Bestandsaufnahme

Das Auskunftsrecht der betroffenen Person

Personen, deren Daten irgendwo gespeichert sind, kommen durch die DSGVO viele Rechte bei. Mit am wichtigsten ist dabei das „Auskunftsrecht der betroffenen Person“. Wer es ausüben will, muss einige Regeln kennen. Der interne Aufwand für Unternehmen kann auch bei korrekten Anfragen gewaltig sein. Die DSGVO nimmt darauf keine Rücksicht. Ob ein Antragsteller mit der Antwort inhaltlich etwas anfangen kann, ist wiederum sein Problem.

Auskunftsrecht als wohl wichtigstes Recht der DSGVO

Das Auskunftsrecht gilt als das entscheidendste Recht, das die DSGVO gewährt. Ein wesentlicher Grund dafür: Nur wer weiß, wo Daten über ihn gespeichert sind, kann weitere Rechte geltend machen, etwa das Recht auf die Berichtigung falscher Daten.

Zwei Stufen des Auskunftsrechts

Das Auskunftsrecht ist in der DSGVO in Artikel 15 verankert und gliedert sich genau genommen in zwei Stufen:

  • Stufe 1: Die betroffene Person kann Auskunft darüber verlangen, ob ein Unternehmen oder eine Behörde überhaupt über Daten verfügt, die sie betreffen. Die Antwort auf diese Frage ist im Ergebnis einfach: Ist das der Fall, lautet die Antwort „ja“ (Fall der Positivauskunft). Ist das nicht der Fall, lautet die Antwort „nein“ (Fall der Negativauskunft).
  • Stufe 2: Falls Daten vorhanden sind, besteht ein Anspruch der betroffenen Person, diese Daten zu erhalten. Außerdem muss sie eine ganze Reihe an Informationen zu den Daten bekommen. Dazu gehört etwa die Angabe des Zwecks, zu dem die Daten verarbeitet werden.

Sorge vor zu großem Aufwand

Das umfassende Auskunftsrecht der DSGVO ist sicher eine große Errungenschaft des Datenschutzrechts. Dennoch sind viele Unternehmen besorgt: Sie haben nichts zu verbergen, wie manche Kritiker glauben; vielmehr sehen sie sich mit einer riesigen Menge Aufwand konfrontiert, den solche Anfragen nach sich ziehen:

  • Zunächst einmal muss überall im Unternehmen gesucht werden, ob Daten über die anfragende Person vorhanden sind. Hinweise darauf, wo wahrscheinlich etwas zu finden ist, erleichtern die Suche. Beispiel: Die anfragende Person gibt an, dass sie mehrfach als Zeitarbeiter im Unternehmen gearbeitet hat. Ausdrücklich verpflichtet ist sie zu solchen Angaben allerdings nicht. Sinnvoll sind sie trotzdem. Sie können eine Antwort wesentlich beschleunigen.
  • Der Auskunftsanspruch betrifft auch Daten auf Papier. Dies kann den Aufwand bei der Suche vervielfachen. Die DSGVO berücksichtigt die Besonderheiten von Daten auf Papier letztlich nicht.
  • Der Auskunftsanspruch ist zeitlich unbegrenzt. Er erstreckt sich auf sämtliche vorhandene Daten – auch auf solche, die schon etliche Jahre lang nur im Archiv lagern.
  • Der Auskunftsanspruch besteht auch dann, wenn es um sehr große Datenmengen geht, zum Beispiel um mehrere tausend Seiten.

Anspruch auf kostenlose Kopie

Wurden alle Daten gefunden, hat die anfragende Person ein Recht auf eine kostenlose Kopie. Besonders, wenn es um umfangreiche Papierunterlagen geht, kann dies für das Unternehmen kostspielig werden. „Eine“ Kopie ist dabei wörtlich zu nehmen. Eine zweite Kopie ist kostenpflichtig.

Vernichtung von Unterlagen

Für viele Firmen war die DSGVO der Anlass, um entbehrliche Unterlagen zu vernichten. Solche Aktionen sind bei Mitarbeitern zwar nicht immer beliebt, aber wichtig. Wenn die gesetzlichen Aufbewahrungsfristen (beispielsweise aus dem Steuerrecht) abgelaufen sind, spricht einer Vernichtung von Unterlagen nichts dagegen.

Auskunftsanspruch bei Geschäftsgeheimnissen begrenzt

Der Auskunftsanspruch greift zwar weit, hat aber auch seine Grenzen. So ist etwa ausdrücklich festgelegt, dass „das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen“ darf. Dies wirkt abstrakt, hat aber sehr konkrete Auswirkungen. In den Erwägungsgründen der DSGVO ist als Beispiel genannt, dass der Auskunftsanspruch Geschäftsgeheimnisse nicht beeinträchtigen darf. Der Auskunftsanspruch darf sie also nicht aushebeln.

Kein Anspruch auf eine verständliche Auskunft

Wer Auskunft verlangt, erhält die Daten so, wie sie vorliegen. Die Informationen inhaltlich zu begreifen, kann dabei zu Problemen führen. Denn die DSGVO sieht keinen Anspruch auf eine Erläuterung des Inhalts von Daten. Dies wird vor allem im Bereich der Medizin wichtig. In der DSGVO heißt es ausdrücklich, dass sich der Auskunftsanspruch auch auf Daten in Patientenakten bezieht. Die Verständlichkeit der dort verwendeten Fachbegriffe und Kürzel ist somit in keiner Weise garantiert. Es ist Sache des Antragstellers, damit umzugehen.

E-Mails richtig adressieren und Ärger vermeiden

Es passiert Praktikanten ebenso wie erfahrenen Mitarbeitern: Mehrere Adressaten sollen gleichzeitig eine inhaltlich identische Mail erhalten. Der Versand geschieht dann aus Versehen so, dass jeder Empfänger auch alle anderen Empfänger sehen kann. Ein Fauxpas, der klar gegen den Datenschutz verstößt! Gut möglich, dass die Datenschutzaufsicht auch ein Bußgeld gegen den Übeltäter verhängt. Hier lesen Sie, wie sich solche E-Mail-Pannen leicht vermeiden lassen.

Weiterlesen »
ebook, app, banned

Die Cyberfibel: für mehr Sicherheit im Internet

Sind E-Mails und Chats wirklich sicher genug? Sorgt die App fürs Online-Banking tatsächlich für mehr Sicherheit? Solche und ähnliche Fragen stellen sich Anwender immer wieder, wenn Sie beruflich wie privat im Internet unterwegs sind. Wichtige Antworten kann nun die Cyberfibel liefern!

Weiterlesen »
Scroll to Top