Das Auskunftsrecht im Datenschutz

In diesem Video beschäftigen wir uns mit dem sogenannten Auskunftsrecht.

Es ist ein wesentliches Schutzelement der Datenschutzgrundverordnung für Betroffene und stellt zugleich einige Anforderungen an auskunftspflichtige Unternehmen. Es ist in der Praxis eines der am häufigsten ausgeübten Betroffenenrechte.

  1. Datenverarbeiter sind verpflichtet Auskunft zu geben
  2. Auskunft muss binnen eines Monats erfolgen
  3. Identitätsprüfung muss vorab erfolgen
  4. Bei Auskunft an Unberechtigte ist mit Geldstrafen / Schadenersatzforderungen zu rechnen
  5. Zur Identitätsprüfung sollten vorrangig Daten verwenden werden, die dem Datenverarbeiter bekannt sind
  6. Anfragen auch mündlich möglich – Auskunft schriftlich
  7. Es dürfen keine unter eine Geheimhaltungspflicht fallenden Daten anderer Personen beauskunftet werden
  8. Technische Rahmenbedingungen müssen zur zentralen Auffindbarkeit gegeben sein
  9. Auskunft muss in allgemein lesbarem Format erfolgen
  10. Auskunftsanfragen müssen zentral, sorgfältig und fristgerecht bearbeitet werden

Nehmen wir an, ein aufgebrachter Kunde ruft bei Ihnen an und möchte wissen, welche Daten Sie von ihm speichern. Mit dem Recht auf Auskunft hat ein Betroffener der Datenverarbeitung das Recht zu ermitteln, welche Daten von ihm von seinem Gegenüber verarbeitet werden. Der Datenverarbeiter hat dem Auskunftsersuchen grundsätzlich unverzüglich, spätestens binnen eines Monats nachzukommen. Das beauskunftende Unternehmen ist dabei dringend zu raten im ersten Schritt die Identität des Auskunftswerbers zu prüfen. Ist der Auskunftswerber wirklich jene Person, die sie vorgibt zu sein? Wird eine Auskunft einer unbefugten Person erteilt, kann das gravierende Konsequenzen haben.

Werden personenbezogene Daten einer Person unberechtigterweise einer nicht berechtigten Person weitergegeben, kann dies neben hohen Geldstrafen auch zu Schadenersatzansprüchen führen. Deshalb ist eine vorherige Identitätsüberprüfung durch den Beauskunftenden besonders wichtig. Gleichzeitig darf es demjenigen, der Auskunft verlangt, nicht unnötig schwer gemacht werden, diese zu bekommen.

Das generelle Verlangen einer Ausweiskopie ist nicht immer zulässig. Es sollen vielmehr zuerst jene Informationen herangezogen werden, die dem Datenverarbeiter bereits bekannt sind. So kann im Einzelfall auch eine Identitätsfeststellung, beispielsweise auch über die Kundennummer oder ein persönliches Kundenkennwort, erfolgen. Dabei gilt der Grundsatz: je sensibler der beauskunftenden Informationen, desto strenger sollte die Identitätskontrolle ausfallen.

Auskunft kann vom Betroffenen auch mündlich, zum Beispiel über telefonische Anfrage, verlangt werden. Eine solche Anfrage ist, wenn die Identität des Betroffenen klargestellt ist, genauso in Bearbeitung zu nehmen wie eine schriftliche Anfrage. Hier ist es besonders wichtig, den Zeitpunkt und den Umfang der Anfrage genau zu dokumentieren, damit sie fristgerecht und inhaltlich richtig erfolgen kann. Allerdings ist es schon zu Dokumentationszwecken sehr zu empfehlen, die Auskunft selbst in schriftlicher Form zu erteilen.

Der Beauskunftende muss außerdem unbedingt darauf achten, dass im Rahmen der Auskunft keine einer Geheimhaltungspflicht unterliegenden Daten anderer Personen, des eigenen oder eines anderen Unternehmens mitbeauskunftet werden.

Stellen Sie also sicher, dass in Ihrem Unternehmen Auskunftsbegehren zentral, sorgfältig und fristgerecht bearbeitet werden. Für die effiziente Bearbeitung sind technische Vorkehrungen nötig, die es oftmals erst ermöglichen, alle Daten der betroffenen Person aufzuspüren und aufzubereiten. Die Auskunft muss nämlich in einem allgemein lesbaren Format übermittelt werden.

Nochmals kurz zusammengefasst:
Personen, deren personenbezogene Daten von Unternehmen verarbeitet werden, haben Unternehmen gegenüber grundsätzlich ein Recht auf Auskunft über die über sie verarbeiteten Daten. Aus Sicht des datenverarbeitenden Unternehmens ist darauf zu achten, dass die Identität des Betroffenen klargestellt wird und dass die personenbezogenen Daten grundsätzlich unverzüglich, spätestens binnen eines Monats beauskunftet werden. Dabei muss unbedingt darauf geachtet werden, dass keine geheimhaltungspflichtigen Daten anderer gelöscht oder weitergegeben werden. Außerdem muss technisch sichergestellt sein, dass die vorhandenen Daten überhaupt aufgefunden und aufbereitet werden können.