Auskunft und Anfrage nach Art. 15 DSGVO inkl. Musterantwortschreiben

Nach Datenschutz-Grundverordnung haben Betroffene viele Rechte. Diese umfassen z.B. die Auskunft über die Daten (nach Art 15 DSGVO), die Löschung von Daten und die Berichtigung von Daten.

In diesem Artikel erfahren Sie:

• Welche Rechte hat ein Betroffener?
• Was ist bei einer Anfrage grundsätzlich zu beachten?
• Wie läuft eine Anfrage nach Art. 15 DSGVO üblicherweise ab?
• Was sind die möglichen Folgen einer Antwort?
• Musterformulierungen zum kostenlosen Download.

Diese Rechte hat ein Betroffener wenn er gem. Art. 15, 16, 17, 18, 20 und 21 DSGVO ein Auskunftsersuchen stellt

Oft wird nur auf das Informationsersuchen eines Betroffenen eingegangen, allerdings kann ein Kunde, Lieferant oder andere Betroffene multiple Rechte einfordern:

• Auskunftsrecht gem. Art. 15 DSGVO (Auskunft über die Daten)
• Recht auf Berichtigung gem. Art. 16 DSGVO (Korrektur von Daten zum Betroffenen)
• Recht auf Löschung bzw. Einschränkung gem. Art. 17 und 18 DSGVO
• Recht auf Datenübertragbarkeit Art. 20 DSGVO (Übertragung des Datensatzes in einem gängigen maschinenlesbaren Format)
• Widerspruchsrecht Art. 21 DSGVO (Widerspruch gegen eine zuvor erteile Einwilligung)

Wie zu sehen ist, kann ein Kunde eine Welle an Arbeit lostreten, wenn er von allen seinen Rechten Gebrauch macht. Wie so eine Anfrage aussehen kann zeigt heise.de mit dem “Folterfragebogen”. Außerdem können Sie mit Hilfe des Musterschreibens der Verbraucherzentralen absehen, was auf Sie zu kommt.

In der Praxis werden Kunden wohl eher vom Recht auf Löschung und Ihrem Auskunftsrecht Gebrauch machen. Auf diese beiden Formen soll auch der Fokus hier liegen.

Grundsätzlich sind folgende Punkte zu beachten

Form

Sollte ein Kunde, Interessent oder anderer Betroffener von seinem Auskunftsrecht gebrauch machen, müssen Sie z.B. einen Datenexport in geeigneter Form zur Verfügung stellen. Der Datenexport sollte in maschinenlesbarer Form erfolgen. Ein einfacher Scan der Daten ist also nicht ausreichend, der Export kann z.B. im .csv oder .json Format erfolgen. Auch ein Verweis in der Form: “Steht alles auf Ihrer Rechnung” ist nicht ausreichend.

Übertragung

Achten Sie darauf, dass Sie die Daten des Betroffenen sicher übertragen oder zur Verfügung stellen. Eine unverschlüsselte E-Mail zählt regelmäßig nicht zu den sicheren Verfahren!

Frist

Grundsätzlich muss die Auskunft sofort erfolgen, zulässig ist aber auch eine Beantwortung innerhalb eines Monats. Sollte ein Verantwortlicher ein hohes Anfrageaufkommen haben, kann er diese Frist auch verlängern, wenn er dies begründet und den Antragsteller informiert. In der Regel ist so eine Gesamtfrist von 3 Monaten denkbar.

Identifikation

Sie müssen sicherstellen, dass der, der fragt auch der Betroffene ist, dessen Datensatz verlangt wird. Bei begründeten Zweifeln, sollte eine zweite Authentifizierung z.B. durch eine hinterlegte Telefonnummer oder eine Ausweiskopie durchgeführt werden. Unbedingt sollten Sie diese Identitätsfeststellung auch dokumentieren.

Dokumentation

Dokumentieren Sie alle Schritte in Ihrem Datenschutz-Ordner, damit Sie alles auch später nachweisen können. Weiter unten finden Sie ein kostenloses Muster, welches auch die Dokumentation von Datenschutzanfragen abdeckt.

Muster Ablauf einer Anfrage eines Betroffenen auf Auskunft oder Löschung nach DSGVO

Bevor eine Abfrage Sie überhaupt erreicht, sollten Sie Ihre Dokumentation nach DSGVO vollständig haben. Eine Betroffenenanfrage hat immer das Potential eine Untersuchung der zuständigen Behörde auszulösen, welche Ihre Dokumentation verlangen könnte. Idealerweise haben sie diese schon, wenn nicht, holen sie die Erstellung schleunigst nach.

Die Anfrage trifft ein

Es ist soweit, ein Kunde macht von seinem Recht Gebrauch, seine Daten einzufordern. Sie sollten Ihren Support zuvor sensibilisiert haben, solche Anfragen sofort an die Geschäftsleitung und / oder an einen etwaigen Datenschutzbeauftragten weiterzuleiten.

Prüfung der Anfrage

Fragen sie sich folgende Fragen, wenn Sie eine Anfrage erhalten:

Ist der Betroffene in unserem Systemen?

• Wurde er zweifelsfrei identifiziert?
• Kann die Frist von einem Monat eingehalten werden? (Wenn nein, muss der Betroffene informiert werden, die Verzögerung muss begründet werden)
• Kann die Anfrage wegen exzessiver Wiederholung oder Unbegründetheit abgelehnt werden (siehe Art. 12 Abs. 5 Satz 2 DSGVO)?
• Kann die Anfrage wegen der möglichen Offenbarung von Geschäftsgeheimnissen verweigert werden?
• Kann die Anfrage abgelehnt werden, weil sonstige Rechte und Freiheiten anderer eingeschränkt werden?

Kategorisieren Sie nun, was der Betroffene möchte, also nur eine Auskunft oder Löschung oder gar beides? Handeln Sie dementsprechend und exportieren Sie die Daten oder prüfen Sie ob die Löschung möglich ist (es muss nicht gelöscht werden, wenn gesetzliche oder sonstige Aufbewahrungsfristen gelten).

Beantwortung der Anfrage

Antworten Sie direkt nach Eingang der Anfrage, dass das Anliegen bearbeitet wird. Haben sie alle o.g. Schritte erledigt, prüfen Sie das Ergebnis im Blick auf das Auskunftsersuchen. Haben Sie alle Punkte erfüllt?

In der Regel fragen Betroffene den gesetzlichen Katalog ab:

• Eine Kopie des vollständigen Datensatzes in maschinenlesbarer Form
• Den Zweck der Verarbeitung
• Die Kategorien der Daten, welche im Unternehmen verarbeitet wurden
• Empfänger der Daten im In- und Ausland
• Die Löschfristen für die Daten
• Informationen über die Herkunft der Daten (wurden diese beim Kunden erhoben oder anderswo)
• Ob und mit welchen Kriterien automatisierte Entscheidungen über den Betroffenen getroffen wurden
• Die Grundlage für die Weiterleitung von personenbezogenen Daten in unsichere Drittstaaten.

Außerdem muss der Anfragesteller darüber aufgeklärt werden, dass seine Betroffenenrechte wahrnehmen kann und eine Aufsichtsbehörde einschalten kann.

Insgesamt sollten die o.g. Angaben in Textform erfolgen und danach im Datenschutzordner als Dokumentation abgeheftet werden.

Eine ausführliche Mustervorlage erhalten Sie mit den Dokumentationspaketen.

Folgen der Beantwortung von Auskunftsersuchen nach DSGVO

Idealerweise ist der Betroffene Kunde nun zu frieden und die Anfrage ist erledigt. Sollte dem nicht so sein, kann sich der Antragsteller erneut an Sie wenden oder innerhalb eines Jahres an die Behörde.

Da Sie Ihren Dokumentationspflichten nach gekommen sind und die Anfrage gewissenhaft beantwortet haben, haben Sie nichts zu befürchten.

Kostenloses Muster für Antworten für Datenschutzanfragen nach Art 15 DSGVO

Laden Sie sich hier ein kostenloses Muster für eine Auskunftsantwort nach Art 15 DSGVO herunter. Auch die Fälle für

• Auskunft,
• Berichtigung,
• Einschränkung,
• Löschung und
• Widerspruch

Sind inklusive.

Direktdownload des DSGVO Auskunftsmuster

Vorlage Dokumentation einer Betroffenenanfrage

Verantwortliche Stelle:
Muster GmbH
Musterstraße 1
00000 Musterstadt

Auskunft eingegangen am:	[Tragen Sie hier das Datum des Einganges ein]
Auskunft eingegangen via:	[E-Mail, Fax, Post]
Auskunft beantwortet am:	[Tragen Sie hier das Datum der Beantwortung ein]
Löschung des gesamten Datensatzes durchgeführt am:	[Wenn nicht zutreffend, dies hier auch vermerken]
Art der Anfrage:	[Auskunft, Berichtigung, Einschränkung, Löschung, Widerspruch]
Identifikation der Person erfolgte durch:	[Hier muss beschrieben werden, ob die Person ggf. noch über einen zweiten Weg identifiziert wurde oder ob die initiale Anfrage schon ausreichend war]
Zur Fristverlängerung informiert am:	[Fristverlängerung kann bis auf 3 Monate erfolgen, Betroffener muss informiert werden]
Begründung für Fristverlängerung:	[z.B. Hohes Anfragevolumen]
Ablehnung der Anfrage mit folgender Begründung:	[Wenn nicht zutreffend, dies hier auch vermerken, Gründe für Ablehung: Unbegründetheit, exzessiver Gebrauch, Schutz anderer Personen]
Mitgeltende Dokumente:	[z.B. E-Mails, sonstiger Schriftverkehr]

Musterschreiben Negativbescheide Löschungsbewilligung und Auskunft nach DSGVO

Achtung! Dies sind nur Muster, welche der Illustration dienen, passen Sie die Textbausteine unbedingt auf Ihre individuellen Gegebenheiten an oder beauftragen Sie eine Fachkraft.

Betr.: Ihr Antrag auf Auskunft [und Berichtigung, Einschränkung, Löschung, Widerspruch] nach DSGVO vom <TT.MM.JJJJ>

Sehr geehrte/r Herr/Frau <Name>,
wir bedanken uns für Ihre Anfrage vom <TT.MM.JJJJ>
Derzeit werden bei uns keine personenbezogenen Daten im Zusammenhang mit Ihrer Person gespeichert, die über Ihr Auskunftsersuchen hinaus gehen, Ihr Antrag auf Auskunft [und Berichtigung, Einschränkung, Löschung, Widerspruch] kann deswegen nicht bearbeitet werden.
Ihre persönlichen Daten, welche im Zuge Ihres Ersuchens erhoben wurden (Name, Anschrift, IP und E-Mailadresse), werden nach Absenden dieser Nachricht innerhalb von 30 Tagen von uns gelöscht.
Mit freundlichen Grüßen
<Signatur>

 

Betr.: Ihr Antrag auf Auskunft [und Berichtigung, Einschränkung, Löschung, Widerspruch] nach DSGVO vom <TT.MM.JJJJ>

Sehr geehrte/r Herr/Frau <Name>,
wir bedanken uns für Ihre Anfrage vom <TT.MM.JJJJ>.
Wir konnten Sie aufgrund der Informationen, die Sie uns zu Ihrer Person mitgeteilt haben, nicht zweifelsfrei identifizieren. Wir sind deshalb nicht in der Lage, Ihre Anfrage bezüglich der Verarbeitung personenbezogener Daten zu Ihrer Person durch uns zu beantworten.
Gern prüfen wir Ihre Anfrage erneut, wenn Sie uns die folgenden Informationen zur Identifizierung Ihrer Person mitteilen:
<Name>
<Adresse>
<Kundennummer>
<E-Mail>
<Rechnungsnummer>
<Telefonnummer>
<Datum der Registrierung>

Mit freundlichen Grüßen
<Signatur>

Musterschreiben Löschungsbewilligung und Auskunft

Achtung! Dies sind nur Muster, welche der Illustration dienen, passen Sie die Textbausteine unbedingt auf Ihre individuellen Gegebenheiten an oder beauftragen Sie eine Fachkraft.

Betr.: Ihr Antrag auf Auskunft [und Berichtigung, Einschränkung, Löschung, Widerspruch] nach DSGVO vom <TT.MM.JJJJ>

Sehr geehrte/r Herr/Frau <Name>,
wir bedanken uns für Ihre Anfrage vom <TT.MM.JJJJ>.
Hiermit bestätigen wir Ihnen, dass wir Sie betreffende personenbezogene Daten verarbeiten. Zu Ihrem Antrag auf Auskunft <und Berichtigung, Einschränkung, Löschung, Widerspruch> erteilen wir Ihnen folgende Auskunft innerhalb der gesetzlichen Frist:
Diese Daten haben wir von Ihnen verarbeitet:
<Musterdaten>
<<Darüber hinaus wird auf die übermittelte Datei <„Muster.csv“> verwiesen, welche Ihnen am <TT.MM.JJJJ> bereit gestellt wurde. Diese enthält Ihren kompletten Stammdatensatz.>>
Wir verarbeiten folgende Kategorien personenbezogener Daten:
<Beschäftigte>
<Interessenten>
<Lieferanten>
<Kunden>
<Beschäftigte von Kunden oder Lieferanten>
<…>
<Sonstige Kategorien personenbezogener Daten>
Wir verarbeiten die Daten zu folgenden Zwecken:
[Geben Sie hier die Zwecke an, und ggf. die Rechtsgrundlage der Verarbeitung an 1 und 2 sind Beispiele]
[1] Ihre Daten wurden ausschließlich zur Erfüllung eines Vertrages oder eines vorvertraglichen Verhältnisses verarbeitet, welches mit Ihnen besteht.
[2] Ihre Daten wurde auf Grund Ihrer Einwilligung, welche am [Datum] erteilt wurde, verarbeitet.
Unsere geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer lauten wie folgt:
[Die Löschung der Daten erfolgt nach Ablauf der gesetzlichen, satzungsmäßigen oder vertraglich vereinbarten Aufbewahrungsfristen.
Die Daten werden bis auf Widerruf des / der Betroffenen gespeichert. Maximal jedoch 10 Jahre, ausgenommen sind Daten, für die gesetzliche Aufbewahrungsfristen bestehen.]
[Wenn Löschung beantragt:] <Wir haben wunschgemäß Ihre personenbezogenen Daten gelöscht.>
[Wenn keine Weitergabe erfolgt:] <Datenübermittlung findet nicht statt und ist auch nicht geplant>
[Wenn Weitergabe erfolgt:] Ihre personenbezogenen Daten wurden bzw. werden auch an folgende Kategorien von Empfängern weitergegeben:
<intern (Zugriffsberechtigte)>
<weitere Interne>
<extern (Empfängerkategorie)>
<Musterextern>
[Wenn Weitergabe erfolgt:] Datenübermittlung findet wie folgt statt:
<Musterdatenübertragung>
[Wenn Weitergabe and Drittland erfolgt:] <Drittland oder internationale Organisation (Name)
Muster Drittland // internationale Organisation>
[Wenn Weitergabe and Drittland erfolgt:] Dokumentation geeigneter Garantien:
<nach Privacy-Shield zertifiziert>
<vertragliche Vereinbarung>
<EU-Standardvertragsklausel>
<unterliegt Code of Conduct>
Sonstiges:
<Sonstige Garantien>
<Muster Garantie>
[Wenn Weitergabe and Drittland erfolgt und Ausnahmen vorliegen, die Garantien überflüssig machen:] Ausnahmen:
<Vertrag zwischen Verantwortlichen und betroffener Person>
<Einwilligung der betroffenen Person liegt vor>
<Wichtige Gründe des öffentlichen Interesses>
<Im Interesse der betroffenen Person>
<Zur Durchsetzung von Rechtsansprüchen>
<Sonstiges:
Sonstige Ausnahme>

[Wenn Kopie der Daten angefragt:]
<Sie können eine Kopie der Daten in einem gängigen elektronischen Format mit Hilfe eines gängigen Browsers unter
Muster-URL
einsehen. Dazu benötigen Sie ein Passwort mit einer begrenzten Gültigkeitsdauer. Sollten Sie dies in Anspruch nehmen, müssen Sie dies gesondert beantragen>
[Wenn Profiling erfolgt:]
<Im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten durch den Verantwortlichen findet ein Profiling und eine automatisierte Entscheidungsfindung statt. Die involvierte Logik zur Entscheidungsfindung ist folgende:
[Muster-Logik]
Die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Sie sind folgende:
[Mustertragweite]

Die Quelle der Daten ist folgende:
Ihre Daten wurden von Ihnen am [Datum] in unser System eingetragen, wurden also bei Ihnen erhoben.
[UND / ODER]
Ihre Daten wurden über folgende Stelle erhoben: [geben Sie hier die Quelle der Daten an, wenn die Daten nicht vom Betroffenen selbst eingegeben wurden].

Sie haben folgende Rechte:
Recht auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, Recht auf Einschränkung der Verarbeitung durch den Verantwortlichen, Recht auf Widerspruch gegen die Verarbeitung (insb. bei der Verarbeitung von Daten für Zwecke der Werbung) sowie ein Recht auf Beschwerde bei einer Aufsichtsbehörde bei einer unrechtmäßigen Datenverarbeitung.
Wir hoffen, dass wir Ihnen mit dieser Auskunft weiterhelfen konnten.

Mit freundlichen Grüßen
<Signatur>

Fazit

Eine Betroffenenanfrage nach DSGVO hört sich erst einmal arbeitsintensiv an, wenn man sich aber an die Grundstruktur hält, kann vieles davon automatisiert erfolgen. Viele große CMS oder Shop Systeme bieten mittlerweile Daten-Export Funktionen an, wie z.B. WordPress, Plentymarkets oder Shopware. Wichtig ist, dass Ihre Datenschutz Dokumentation auf dem neuesten Stand ist, um üble Überraschungen zu vermeiden.

Quellen

https://dsgvo-gesetz.de/art-15-dsgvo/

https://dsgvo-gesetz.de/art-12-dsgvo/

https://dsgvo-gesetz.de/art-13-dsgvo/

https://dsgvo-gesetz.de/art-14-dsgvo/