Auskunftsanfrage nach Art. 15 DSGVO - Was ist zu tun?
September 15, 2023
In letzter Zeit werden unsere Kunden vermehrt mit sogenannten „Art. 15 Auskünften" konfrontiert. Dabei erfragen Auskunftssuchende bei Verantwortlichen (Unternehmen, Behörde etc.), welche Daten zur eigenen Person verarbeitet werden. Für die fristgerechte Beanwortung von Auskunftsanfragen ist ein geprobter Ablauf hilfreich.
Vorgehensweise zur Beantwortung von Auskunftsanfragen
Diesen Prozess sollten Sie in Ihrem Unternehmen etablieren, um Auskunftsanfragen effizient und rechtskonform zu bearbeiten:
- Eingang der Anfrage: Prüfen Sie, ob die Anfrage vollständig ist und ob der Antragsteller identifiziert werden kann.
- Identifizierung des Antragstellers: Stellen Sie sicher, dass Sie die Identität des Antragstellers überprüfen können.
- Recherche: Suchen Sie die Daten des Antragstellers in Ihren Systemen und erstellen Sie eine Übersicht über die verarbeiteten Daten.
- Dokumentation: Halten Sie alle Schritte und Ergebnisse der Recherche in einem Protokoll fest.
- Beantwortung der Anfrage: Erstellen Sie eine schriftliche Antwort und senden Sie diese an den Antragsteller.
- Fristen einhalten: Beachten Sie die gesetzlichen Fristen für die Beantwortung von Auskunftsanfragen.
Diese Dokumente helfen Ihnen bei der Beantwortung einer Auskunftsanfrage:
- Verzeichnis der Verarbeitungstätigkeiten
- Datenschutzerklärung und Hinweispflichten
- Überblick über Software, Tools und Auftragsverarbeiter
- Technische und organisatorische Maßnahmen
- Löschkonzept
Überblick über notwendige Angaben bei der Beantwortung einer Auskunftsanfrage:
- Herkunft der Daten
- Rechtsgrundlage der Datenverarbeitung
- Zweck der Datenverarbeitung
- Kategorien der verarbeiteten Daten oder Datenarten
- Empfänger der Daten, auch in Driltländern
- Dauer der Speicherung
- Betriebene Profiling- oder Scoringverfahren
- Automatisierte Entscheidungsfindung
- Betroffenenrechte
Die wichtigsten Fragen
Die folgenden Fragen tauchen in der Praxis häufig auf und sollten bei der Beantwortung von Auskunftsanfragen berücksichtigt werden:
Was ist zu tun, wenn der Betroffene nicht identifiziert oder in den Systemen nicht gefunden werden kann?
Zum Suchen nach Informationen werden nur die Daten des Absenders verwendet, die Sie im Auskunftsersuchen finden. I.d.R. sind es (Benutzer-) Namen, E-Mail-Adresse, Kundennummer und evtl. das Geburtsdatum. Wenn Sie die Person mit den Angaben nicht finden können, müssen Sie dennoch die Auskunftsanfrage beantworten. In diesem Fall heißt die Antwort "Negativauskunft". In dieser erläutern Sie kurz, warum Sie die Anfrage nicht beantworten können bzw. das keine personenbezogenen Daten verarbeitet werden.
Wann muss keine Auskunft erteilen werden, obwohl der Betroffene identifiziert und in den Systemen gefunden werden kann?
Es gibt tatsächlich Fälle, in denen ein Verantwortlicher / ein Unternehmen nicht verpflichtet ist, alle Daten offenzulegen. Dies trifft zu, wenn bestimmte Informationen die Rechte und Freiheiten anderer Personen beeinträchtigen, Geschäftsgeheimnisse oder geistiges Eigentum enthalten oder eine vertrauliche Rechtsberatung betroffen sind. In solchen Fällen sollten Unternehmen und Organisationen die Gründe für die Nichtoffenlegung so genau wie möglich erläutern und dem Antragsteller gegebenenfalls alternative Lösungen anbieten.
Was ist zu tun, wenn ein Auskunftsersuchen der gleichen Person immer wieder eingeht?
Wenn ein Auskunftsersuchen derselben betroffenen Person wiederholt eintrifft, handelt es sich um einen sogenannten "Auskunftsexzess". In diesem Fall müssen Sie die Auskunftsanfrage nicht kostenlos beantworten oder dürfen die Antwort sogar verweigern. Am einfachsten ist es, eine Negativauskunft mit der Begründung zu erstellen, dass das Auskunftsersuchen der Aktualität der vorangegangenen Antwort entspricht.
Wie können Sie sich auf eine Auskunftsanfrage vorbereiten?
- Führen Sie regelmäßig Datenschutzschulungen durch
- Achten Sie bei der Auswahl von IT-Systemen darauf, dass sie zeitsparend aber auch allumfassend Daten für eine Auskunftsanfrage abfragen können
- Erstellen Sie eine Datenschutzrichtlinie
- Erstellen Sie eine Verfahrensanweisung , um Auskunftsanfragen im Unternehmen standartisiert beantworten zu können
Sind sie sich unsicher, wie Sie Auskunftsanfragen rechtskonform beantworten? Wir unterstützen Sie gerne mit unserem Datenschutz-Service. Kontaktieren Sie uns, um mehr zu erfahren.