Das neue Auskunftsrecht

Ab dem 25.05.2018 gilt die neue DSGVO (Datenschutzgrundverordnung). Neben vielen Informations- und Dokumentationspflichten wird das Auskunftsrecht das ein oder andere Unternehmen in Schwierigkeiten bringen. Insbesondere Verbraucher und Arbeitnehmer werden davon Gebrauch machen. Drastische Bußgelder drohen bei Fehlern.

Transparenz schaffen

Die DSGVO will mit dem neuen Auskunftsanspruch Transparenz schaffen. Bei dem Anspruch auf Auskunft handelt es sich um das zentrale Recht des Betroffenen. Der Anspruch ist aber derart komplex, dass sich schnell Fehler einschleichen können. Die wiederum können als Druckpotential zur Durchsetzung von sachfremden Ansprüchen dienen. Es geht nicht mehr nur um gespeicherte Daten, sondern um verarbeitete Daten. Nach Art. 4 Nr. 2 DSGVO umfasst der Begriff Verarbeitung

das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

Der Anspruch stellt die Grundlage für weitere Ansprüche dar, wie z.B. den Anspruch auf Löschung.

Framstags Folterfragebogen

Unter dem Titel „Thoms Fassung von Framstags freundlichem Folterfragebogen“ (kurz TFFFFF oder T5F) ist schon unter der Geltung des alten BDSG eine Vorlage bekannt, mit deren Hilfe Betroffene Auskunft verlangen können. Es gibt schon Überarbeitungen mit Anpassungen an das neue Recht.

Experten erwarten eine deutliche Zunahme der Anfragen, zumal die Medien jetzt die Verbraucher vor dem 25.05. auf ihre Rechte aufmerksam machen werden.

Wer darf den Anspruch geltend machen?

Der Anspruchsteller kann Verbraucher sein, aber auch in seiner Eigenschaft als Arbeitnehmer Ansprüche stellen oder als Angestellter eines Unternehmens im B2B – Bereich.

Vorstufe Bestätigung

Zunächst richtet sich das in Art. 15 DSGVO geregelte Recht auf die Abgabe einer Bestätigung. Sind keine personenbezogenen Daten im Unternehmen gespeichert oder wurden Daten anonymisiert, muss dem Anfrager eine Negativbestätigung zugeleitet werden.

Art. 15 Abs. 1 Satz 1 DSGVO:

„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.“

Auskunftsanspruch

Liegen solche Daten vor (z.B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, Kaufhistorie, medizinische Befunde), müssen sie in die Auskunft als Kopie der Daten aufgenommen werden. Das gilt auch für gesperrte Daten und Daten, die in der Vergangenheit vor Geltung der DSGVO erfasst wurden. Bei zu großem Umfang kann der Auskunftspflichtige eine Präzisierung verlangen. Banken und Versicherungen dürften hier mit ihren großen Datenschätzen betroffen sein. Rechte und Freiheiten Dritter dürfen nicht verletzt werden.

Umfang der Auskunft

Der Anspruchsinhaber ist im Zusammenhang mit der Auskunft erneut über bestimmte Rechte zu belehren. Zu den Daten sind daher zusätzlich jeweils in die Auskunft aufzunehmen:

  • Verarbeitungszwecke (auf plausible Nachfrage auch zu den Rechtsgrundlagen der Verarbeitung),
  • Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.),
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden (streitig, ob Kategorien ausreichen, wenn man Namen und Behörden nennen kann),
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer (einschließlich Beginn der Speicherung),
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung (generelle Hinweispflicht, unabhängig vom Einzelanspruch),
  • Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DSGVO,
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde (für Unternehmen zuständige Aufsichtsbehörde ist zu nennen),
  • verfügbare Informationen über Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Information über Drittlandstransfer

Wurden Daten an Drittländer außerhalb der EU bzw. außerhalb des EWR (Island, Liechtenstein und Norwegen) übermittelt oder soll dies künftig geschehen, dann muss der Betroffene informiert werden, wie seine Daten geschützt werden (z.B. durch Angabe der Garantien nach Art. 46 DSGVO, also z.B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, sog. Binding Corporate Rules). Hier sollte man also z.B. bei dem Einsatz von Google-Analytics Informationen vorbereiten. Dazu kann die Sequenz dienen, die Sie ohnehin in den Datenschutzhinweisen vorhalten.

Auskunftserteilung elektronisch

Die Auskunft erfolgt elektronisch in einem gängigen Format (z.B. PDF; idealerweise per Download-Möglichkeit), wenn der Antrag elektronisch, also z.B. per E-Mail, gestellt wurde. Auf Wunsch kann die Auskunft auch mündlich erteilt werden oder sonst schriftlich. In jedem Fall sollte man möglichst sicherstellen, dass man die Daten der richtigen Person zugänglich macht (Kontrollfragen, Identifizierung, Double-Opt-In) und dass dabei sichere Wege (z.B. verschlüsselter Zugang zu einem Downloadbereich) genutzt werden.

Zeit und geeignete Maßnahmen

Sie müssen „unverzüglich“, also ohne schuldhaftes Zögern kostenlos Auskunft erteilen. Das dürfte im Regelfall innerhalb einer Woche möglich sein, wenn die Prozesse im Unternehmen eingerichtet sind.

Das Gesetzt schreibt vor, dass Sie vorbereitet sein müssen. Art. 12 Abs. 1 DSGVO verlangt von Ihnen „geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“.

Längstens dürfen Sie sich in Ausnahmefällen einen Monat Zeit lassen. Dauert es länger, müssen Sie den Anspruchsinhaber über die Gründe informieren.

Kosten

Kosten dürfen nur für weitere Kopien verlangt werden. Mit der Kostenschraube können Sie auch versuchen, bei offenkundig unbegründeten exzessiven Anträgen (häufige Wiederholungen) ein angemessenes Entgelt für die Auskunft zu verlangen (Art. 12 Abs. 5 Satz 2, ErwGr. 63). In solchen Missbrauchsfällen kann man sich auch weigern. Ausnahmen vom Auskunftsanspruch wurden z.B. in § 34 BDSG neu zu Archivdaten geregelt, die aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die in Datensicherungen enthalten sind. Hierauf erstreckt sich der Anspruch also nicht.

Praxistipp

Bußgelder drohen, wenn das Unternehmen keine oder eine unvollständige oder verspätete Auskunft erteilt. Die Behörden wollen Faktor 60 im Vergleich zum alten Bußgeldrahmen anwenden. Kostete also z.B. eine versäumte Auskunft bislang 1.000 Euro, sind es künftig 60.000 Euro. Betroffene können außerdem auf Auskunft klagen.

Insgesamt ist zu erwarten, dass sich die Auskunftsersuchen ausweiten werden und nicht selten dürften die erheblichen Bußgelddrohungen dazu genutzt werden, sachfremde Anliegen durchzusetzen. Bereiten Sie Ihr Unternehmen vor. Schaffen Sie ein Muster und klare interne Anweisungen, wie ein Auskunftsersuchen identifiziert werden kann, wem es zu melden ist und wie darauf geantwortet wird. Definieren Sie die Daten, die verfügbar zu machen sind und auch Form und Verfahren.