Sind Sie sich unsicher, sollten Sie generell am Telefon keine Daten herausgeben. Bitten Sie lieber nach einer postalischen Anfrage oder einer Anfrage per E-Mail.

Ausweiskopien zur Identifizierung können nur in besonderen Fällen verlangt werden.
So fordert bspw. die SCHUFA zur Identifizierung eine beidseitige Kopie des Ausweisformulars, das per Post mit dem handschriftlich unterzeichneten schriftlichen Antragsformular zugesandt werden muss (hier das deutsche Formular der SCHUFA).

Beachten Sie aber, dass Antragsteller das Recht auf Auskunft mehrmals geltend machen können.

Die Auskunft darf allerdings nur bei missbräuchlichen Vorgehen verweigert werden. Das wird jedoch die Ausnahme sein.

Wenn Sie vom Antragsteller Daten:

noch nie gespeichert

bereits gelöscht

unumkehrbar anonymisiert

haben, verarbeiten Sie keine Daten des Antragstellers.

Beispiele für Datenverarbeitungen:

z.b. Mitarbeiterdaten

Arbeitsvertrag

Lohnabrechnung

Stundenzettel

Einsatzorte

Krankmeldungen

z.b. Internetdaten

Server-Log Daten

Newsletter

Webanalyse

Maps

Web-Fonts

z.b. Kundendaten

Name

Anschrift

Telefonnummer

IP-Adresse

E-Mailadresse

Bankdaten

Kaufverhalten

Einstellungen und Interessen

Verhalten

Lebensumstände

Grundsätzlich steht jedem Betroffenen das Auskunftsrecht zu. In den in

§§ 27 Abs. 2
28 Abs. 2
29 Abs. 1 Satz 2 und 34

BDSG-neu geregelten Fällen kann dieses Recht jedoch ausgeschlossen sein.

Die Voraussetzungen dieser Regelungen sind komplex. Sollten Sie den Eindruck haben, eine der Normen könnte einschlägig sein, sollten Sie jeweils eine juristische Einzelfallprüfung durchführen.

Die Auskunft beschränkt sich auf personenbezogene Daten. Das sind Informationen, anhand derer eine natürliche Person identifizierbar ist.

Ganz offensichtlich ist ein Personenbezug beim Namen der Fall, auch zählen die E-Mail-Adresse oder die IP-Adresse dazu.

Prüfen Sie bei allen gespeicherten Informationen, ob diese einen Personenbezug haben.

Sollten Sie Informationen pseudonymisiert verarbeiten (bspw. durch Vergabe einer individuellen ID), müssen Sie auch über diese Auskunft erteilen.

Sie müssen in Ihrem Auskunftsschreiben alle Daten aufführen, die Sie zum Betroffenen gespeichert haben, d.h. alle Informationen, die Sie im Rahmen des sechsten Schritts als personenbezogene Daten des Antragstellers identifiziert haben.

Zusätzlich müssen die in Art. 15 DSGVO aufgezählten Metainformationen mitgeteilt werden. Diese können Sie in der Regel Ihrer datenschutzrechtlichen Informationsübersicht (bei Websites: die Datenschutzerklärung) entnehmen.

Es reicht aber nicht, lediglich auf die Datenschutzerklärung zu verweisen.

Sie müssen die Auskunft unverzüglich erteilen.

Länger als einen Monat darf die Auskunftserteilung nur in besonderen Fällen dauern.

Die Frist läuft ab dem Zugang des Auskunftsantrag.

Krankheit oder

Urlaub von Mitarbeitern werden in der Regel nicht als Ausnahmefall akzeptiert werden.

Die DSGVO enthält kein Formular zur Auskunftserteilung. Jedes Unternehmen muss das Auskunftsschreiben selbst gestalten. Sie müssen aber darauf achten, dass die Auskunft in

präziser

transparenter

verständlicher

leicht zugänglicher

Form in einer klaren und einfachen Sprache erfolgt.
Die Auskunft muss also für einen Laien ohne Weiteres nachvollziehbar sein.

Sie können die Auskunft schriftlich oder elektronisch erteilen. Wenn der Antrag elektronisch gestellt wurde (z. B. im internen Bereich eines Online-Shops), muss in der Regel auch die Auskunftserteilung elektronisch erfolgen.
außer der Antragsteller verlangt die Zusendung per Post.

Wenn der Antragsteller die Auskunft mündlich verlangt, muss diese mündlich erteilt werden – dann müssen Sie aber sicherstellen, dass Sie tatsächlich mit der Person sprechen, über deren Daten Sie Auskunft geben.

Eine „Datenkopie“ ist nicht mit der „normalen“ Auskunftsanfrage zu verwechseln. Verlangt der Antragsteller eine „Datenkopie“ müssen die Daten so herausgegeben werden, wie Sie bei Ihnen vorliegen.

Da eine solche Datenkopie in der Regel Informationen enthält, die sich nicht auf den Antragsteller beziehen, dürfen diese unkenntlich gemacht werden (z.B. durch Schwärzen der entsprechenden Passagen).
Ferner dürfen Informationen zu anderen Personen geschwärzt werden, wenn ansonsten deren Rechte und Freiheiten beeinträchtigt würden.

Die erste Datenkopie müssen Sie unentgeltlich zur Verfügung stellen.

Für jede weitere Kopie können Sie ein angemessenes Entgelt verlangen.

Hat sich der Datenbestand allerdings signifikant verändert, müssen Sie in der Regel unentgeltlich eine neue Kopie zur Verfügung stellen.

Als Format für die elektronische Übermittlung bietet sich ein pdf-Dokument an. Bei der Übermittlung sollten Sie darauf achten, dass angemessene technische Sicherheitsmaßnahmen eingehalten werden.