Regina Mühlich - AdOrga Solutions GmbH Datenschutz

Eines der zen­tra­len Be­trof­fe­nen­rech­te ist das Recht auf Aus­kunft (Art. 15 DSGVO*). Die be­trof­fe­ne Person hat das Recht, vom Ver­ant­wort­li­chen eine Be­stä­ti­gung darüber zu ver­lan­gen, ob und welche sie be­tref­fen­de per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet werden.

An­spruch

Das Aus­kunfts­recht gilt nicht nur für Kunden und Ver­brau­cher, sondern auch für Be­schäf­tig­te. In ar­beits­recht­li­chen Kün­di­gungs­schutz­pro­zes­sen werden diese immer häu­fi­ger geltend gemacht. Ob dieses Aus­kunfts­er­su­chen auf ein echtes In­ter­es­se des Be­schäf­tig­ten beruht, oder es eher um pro­zess­tak­ti­sche Gründe geht, ändert nichts an dem Recht auf Aus­kunft selbst. Un­ge­ach­tet der Be­weg­grün­de seitens Be­schäf­tig­ten – ver­langt eine be­trof­fe­ne Person Aus­kunft über die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten, hat der Ver­ant­wort­li­che (z.B. Ar­beit­ge­ber) diesem Er­su­chen un­ver­züg­lich, spä­tes­tens jedoch binnen eines Monats (Art. 12 Abs. 3 DSGVO), nach­zu­kom­men. Um so wich­ti­ger ist es, einen „sau­be­ren“ und nach­weis­ba­ren Prozess im Un­ter­neh­men im­ple­men­tiert zu haben.

Wer ein Be­schäf­tig­ter i.S.d. Da­ten­schutz­recht ist, regelt § 26 Abs. 8 BDSG. Neben Arbeitnehmer:innen, ehe­ma­li­ge Arbeitnehmer:innen (Aus­ge­schie­de­ne), ein­schließ­lich Leiharbeitnehmer:innnen (im Ver­hält­nis zum Ent­lei­her), zählen auch Aus­zu­bil­den­de sowie Frei­wil­li­ge im Rahmen des Ju­gend­frei­wil­li­gen­dien­ste­ge­set­zes, aber auch Bewerber:innen, zu den Be­schäf­tig­ten im Sinne des BDSG.

An­for­de­run­gen

Die Be­aus­kunf­tung (wie auch die Über­mitt­lung von Kopien) ist grund­sätz­lich kos­ten­los. Nur in Aus­nah­me­fäl­len, wie z.B. bei häu­fi­ger Wie­der­ho­lung des Aus­kunfts­er­su­chens, darf eine an­ge­mes­se­ne Gebühr ver­langt werden.

Sind die von der be­trof­fe­nen Person mit der Anfrage mit­ge­teil­ten In­for­ma­tio­nen nicht zu deren Iden­ti­fi­zie­rung aus­rei­chend, muss der Ver­ant­wort­li­che die be­trof­fe­ne Person darauf hin­wei­sen und ihr Ge­le­gen­heit zur Über­mitt­lung zu­sätz­li­cher In­for­ma­tio­nen für eine ein­deu­ti­ge Iden­ti­fi­zier­bar­keit geben.

Nor­ma­ler­wei­se wird dem Be­trof­fe­nen die Aus­kunft in schrift­li­cher Form erteilt.
Art. 15 Abs. 3 DSGVO sieht al­ler­dings die Mög­lich­keit eines elek­tro­ni­schen Antrags vor. Bei Aus­künf­ten im elek­tro­ni­schen Format (z.B. E-Mail) ist al­ler­dings zu ge­währ­leis­ten, dass der un­be­fug­te Zugriff durch einen Dritten (Un­be­fug­ten) ver­hin­dert, zu­min­dest er­schwert, wird.

Ein Aus­kunfts­er­su­chen kann auf Ver­lan­gen der be­trof­fe­nen Person auch münd­lich er­fol­gen. Auch bei An­fra­gen von Be­schäf­tig­ten ist dies mit Blick auf die Haf­tungs­ri­si­ken und der Dar­­le­­gungs- und Be­weis­last für die Er­fül­lung durch den Ver­ant­wort­li­chen zu ver­mei­den und es sollte immer eine Be­ant­wor­tung in Text­form erfolgen.

Die Aus­kunft hat in prä­zi­se­rer, trans­pa­ren­ter, ver­ständ­li­cher und leicht zu­gäng­li­cher Form in einer klaren und ein­fa­chen Sprache zu erfolgen.

Umfang des Auskunftsrechts

Der Umfang des Aus­kunfts­rechts ist in Art. 15 Abs. 1 DSGVO ge­re­gelt. Dem­zu­fol­ge sind bei der Da­ten­aus­kunft vom Ver­ant­wort­li­chen dem An­fra­gen­den unter anderem nach­ste­hen­de In­for­ma­tio­nen mitzuteilen:

  • Ver­ar­bei­tungs­zwe­cke,
  • Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten, die
  • ver­ar­bei­tet werden (mit Grup­pen­be­zeich­nun­gen wie Ge­sund­heits­da­ten, Bonitätsdaten usw.),
  • Empfänger bzw. Ka­te­go­rien von Empfängern, die diese Daten bereits er­hal­ten haben oder künftig noch er­hal­ten werden,
  • ge­plan­te Spei­cher­dau­er falls möglich, an­dern­falls die Kri­te­ri­en für die Fest­le­gung der Speicherdauer,
  • Rechte auf Be­rich­ti­gung, Löschung oder Einschränkung der Verarbeitung,
  • Wi­der­spruchs­recht gegen diese Ver­ar­bei­tung nach Art. 21 DS-GVO,
  • Be­schwer­de­recht für die be­trof­fe­ne Person bei der Aufsichtsbehörde,
  • Her­kunft der Daten, soweit diese nicht bei der be­trof­fe­nen Person selbst erhoben wurden, und
  • das Be­stehen einer au­to­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Pro­fil­ing mit aussagekräftigen In­for­ma­tio­nen über die dabei in­vol­vier­te Logik sowie die Trag­wei­te und die an­ge­streb­ten Aus­wir­kun­gen solcher Verfahren.

Der Ver­ant­wort­li­che kann die Be­aus­kunf­tung be­schrän­ken, wenn er hier­durch ein Ge­schäfts­ge­heim­nis preis­gibt, ein ge­setz­li­ches Verbot besteht oder ge­werb­li­che Schutz­rech­te be­trof­fen wären.

Fazit

Un­ab­hän­gig von in­ter­nen Or­ga­ni­sa­ti­ons­ab­läu­fen, zwingen die Vor­ga­ben aus
Art. 12 DSGVO zu einer do­ku­men­tier­ten, struk­tu­rier­ten, (fristen-)kontrollierten und damit nach­weis­ba­ren Vor­ge­hens­wei­se bei der Be­hand­lung von Be­trof­fe­nen­an­fra­gen, un­ab­hän­gig der aus­kunfts­er­su­chen­den Person, also auch bei Be­schäf­tig­ten. In diesem Sinne sollten ver­bind­li­che Vor­ga­ben, d.h. Ver­fah­ren und Ver­ant­wort­lich­kei­ten, wie auch Vor­la­gen und Hilfs­mit­tel si­cher­ge­stellt werden.

Dies gilt auch im Hin­blick auf die er­heb­li­chen Sank­tio­nen, die im Fall einer un­be­grün­de­ten bzw. un­be­rech­tig­ten Aus­kunfts­ver­wei­ge­rung durch den Ver­ant­wort­li­chen und/oder un­zu­läng­li­chen Antwort ver­hängt werden können. Es ist im Zwei­fels­fall daher an­zu­ra­ten, dem Aus­kunfts­an­spruch des Be­trof­fe­nen eher groß­zü­gig nach­zu­kom­men. Dies gilt auch vor dem Hin­ter­grund, dass vor allem bei Be­schäf­tig­ten, die Be­weg­grün­de für ein Aus­kunfts­er­su­chen man­nig­fal­tig sein können.

Fest­zu­hal­ten ist, dass Aus­kunfts­er­su­chen ernst zu nehmen sind: Nach Art. 83 Abs. 5 DSGVO sind Buß­gel­der bis zu 20 Mio. Euro oder 4 Prozent des welt­wei­ten Jah­res­um­sat­zes des Vor­jah­res möglich.

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

* § 15 DSGVO https://dejure.org/gesetze/DSGVO/15.html 

Autorin:

Regina Mühlich ist Ge­schäfts­füh­re­rin der Management­beratung AdOrga Solutions GmbH. Sie ist Ex­per­tin für Daten­schutz, Sach­ver­stän­di­ge für EDV und Daten­schutz sowie zert. Da­ten­­­schutz-Au­­di­­to­rin, Qua­li­täts­ma­nage­ment­be­auf­trag­te und Com­pli­ance Officer. Als externe Datenschutz­beauftragte und Com­pli­ance Officer berät und un­ter­stützt sie na­tio­na­le und in­ter­na­tio­na­le Un­ter­neh­men aus un­ter­schied­lichs­ten Bran­chen. Im Daten­schutz ist sie seit über 20 Jahren tätig. Sie ist Vor­stands­mit­glied des Be­rufs­ver­bands der Da­ten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e. V.

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!