Auskunftsrecht eines Betroffenen wenn er gem. Art. 15 DSGVO eine Anfrage stellt

Nach Datenschutz-Grundverordnung haben Betroffene viele Rechte. Diese umfassen z.B. die Auskunft über die Daten (nach Art 15 DSGVO), die Löschung von Daten und die Berichtigung von Daten. Es ist davon auszugehen, dass vor allem Unternehmen mit großem (End) Kundenstamm Anfragen erhalten, also Online-Händler, Software Anbieter oder App-Hersteller. Wie Sie dem DSGVO Auskunftsrecht richtig nach kommen erfahren Sie in diesem Artikel.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Diese Rechte hat ein Betroffener wenn er gem. Art. 15 DSGVO ein Auskunftsersuchen stellt

Oft wird nur auf das Informationsersuchen eines Betroffenen eingegangen, allerdings kann ein Kunde, Lieferant oder andere Betroffene multiple Rechte einfordern:

  • Auskunftsrecht gem. Art. 15 DSGVO (Auskunft über die Daten)
  • Recht auf Berichtigung gem. Art. 16 DSGVO (Korrektur von Daten zum Betroffenen)
  • Recht auf Löschung bzw. Einschränkung gem. Art. 17 und 18 DSGVO
  • Recht auf Datenübertragbarkeit Art. 20 DSGVO (Übertragung des Datensatzes in einem gängigen maschinenlesbaren Format)
  • Widerspruchsrecht Art. 21 DSGVO (Widerspruch gegen eine zuvor erteile Einwilligung)

Wie zu sehen ist, kann ein Kunde eine Welle an Arbeit lostreten, wenn er von allen seinen Rechten Gebrauch macht. Wie so eine Anfrage aussehen kann zeigt heise.de mit dem “Folterfragebogen”.

In der Praxis werden Kunden wohl eher vom Recht auf Löschung und Ihrem Auskunftsrecht Gebrauch machen. Auf diese beiden Formen soll auch der Fokus hier liegen.

Hefterreihe Ausknfut nach DSGVO kann jeder Betroffen verlangen

Grundsätzlich sind folgende Punkte zu beachten

Form

Der Datenexport sollte in maschinenlesbarer Form erfolgen. Ein einfacher Scan der Daten ist also nicht ausreichend, der Export kann z.B. im .csv oder .json Format erfolgen. Auch ein Verweis in der Form: “Steht alles auf Ihrer Rechnung” ist nicht ausreichend.

Frist

Grundsätzlich muss die Auskunft sofort erfolgen, zulässig ist aber auch eine Beantwortung innerhalb eines Monats. Sollte ein Verantwortlicher ein hohes Anfrageaufkommen haben, kann er diese Frist auch verlängern, wenn er dies begründet und den Antragsteller informiert. In der Regel ist so eine Gesamtfrist von 3 Monaten denkbar.

Identifikation

Sie müssen sicherstellen, dass der, der fragt auch der Betroffene ist, dessen Datensatz verlangt wird. Bei begründeten Zweifeln, sollte eine zweite Authentifizierung z.B. durch eine hinterlegte Telefonnummer oder eine Ausweiskopie durchgeführt werden.

Dokumentation

Dokumentieren Sie alle Schritte in Ihrem Datenschutz-Ordner, damit Sie alles auch später nachweisen können. Unser Produkt enthält ein Muster mit allen Punkten zum abhaken und abheften.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Muster Ablauf einer Anfrage eines Betroffenen auf Auskunft oder Löschung nach DSGVO

Bevor eine Abfrage Sie überhaupt erreicht, sollten Sie Ihre Dokumentation nach DSGVO vollständig haben. Eine Betroffenenanfrage hat immer das Potential eine Untersuchung der zuständigen Behörde auszulösen, welche Ihre Dokumentation verlangen könnte. Idealerweise haben sie diese schon, wenn nicht, holen sie die Erstellung schleunigst nach.

Die Anfrage trifft ein

Es ist soweit, ein Kunde macht von seinem Recht gebrauch, seine Daten einzufordern. Sie sollten Ihren Support zuvor sensibilisiert haben, solche Anfragen sofort an die Geschäftsleitung und an einen etwaigen Datenschutzbeauftragten weiterzuleiten.

Prüfung der Anfrage

Fragen sie sich folgende Fragen, wenn Sie eine Anfrage erhalten:

Ist der Betroffene in unseren Systemen?

  • Wurde er zweifelsfrei identifiziert?
  • Kann die Frist von einem Monat eingehalten werden? (Wenn nein, muss der Betroffene informiert werden, die Verzögerung muss begründet werden)
  • Kann die Anfrage wegen exzessiver Wiederholung oder Unbegründetheit abgelehnt werden?
  • Kann die Anfrage wegen der möglichen Offenbarung von Geschäftsgeheimnissen verweigert werden?

Kategorisieren Sie nun, was der Betroffene möchte, also nur eine Auskunft oder Löschung oder gar beides? Handeln Sie dementsprechend und exportieren Sie die Daten oder prüfen Sie ob die Löschung möglich ist (es muss nicht gelöscht werden, wenn gesetzliche oder sonstige Aufbewahrungsfristen gelten).

Lampenpfahl mit BigData Schild.

Beantwortung der Anfrage

Antworten Sie direkt nach Eingang der Anfrage, dass das Anliegen bearbeitet wird. Haben sie alle o.g. Schritte erledigt, prüfen Sie das Ergebnis im Blick auf das Auskunftsersuchen. Haben Sie alle Punkte erfüllt?

In der Regel fragen Betroffene den gesetzlichen Katalog ab:

  • Eine Kopie des vollständigen Datensatzes in maschinenlesbarer Form
  • Den Zweck der Verarbeitung
  • Die Kategorien der Daten, welche im Unternehmen verarbeitet wurden
  • Empfänger der Daten im In- und Ausland
  • Die Löschfristen für die Daten
  • Informationen über die Herkunft der Daten (wurden diese beim Kunden erhoben oder anderswo)
  • Ob und mit welchen Kriterien automatisierte Entscheidungen über den Betroffenen getroffen wurden
  • Die Grundlage für die Weiterleitung von personenbezogenen Daten in unsichere Drittstaaten.

Außerdem muss der Anfragesteller darüber aufgeklärt werden, dass seine Betroffenenrechte wahrnehmen kann und eine Aufsichtsbehörde einschalten kann.

Insgesamt sollten die o.g. Angaben in Textform erfolgen und danach im Datenschutzordner als Dokumentation abgeheftet werden.

Eine ausführliche Mustervorlage erhalten Sie mit den Dokumentationspaketen Excel und Schritt-für-Schritt Generator.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Folgen der Beantwortung von Auskunftsersuchen nach DSGVO

Idealerweise ist der Betroffene Kunde nun zu frieden und die Anfrage ist erledigt. Sollte dem nicht so sein, kann sich der Antragsteller erneut an Sie wenden oder innerhalb eines Jahres an die Behörde.

Da Sie Ihren Dokumentationspflichten nach gekommen sind und die Anfrage gewissenhaft beantwortet haben, haben Sie nichts zu befürchten.

Fazit

Eine Betroffenenanfrage nach DSGVO hört sich erst einmal arbeitsintensiv an, wenn man sich aber an die Grundstruktur hält, kann vieles davon automatisiert erfolgen. Viele große CMS oder Shop Systeme bieten mittlerweile Daten-Export Funktionen an, wie z.B. WordPress, Plentymarkets oder Shopware. Wichtig ist, dass Ihre Datenschutz Dokumentation auf dem neuesten Stand ist, um üble Überraschungen zu vermeiden.

Quellen

https://dsgvo-gesetz.de/art-15-dsgvo/

https://dsgvo-gesetz.de/art-12-dsgvo/

https://dsgvo-gesetz.de/art-13-dsgvo/

https://dsgvo-gesetz.de/art-14-dsgvo/