03.04.2018 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Die DSGVO will mit dem neuen Auskunftsanspruch Transparenz schaffen. Bei dem Anspruch auf Auskunft handelt es sich um das zentrale Recht des Betroffenen. Der Anspruch ist aber derart komplex, dass sich schnell Fehler einschleichen können. Die wiederrum können als Druckpotential zur Durchsetzung von sachfremden Ansprüchen dienen. Es geht nicht mehr nur um gespeicherte Daten, sondern um verarbeitete Daten. Nach Art. 4 Nr. 2 DSGVO umfasst der Begriff
„das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
Der Anspruch stellt die Grundlage für weitere Ansprüche dar, wie z.B. der Anspruch auf Löschung.
Unter dem Titel „Thoms Fassung von Framstags freundlichem Folterfragebogen“ (kurz TFFFFF oder T5F) ist schon unter der Geltung des alten BDSG eine Vorlage bekannt, mit deren Hilfe Betroffene Auskunft verlangen können. Schon werden Überarbeitungen angeboten, die auf die DSGVO abgestimmt sind. Experten erwarten eine deutliche Zunahme der Anfragen, zumal die Medien jetzt die Verbraucher vor dem 25.05. auf ihre Rechte aufmerksam machen werden.
Der Anspruchsteller kann Verbraucher sein, aber auch in seiner Eigenschaft als Arbeitnehmer Ansprüche stellen oder als Angestellter eines Unternehmens im B2B-Bereich agieren.
Zunächst richtet sich das in Art. 15 DSGVO geregelte Recht auf die Abgabe einer Bestätigung. Sind keine personenbezogenen Daten im Unternehmen gespeichert oder wurden Daten anonymisiert, muss dem Anfrager eine Negativbestätigung zugeleitet werden.
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden;
Liegen solche Daten vor z. B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, Kaufhistorie, medizinische Befunde), müssen Sie in die Auskunft als Kopie der Daten aufgenommen werden. Das gilt auch für gesperrte Daten und Daten, die in der Vergangenheit vor Geltung der DSGVO erfasst wurden. Bei zu großem Umfang kann der Auskunftspflichtige eine Präzisierung verlangen. Banken und Versicherungen dürften hier mit ihren großen Datenschätzen betroffen sein. Rechte und Freiheiten Dritter dürfen nicht verletzt werden.
Der Anspruchsinhaber ist im Zusammenhang mit der Auskunft erneut über bestimmte Rechte zu belehren. Zu den Daten sind daher zusätzlich jeweils in die Auskunft aufzunehmen:
Wurden Daten an Drittländer außerhalb der EU bzw. außerhalb des EWR (Island, Liechtenstein und Norwegen) übermittelt oder soll dies künftig geschehen, dann muss der Betroffene informiert werden, wie seine Daten geschützt werden, z.B. durch Angabe der Garantien nach Art. 46 DSGVO, also z.B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, also sog. Binding Corporate Rules). Hier sollte man also z.B. bei dem Einsatz von Google-Analytics Informationen vorbereiten. Dazu kann die Sequenz dienen, die Sie ohnehin in den Datenschutzhinweisen vorhalten.
Die Auskunft erfolgt elektronisch in einem gängigen Format (z.B. PDF; idealer Weise per Download-Möglichkeit), wenn der Antrag elektronisch, also z.B. per E-Mail gestellt wurde. Auf Wunsch kann die Auskunft auch mündlich erteilt werden oder sonst schriftlich. In jedem Fall sollte man möglichst sicherstellen, dass man die Daten der richtigen Person zugänglich macht (Kontrollfragen, Identifizierung, Double-Opt-In) und dass dabei sichere Wege (z. B. verschlüsselter Zugang zu einem Downloadbereich) genutzt werden.
Sie müssen „unverzüglich“, also ohne schuldhaftes Zögern kostenlos Auskunft erteilen. Das dürfte im Regelfall innerhalb einer Woche möglich sein, wenn die Prozesse im Unternehmen eingerichtet sind.
Das Gesetzt schreibt vor, dass Sie vorbereitet sein müssen. Art. 12 Abs. 1 DSGVO verlangt von Ihnen „geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“.
Längstens in Ausnahmefällen dürfen Sie sich einen Monat Zeit lassen. Dauert es länger, müssen Sie den Anspruchsinhaber über die Gründe informieren.
Kosten dürfen nur für weitere Kopien verlangt werden. Mit der Kostenschraube können Sie auch versuchen bei offenkundig unbegründeten exzessiven Anträgen (häufige Wiederholungen) ein angemessenes Entgelt für die Auskunft zu verlangen (Art. 12 Abs. 5 Satz 2, ErwGr. 63). In solchen Missbrauchsfällen kann man sich auch weigern. Ausnahmen vom Auskunftsanspruch wurden z B. in § 34 BDSG neu zu Archivdaten geregelt, die aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die in Datensicherungen enthalten sind. Hierauf erstreckt sich der Anspruch also nicht.
Bußgelder drohen, wenn keine, eine unvollständige oder verspätete Auskunft erteilt wird. Die Behörden wollen Faktor 60 anwenden. Kostete also z.B. eine versäumte Auskunft bislang 1.000 Euro, sollten künftig 60.000 Euro fällig werden. Betroffene können auf Auskunft klagen.
Insgesamt ist zu erwarten, dass sich die Auskunftsersuche ausweiten werden und nicht selten dürften die erheblichen Bußgelddrohungen dazu genutzt werden, sachfremde Anliegen durchzusetzen. Bereiten Sie Ihr Unternehmen vor. Schaffen Sie ein Muster und klare interne Anweisungen, wie ein Auskunftsersuchen identifiziert werden kann, wem es zu melden ist und wie darauf geantwortet wird. Definieren Sie die Daten, die verfügbar zu machen sind und auch Form und Verfahren.