Beantwortung von Auskunftsersuchen im Rahmen der GDPR

Sogenannte "betroffene Personen", darunter Verbraucher und Mitarbeiter von B2B-Geschäftspartnern, haben nach der EU-Datenschutzverordnung (DSGVO) mehrere Rechte. In der Praxis ist eines der wichtigsten Rechte das Recht auf Auskunft gemäß Art. 15 GDPR. Es berechtigt natürliche Personen in der EU, von Unternehmen, die als für die Datenverarbeitung Verantwortliche fungieren, Auskunft darüber zu verlangen, wie sie die personenbezogenen Daten des jeweiligen Anfragenden verwenden.

Wer hat Anspruch auf das Auskunftsrecht?

Im Rahmen der DSGVO ist ein Unternehmen verpflichtet, jeder Person, deren personenbezogene Daten erhoben, gespeichert, verwendet oder anderweitig verarbeitet werden, Auskunft zu erteilen. Dazu können sowohl EU-Verbraucher als auch Mitarbeiter von EU-Geschäftspartnern gehören, unabhängig davon, ob sie bereits Waren oder Dienstleistungen erworben haben (Kunden) oder nicht (Interessenten, Verkäufer). Es macht auch keinen Unterschied, ob die Erhebung personenbezogener Daten Teil eines nicht kostenpflichtigen Dienstes ist, z. B. im Zusammenhang mit der Registrierung von kostenlosen Benutzerkonten oder dem Abonnement von Newslettern.

Betroffene Personen können nur von dem für die Verarbeitung Verantwortlichen Auskunft verlangen, d. h. dem Unternehmen, "das allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet" (Art. 4(7) DSGVO). Datenverarbeiter, d. h. Anbieter, die "personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen" (Art. 4 (8) DSGVO) verarbeiten, wie z. B. viele SaaS-, Hosting-, IT-Wartungs-, Cloud- oder Buchhaltungsdienstleister, müssen solchen Anfragen nicht selbst nachkommen, sondern können sie stattdessen an ihre jeweiligen B2B-Kunden verweisen, die nach der DSGVO in erster Linie verantwortlich sind.

Welche Informationen fallen unter das Recht auf Zugang?

Gemäß Art. 15 DSGVO müssen die für die Verarbeitung Verantwortlichen der betroffenen Person auf Anfrage die folgenden Informationen zur Verfügung stellen

• die Zwecke der Verarbeitung (z. B. Versand von Marketing-E-Mails, Lieferung von Waren, Angaben darüber, wie die personenbezogenen Daten für die Erbringung vertraglich vereinbarter Dienstleistungen verwendet werden);
• die Kategorien der betroffenen personenbezogenen Daten (z. B. Name, E-Mail, Postanschrift, Verhaltensdaten bei der Nutzung eines Online-Dienstes);
• die Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder werden, insbesondere Empfänger in Drittländern (z. B. Marketingpartner, Kategorien von Verkäufern, mit denen die Daten gemeinsam genutzt werden);
• wenn möglich, den vorgesehenen Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums (z. B. Aufbewahrungsfristen auf der Grundlage interner Datenaufbewahrungsrichtlinien);
• das Bestehen des Rechts, von dem für die Verarbeitung Verantwortlichen die Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) der die betroffene Person betreffenden personenbezogenen Daten oder die Einschränkung der Verarbeitung (Art. 18 DSGVO) zu verlangen oder gegen die Verarbeitung Widerspruch einzulegen (Art. 21 DSGVO);
• das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über ihre Quelle (z. B. im Internet erhobene Daten, automatisch angereicherte Leads in CRM-Tools, von Marketingpartnern erhaltene Informationen);
• Informationen darüber, ob die Daten Gegenstand einer automatisierten Entscheidungsfindung sind (Art. 22 DSGVO), und gegebenenfalls aussagekräftige Informationen über die damit verbundene Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person.

Zusätzlich zu diesen erläuternden Informationen haben die betroffenen Personen das Recht, eine Kopie der personenbezogenen Daten zu erhalten, die Gegenstand der Datenverarbeitung gemäß Art. 15(3) GDPR. Nach aktueller Rechtsprechung (OLG Köln, Urteil vom 26. Juli 2019 - 20 U 75/18) ist eine solche Kopie nicht auf Stammdaten beschränkt, sondern umfasst unter anderem auch Vermerke über die Kommunikation mit dem Anfragenden.

Folglich muss der für die Verarbeitung Verantwortliche alle Informationen über den jeweiligen Anfragenden aus seinen Datenbanken (z.B. CRM, E-Mails, Mobile-App-Datenerfassung, Bestellhistorie etc.) sammeln und ihm eine Kopie zur Verfügung stellen. Dies kann in der Form geschehen, in der die Daten dem für die Verarbeitung Verantwortlichen ohne zusätzliche Aufbereitung zur Verfügung stehen; wird die Anfrage jedoch elektronisch gestellt, müssen die Informationen in einer gängigen elektronischen Form bereitgestellt werden. Daher müssen die für die Verarbeitung Verantwortlichen Informationen, die mit einer Software verarbeitet werden, die ihr eigenes Datenformat verwendet, möglicherweise in gängigere Dateitypen wie PDF konvertieren.

Was ist bei der Bearbeitung von Auskunftsersuchen sonst noch zu beachten?

Die Datenschutz-Grundverordnung stellt weitere Anforderungen an die für die Datenverarbeitung Verantwortlichen, wenn es darum geht, Auskunftsersuchen betroffener Personen zu erfüllen. Diese beinhalten:

• Die für die Verarbeitung Verantwortlichen müssen Auskunftsanträge "ohne unangemessene Verzögerung und in jedem Fall innerhalb eines Monats nach Eingang des Antrags" bearbeiten (Artikel 12 Absatz 3 DSGVO). Diese Frist kann unter Berücksichtigung der Komplexität und der Anzahl der Anträge auf bis zu drei Monate verlängert werden, jedoch müssen die für die Verarbeitung Verantwortlichen dem Antragsteller innerhalb eines Monats die Gründe für die Verzögerung erläutern.
• Die Bearbeitung von Auskunftsersuchen muss kostenlos erfolgen, es sei denn, das Ersuchen ist offensichtlich unbegründet oder unverhältnismäßig (z. B. Ausübung des Auskunftsrechts auf wöchentlicher Basis), oder wenn der Antragsteller weitere Kopien aller ihn betreffenden personenbezogenen Daten verlangt. Ob der für die Verarbeitung Verantwortliche berechtigt ist, eine angemessene Gebühr zu verlangen oder die Bearbeitung des Antrags abzulehnen, sollte von Fall zu Fall beurteilt werden.
• Sofern von der betroffenen Person nicht anders gewünscht, müssen die Informationen in elektronischer Form bereitgestellt werden, wenn der Antrag elektronisch gestellt wurde (z. B. per E-Mail oder über eine "Zugangsanfrage"-Funktion in einem Login-Bereich einer Website oder einer mobilen App).
• Die für die Verarbeitung Verantwortlichen sollten die Identität der Person, die einen Antrag auf Auskunft stellt, vor dessen Bearbeitung überprüfen, um eine unbefugte Weitergabe personenbezogener Daten an Dritte zu vermeiden (z. B. durch telefonische Sicherheitsabfragen).
• Jede Mitteilung im Anschluss an einen Antrag auf Auskunft muss "in knapper, transparenter, verständlicher und leicht zugänglicher Form unter Verwendung einer klaren und einfachen Sprache erfolgen, insbesondere bei Informationen, die speziell an ein Kind gerichtet sind" (Art. 12(1) DSGVO).

Wie wird die Verwaltung von Zugangsanträgen in der Praxis gehandhabt?

Die rechtzeitige Bearbeitung von Auskunftsersuchen kann mühsam sein und die Personalressourcen belasten. Insbesondere wenn personenbezogene Informationen über eine betroffene Person auf verschiedene Abteilungen oder Datenbanken verteilt sind, kann das Sammeln solcher Daten erhebliche Anstrengungen erfordern. Einige IT-Anbieter wie Microsoft stellen Informationen darüber zur Verfügung, wie Auskunftsersuchen zu Daten, die mit ihren Produkten verarbeitet werden, zu bearbeiten sind.

Den Unternehmen wird empfohlen, standardisierte Verfahren für die Bearbeitung von Auskunftsersuchen einzuführen, einschließlich Vorlagen für Antworten und die interne Zuweisung von Zuständigkeiten. Je nach Umfang der zu erwartenden Zugriffsanfragen und den geschätzten Kosten können Unternehmen in Erwägung ziehen, sich auf dem Markt nach Software-Tools zur Einhaltung der DSGVO umzusehen, die ihnen helfen, die Anforderungen der DSGVO zu erfüllen.