Das Auskunftsrecht nach Art. 15 DSGVO ist das zentralste Rechte der Betroffenen. Es verpflichtet Unternehmen, auf Anfrage umfassend Auskunft über die Verarbeitung personenbezogener Daten zu erteilen. Fehler im Verfahren können nicht nur zu Beschwerden bei der Datenschutz-Aufsichtsbehörde, sondern auch zu Bußgeldern führen. Eine strukturierte Vorgehensweise ist daher empfehlenswert und auch unerlässlich.
Eingang und Fristen
Jedes Auskunftsersuchen sollte sofort erfasst werden – inklusive Eingangsdatum, Kommunikationskanal und Absender. Entscheidend ist die Bearbeitungsfrist: Innerhalb eines Monats muss geantwortet werden (Art. 12 Abs. 3 DSGVO). Nur in komplexen Fällen ist eine Verlängerung um maximal zwei Monate möglich. Betroffene sind über eine solche Verlängerung rechtzeitig zu informieren.
Identitätsprüfung
Vor der Bearbeitung steht die Frage: Ist die Identität der anfragenden Person zweifelsfrei geklärt? Plausibilitätsprüfungen anhand vorhandener Kundendaten (z. B. E-Mail-Adresse, Vertragsnummer, letzter Kauf) sind sinnvoll. Bei Unsicherheiten dürfen Nachweise verlangt werden – allerdings mit Augenmaß. Erfolgt keine Reaktion, wird die Anfrage dokumentiert, aber nicht bearbeitet.
Prüfung des Antrags
Im nächsten Schritt ist zu prüfen, ob tatsächlich personenbezogene Daten der anfragenden Person betroffen sind. Sind auch Daten Dritter enthalten, müssen diese geschwärzt werden. Wiederholte oder exzessive Anfragen können abgelehnt oder mit einem Kostenbeitrag versehen werden (Art. 12 Abs. 5 DSGVO).
Inhalt der Auskunft
Die Auskunft umfasst mehr als nur die Herausgabe von Daten. Unternehmen müssen bestätigen, ob und welche personenbezogenen Daten verarbeitet werden, und folgende Informationen bereitstellen:
-
Zweck(e) der Verarbeitung
-
(Kategorien der) personenbezogenen Daten
-
Empfänger oder Empfängerkategorien
-
Speicherdauer oder deren Kriterien
-
Hinweis auf Betroffenenrechte
-
Herkunft der Daten (falls nicht direkt bei der Person erhoben)
-
Informationen zu automatisierten Entscheidungen und Profiling
-
Übermittlungen in Drittländer
Zusätzlich sollten die konkret verarbeiteten Daten in geeigneter Form zusammengestellt werden.
Form und Übermittlung
Die Antwort hat in klarer, verständlicher Sprache zu erfolgen. Die Übermittlung kann elektronisch (z. B. per verschlüsselter E-Mail) oder postalisch erfolgen. Wichtig ist, dass der Schutz der Daten auch bei der Übermittlung gewahrt bleibt.
Rolle des Datenschutzbeauftragten
Unternehmen sollten ihren Datenschutzbeauftragten frühzeitig einbinden. Er unterstützt bei der rechtssicheren Prüfung der Anfrage, bewertet Risiken (z. B. bei Drittlandsübermittlungen) und sorgt für eine konsistente Umsetzung im Einklang mit den gesetzlichen Vorgaben. Darüber hinaus fungiert der Datenschutzbeauftragte als Ansprechpartner für Rückfragen von Betroffenen oder der Aufsichtsbehörde und stellt sicher, dass die Rechenschaftspflicht erfüllt wird.
Dokumentation
Schließlich ist die lückenlose Dokumentation aller Schritte entscheidend: vom Eingang der Anfrage über die Identitätsprüfung und interne Recherchen bis zur Versendung der Antwort. Eine strukturierte Ablage im Datenschutz-Management-System oder Ticket-System stellt sicher, dass das Unternehmen seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfüllen kann.
Fazit:
Ein gut organisiertes Verfahren zum Umgang mit Auskunftsersuchen schützt nicht nur vor Fristversäumnissen und Datenschutzverstößen, sondern stärkt auch das Vertrauen von der Kunden, der Geschäftspartnern und der Beschäftigten. Unternehmen sollten klare Prozesse etablieren und ihre Beschäftigten regelmäßig schulen, um handlungssicher und gesetzeskonform zu sein.
Sie haben Fragen zur Umsetzung in Ihrem Unternehmen oder suchen praxisnahe Unterstützung im Datenschutz und Compliance-Management? Wir stehen Ihnen mit Erfahrung und Expertise zur Seite – sprechen Sie uns gerne an: consulting@AdOrgaSolutions.de.
Unsere Leistungen: https://www.adorgasolutions.de/datenschutz/leistungen/
