Auskunftsersuchen (Art. 15 DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) gibt betroffenen Personen starke Rechte an die Hand, um die Verarbeitung ihrer personenbezogenen Daten nachvollziehen und kontrollieren zu können. Eines der wichtigsten Rechte ist das Auskunftsrecht nach Art. 15 DSGVO. Betroffene können von Unternehmen verlangen, umfassend Auskunft über ihre gespeicherten Daten zu erhalten.

Für Unternehmen bedeutet das: Sie müssen strukturierte Prozesse schaffen, um Auskunftsersuchen fristgerecht, vollständig und DSGVO-konform zu bearbeiten. Fehler können nicht nur zu Bußgeldern, sondern auch zu Vertrauensverlust bei Kunden führen.

Beispiel: Ein Kunde möchte wissen, welche seiner Daten in einem CRM-System gespeichert sind. Das Unternehmen muss diese Daten innerhalb eines Monats bereitstellen, vollständig, transparent und kostenlos.

Art. 15 DSGVO regelt das Recht auf Auskunft. Betroffene Personen haben das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, muss der Verantwortliche umfassende Informationen bereitstellen.

Anforderungen (in groben Zügen)

Unternehmen müssen innerhalb eines Monats ab Eingang des Ersuchens reagieren, vgl. Art. 12 Abs. 3 Satz 1 DSGVO. In komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden; dies muss jedoch begründet und der betroffenen Person mitgeteilt werden, vgl. Art. 12 Abs. 3 Satz 2 und Satz 3 DSGVO.

1. Eingang prüfen und Identität feststellen
   
   • Überprüfung, ob der Antrag tatsächlich von der betroffenen Person stammt.
   • Identitätsprüfung, z. B. durch Kopie eines Ausweises oder digitale Authentifizierung.
2. Zusammenstellung der Daten
   
   • Alle Systeme prüfen: CRM, ERP, Cloud-Dienste, E-Mail-Postfächer, Papierakten.
   • Berücksichtigung externer Dienstleister (z. B. Cloud-Anbieter).
   • Dokumentation der Verarbeitungsschritte.
   • Schwärzung von personenbezogenen Daten mit Drittbezug.
3. Erstellung der Antwort
   
   • Bereitstellung in klarer, verständlicher und strukturierter Form.
   • Elektronisch oder schriftlich, je nach Wunsch des Betroffenen.
4. Kostenfreiheit
   
   • Die erste Auskunft muss kostenlos sein.
   • Bei offensichtlich unbegründeten oder exzessiven Anfragen können Unternehmen eine Gebühr verlangen oder die Anfrage ablehnen, Art. 12 Abs. 5 DSGVO.

Welche Informationen müssen bereitgestellt werden?

Ein Auskunftsersuchen umfasst weit mehr als nur eine Kopie der gespeicherten Daten. Nach Art. 15 Abs. 1 DSGVO muss das Unternehmen folgende Informationen liefern:

1. Zwecke der Verarbeitung:
   Warum werden die Daten verarbeitet?
2. Kategorien personenbezogener Daten:
   Welche Arten von Daten werden gespeichert (z. B. Kontaktdaten, Vertragsdaten)?
3. Empfänger oder Kategorien von Empfängern:
   An wen werden die Daten (intern und extern) übermittelt bzw. wer erhält Zugriff auf die Daten?
4. Speicherdauer:
   Wie lange werden die Daten gespeichert oder nach welchen Kriterien wird diese Dauer festgelegt?
5. Herkunft der Daten:
   Soweit die Daten nicht direkt bzw. unmittelbar bei der betroffenen Person erhoben wurden, vgl. Art. 13 und ARt. 14 DSGVO.
6. Bestehen der Rechte der betroffenen Person:
   Z. B. Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung.
7. Hinweis auf Beschwerderecht
   bei der zuständigen (Landes-)Aufsichtsbehörde.
8. Vorhandensein einer automatisierten Entscheidungsfindung:
   Z. B. Profiling.
9. Kopie der personenbezogenen Daten,
   die tatsächlich verarbeitet werden.

Herausforderungen für Unternehmen

Die Bearbeitung von Auskunftsersuchen ist in der Praxis oft komplex, besonders wenn viele Datenquellen im Unternehmen existieren.

Typische Probleme:

• Fehlende Übersicht über gespeicherte Daten
• Unterschiedliche Systeme ohne zentrale Schnittstelle
• Unsichere Identifizierung der anfragenden Person
• Zeitdruck durch die 30-Tage-Frist
• Hoher manueller Aufwand bei der Zusammenstellung der Informationen

Praxisbeispiel: Ein Unternehmen erhält eine Auskunftsanfrage von einem ehemaligen Mitarbeiter. Daten liegen verteilt in HR-Systemen, E-Mails und Cloud-Speichern. Ohne klare Prozesse droht eine Fristüberschreitung, und damit ein DSGVO-Verstoß.

Folgen bei Missachtung:

Unternehmen, die Auskunftsersuchen nicht oder nur unvollständig beantworten, riskieren erhebliche Konsequenzen:

• Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes
• Schadensersatzansprüche der betroffenen Person (Art. 82 DSGVO)
• Abmahnungen durch Verbraucherverbände
• Vertrauensverlust bei Kunden, Mitarbeitern und Bewerbern sowie Partnern

Unsere Leistungen: Unterstützung bei Auskunftsersuchen

Als externe Datenschutzbeauftragte bzw. Datenschutzberater helfen wir Unternehmen, Prozesse für Auskunftsersuchen rechtssicher zu gestalten.

1. Prozessanalyse:
   Wir prüfen, wie Ihr Unternehmen derzeit mit Anfragen umgeht und identifizieren Schwachstellen.
2. Erstellung standardisierter Vorlagen für:
   • Antwortschreiben an Betroffene.
   • Identitätsprüfungen
   • Checklisten für interne Abläufe
3. Schulungen und Workshops:
   Wir sensibilisieren Ihr Team für rechtliche Anforderungen und praktische Umsetzung.
4. Laufende Betreuung
   Wir begleiten Sie langfristig, um sicherzustellen, dass Prozesse stets DSGVO-konform bleiben.

Das Recht auf Auskunft nach Art. 15 DSGVO ist nicht nur eine gesetzliche Pflicht, sondern auch eine Chance für Unternehmen, Vertrauen aufzubauen. Ein transparenter und strukturierter Prozess zeigt Kunden, Bewerbern und Mitarbeitern, dass Datenschutz im Unternehmen ernst genommen wird. Mit klaren Abläufen und professioneller Unterstützung vermeiden Sie rechtliche Risiken und stärken Ihre Marke.

Checkliste: Ist Ihr Unternehmen vorbereitet?

• Gibt es eine zentrale Anlaufstelle für Auskunftsersuchen?
• Werden Identitäten der Antragsteller sicher geprüft?
• Sind alle relevanten Datenquellen dokumentiert?
• Bestehen Vorlagen für standardisierte Antwortschreiben?
• Werden alle Schritte revisionssicher dokumentiert?
• Sind Mitarbeitende regelmäßig geschult?

Wenn Sie eine dieser Fragen mit „Nein“ beantworten müssen, besteht dringender Handlungsbedarf..