Teure Fall­stricke bei Auskunfts­er­­­­suchen

Fallstricke beim Auskunftsersuchen lauern.

Die DSGVO regelt nicht nur, wie Sie als Verantwortliche*r Datenverarbeitungen handhaben sollen, sondern räumt den Betroffenen auch diverse Rechte als Steuerungs- und Kontrollelemente hinsichtlich der Verarbeitung ihrer personenbezogenen Daten ein. Bei betroffenen Personen immer populärer wird der Gebrauch des Rechts auf Auskunft aus Art. 15 DSGVO. Hiermit kann die oder der Bertoffene feststellen, ob personenbezogene Daten verarbeitet werden und welche.

Jedoch verstecken sich hier einige Fallen, die bei Missachtung durch Sie als Verantwortliche*r, empfindliche Bußgelder (gem. Art. 83 Abs. 5 lit. b DSGVO ) nach sich ziehen und möglicherweise auch einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründen können.

Im Folgenden Tipp der Woche möchten wir Sie auf drei typische Fallstricke hinweisen, die Sie als Verantwortliche*r teuer zu stehen kommen könnten.

Inhaltsverzeichnis

1. Mangelnde Vollständigkeit

Besonders ärgerlich ist es, wenn man bereits Zeit in ein Auskunftsersuchen investiert, um diesem gerecht zu werden, dann aber an der Vollständigkeit ebendieser Auskunft scheitert. Grundsätzlich richten sich die Inhalte der Auskunft nach dem Auskunftsbegehren der oder des Betroffenen. Der Inhalt der Auskunft bemisst sich nach Art. 15 Abs. 1 DSGVO. Zu beachten ist allerdings auch Art. 15 Abs. 2 DSGVO.

Dieser regelt den Sonderfall der Übermittlung von Daten in ein Drittland oder an eine internationale Organisation. Demnach sind Sie dazu verpflichtet, der betroffenen Person im Rahmen des Auskunftsersuchens mitzuteilen, welche geeigneten Garantien i. S. d. Art. 46 DSGVO Sie für die internationale Datenübermittlung verwenden. Eine solche Garantie kann beispielsweise eine von der Kommission erlassene Standartdatenschutzklausel darstellen.

Wenn Sie diese Pflicht übersehen oder missachten, ist das Auskunftsersuchen bereits unzureichend beantwortet.

Achtung: Auch wenn Sie gar keine Daten der betroffenen Person verarbeitet haben, müssen Sie darüber eine sogenannte Negativauskunft erteilen. Dies ist dann der Fall, wenn keine personenbezogenen Daten verarbeitet wurden, oder aber die Daten anonymisiert wurden.

Da die Negativauskunft selbst personenbezogene Daten über den Antragsteller enthält, welche für die Auskunft durch Sie auch verarbeitet werden mussten, denken Sie unbedingt daran, dass sich hieraus Informationspflichten ergeben. Der Auskunft sind auch Datenschutzinformationen nach Art. 13 beizufügen, in denen u. a. darüber zu informieren ist, wie mit personenbezogenen Daten von Negativauskünften verfahren wird.

2. Unzulässigkeit der Übermittlung von Daten Dritter

Vorsicht ist auch geboten, sobald die Beantwortung des Auskunftsersuchens auch Daten einer dritten Person beinhaltet. In Art. 15 Abs. 4 DSGVO ist ausdrücklich festgelegt, dass die Beantwortung eines Auskunftsersuchens nicht die Rechte und Freiheiten anderer Personen beeinträchtigen darf. Dies führt aber nicht dazu, dass Sie in einem solchen Fall das Auskunftsersuchen verweigern dürfen. Vielmehr führt diese Norm zu einem aufwendigeren Arbeitsauftrag für Sie. In einem solchen Fall müssen Sie grundsätzlich alle beeinträchtigenden Daten schwärzen oder in sonstiger Weise entfernen, ohne dabei den Inhalt der Auskunft zu verändern.

Sofern eine Schwärzung oder Vergleichbares unmöglich ist, müssen die betroffenen Interessen gewissenhaft abgewogen werden und es muss ermittelt werden, welches Interesse überwiegt. Diese Interessenabwägung ist ebenfalls zu dokumentieren und im Anschluss ist entsprechend Auskunft zu erteilen.

Hier gilt, dass Sorgfalt einmal mehr von enormer Wichtigkeit ist. Insbesondere die Abwägung der Interessen sollte gewissenhaft und sorgfältig ausgearbeitet werden, um ein Bußgeld zu verhindern.

3. Übermittlungsmedium

Auch wenn Sie die Daten sorgfältig und gewissenhaft zusammengestellt haben, ist die Gefahr noch nicht gebannt. Die beauskunfteten Daten müssen auch in ordnungsgemäßer Art und Weise übermittelt werden. Die Auskunft kann schriftlich oder elektronisch erteilt werden. Grundsätzlich sollte die Auskunftserteilung Ihrerseits elektronisch erfolgen, wenn das Auskunftsersuchen elektronisch gestellt wurde. Anderes gilt, wenn die auskunftsersuchende Person ausdrücklich die Zusendung per Post oder eine mündliche Auskunft verlangt. Stellen Sie aber unbedingt sicher, dass im Fall der mündlichen Auskunft der Kontakt tatsächlich mit der Person stattfindet, über deren Daten die Auskunft erteilt wird.

Ebenso kann eine Cloudlösung in Betracht kommen, bei der ein Fernzugriff auf die Daten ermöglicht wird, sofern diese auch gespeichert werden können. Um entsprechende Datensicherheit zu gewährleisten, sollten die Daten aber ausreichend geschützt werden. Im besten Fall werden die Daten verschlüsselt.

Achtung: Neben der Form ist auch die Frist wichtig. Gem. Art. 12 Abs. 3 DSGVO ist eine Auskunft unverzüglich, jedenfalls aber innerhalb eines Monats zu erteilen. Etwas anderes kann aber ausnahmsweise gelten, wenn es sich um ein besonders komplexes Auskunftsverlangen handelt oder gerade eine Vielzahl von Auskunftsersuchen vorliegt. In diesen Fällen kann die Frist ausnahmsweise um 2 Monate verlängert werden. Über die Fristverlängerung und den Grund ist der oder die Auskunftsersuchende unverzüglich innerhalb der ersten Monatsfrist zu unterrichten.

Unser Tipp:

Nehmen Sie das Auskunftsersuchen von Betroffenen als wichtige Pflicht und nicht bloß als lästige Nebensache. Fehler bei einem Auskunftsersuchen können Sie teuer zu stehen kommen, da die DSGVO enorm hohe Bußgelder ermöglicht, von denen auch regelmäßig Gebrauch gemacht wird.

Daher gilt höchst mögliche Sorgfalt bei der Bearbeitung eines Auskunftsersuchens. Nutzen Sie unser Whitepaper „DSGVO Musterantworten zur Auskunft und Löschung“, welches Sie über Ihren Legal Account abrufen können, sodass die oben genannten Fallstricke für Sie keine mehr sind.

14.03.24
Sabrina Brosch

Sabrina Brosch

Sabrina Brosch, LL.M., ist als Teamlead der Legal Consultants Privacy bei Trusted Shops tätig. Sie betreut die Trusted Shops Legal Produkte im Bereich Datenschutz.

Select Country: