Das umfassende Auskunftsrecht der betroffenen Person ist sowohl in Artikel 15 DSGVO als auch in § 34 BDSG festgeschrieben. Kunden, Mitarbeiter und andere Betroffene können dieses gesetzlich verankerte Auskunftsrecht ausüben, indem sie eine Betroffenenanfrage an das Unternehmen stellen. Diese Auskunftsanfragen zielen darauf ab, Informationen über sämtliche personenbezogenen Daten einzuholen, welche über die betroffene Person verarbeitet werden. Solche Betroffenenanfragen nach dem Datenschutzrecht verlangen einen sorgsamen Umgang und eine schnelle Beantwortung seitens des Unternehmens.
Wie sehen Betroffenenanfragen nach Artikel 15 DSGVO aus?
Art. 15 DSGVO regelt, dass betroffene Personen ein Recht auf Informationen haben und damit Unternehmen zur Auskunftserteilung auffordern können. Auch das Bundesdatenschutzgesetz regelt in § 34 BDSG das Auskunftsrecht des Betroffenen. Um ihre Informationsrechte geltend zu machen, können betroffene Personen sogenannte Betroffenenanfragen stellen und zunächst eine Bestätigung darüber einfordern, ob das Unternehmen überhaupt personenbezogene Daten zu ihrer Person verarbeitet. In weiterer Folge kann ein Betroffener auch Hintergrundinformationen zur Verarbeitung seiner Daten anfordern (Art. 15 Absatz 1 DSGVO).
Die Betroffenenanfrage erfasst jedoch nicht nur das Auskunftsrecht nach Art. 15 DSGVO, sondern kann auch andere Betroffenenrechte, wie die Rechte auf Datenlöschung, Datenberichtigung, Einschränkung der Datenverarbeitung und Datenübertragbarkeit, berühren (Art. 16 ff. DSGVO). Eventuell möchte der Betroffene außerdem ein Widerspruchsrecht nach Art. 21 DSGVO geltend machen.
Wer kann eine solche Auskunftsanfrage stellen?
Die DSGVO und das BDSG sprechen das Recht auf Auskunft der betroffenen Person zu. Zum Kreis der Betroffenen gehören alle Personengruppen an, von denen personenbezogene Daten verarbeitet werden. Dazu zählen Kunden oder Besucher der Unternehmenswebseite, aber auch Mitarbeiter, Bewerber, Dienstleister und Lieferanten. Diese Betroffenen, egal ob eigene Mitarbeiter oder Kunden, haben ein Recht darauf, die näheren Umstände der Datenverarbeitung zu erfahren.
Diese Punkte müssen Unternehmen bei Betroffenenanfragen beachten
Eine sorgfältige Beantwortung von Betroffenenanfragen ist unumgänglich,
zumal solche Auskunftsersuchen eine gesetzliche Beantwortungsfrist auslösen und
bei unzureichender Bearbeitung eine Beschwerde bei der Aufsichtsbehörde nach
sich ziehen können. Deshalb sollten Unternehmen alle Schritte dokumentieren und
diese Punkte beachten:
Identität der betroffenen Person und mögliche Ausschlussgründe prüfen
Bevor Sie die in der Betroffenenanfrage angeforderten Daten übermitteln, müssen Sie die Identität des Anfragenden überprüfen. Sie dürfen die Auskünfte nur der betroffenen Person selbst oder einem Bevollmächtigten erteilen. In einigen Fällen ist das Auskunftsrecht des Betroffenen ausgeschlossen und damit die Auskunftserteilung abzulehnen (§ 34 BDSG).
Betroffenenanfragen zeitgerecht beantworten
Das Unternehmen muss die Betroffenenanfrage spätestens innerhalb eines Monats beantworten. Diese Frist beginnt an dem Tag zu laufen, an dem das Auskunftsersuchen eingetroffen ist. Eine Verlängerung der Beantwortungsfrist um zwei Monate lässt der Gesetzgeber nur dann zu, wenn es sich um einen Ausnahmefall handelt und das Unternehmen die Verzögerung begründet. In diesem Fall muss der Verantwortliche den Anfragenden innerhalb eines Monats über diesen Umstand unterrichten.
Negativmitteilung oder Auskunftsschreiben übermitteln
Im nächsten Schritt ist zu überprüfen, ob Ihr Unternehmen zur Person des Anfragenden personenbezogene Daten speichert und verarbeitet. Finden sich keine entsprechenden Informationen in der Datenbank, teilen Sie diesen Umstand in Form einer Negativauskunft mit. In teilen Sie dem Anfragenden die Informationen mit, die in Art. 15 Abs. 1 DSGVO festgelegt sind. Hierbei ist darauf zu achten, dass Sie dem Betroffenen nur die ihn betreffenden Informationen geben. Informationen, die auf natürliche Personen im Unternehmen Rückschlüsse ziehen lassen (beispielsweise auf den Sachbearbeiter) sind unkenntlich zu machen.
Auskunftsschreiben verschlüsseln
Diese Informationen sind vertraulich weiterzugeben und jedenfalls durch eine Verschlüsselung zu sichern. Dafür kommen verschlossene Briefe, verschlüsselte Datenträger, mit Passwörtern geschützte Portale oder verschlüsselte E-Mail-Anhänge in Betracht. Durch die Auskunftserteilung an den Betroffenen dürfen die Rechte und Freiheiten anderer nicht verletzt werden. Deshalb sind Textpassagen, die Informationen über dritte Personen beinhalten, entsprechend zu schwärzen.
Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen: