Eines der zentralen Betroffenenrechte ist das Recht auf Auskunft (Art. 15 DSGVO*). Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffende personenbezogene Daten verarbeitet werden.
Anspruch
Das Auskunftsrecht gilt nicht nur für Kunden und Verbraucher, sondern auch für Beschäftigte. In arbeitsrechtlichen Kündigungsschutzprozessen werden diese immer häufiger geltend gemacht. Ob dieses Auskunftsersuchen auf ein echtes Interesse des Beschäftigten beruht, oder es eher um prozesstaktische Gründe geht, ändert nichts an dem Recht auf Auskunft selbst. Ungeachtet der Beweggründe seitens Beschäftigten – verlangt eine betroffene Person Auskunft über die Verarbeitung ihrer personenbezogenen Daten, hat der Verantwortliche (z.B. Arbeitgeber) diesem Ersuchen unverzüglich, spätestens jedoch binnen eines Monats (Art. 12 Abs. 3 DSGVO), nachzukommen. Um so wichtiger ist es, einen „sauberen“ und nachweisbaren Prozess im Unternehmen implementiert zu haben.
Wer ein Beschäftigter i.S.d. Datenschutzrecht ist, regelt § 26 Abs. 8 BDSG. Neben Arbeitnehmer:innen, ehemalige Arbeitnehmer:innen (Ausgeschiedene), einschließlich Leiharbeitnehmer:innnen (im Verhältnis zum Entleiher), zählen auch Auszubildende sowie Freiwillige im Rahmen des Jugendfreiwilligendienstegesetzes, aber auch Bewerber:innen, zu den Beschäftigten im Sinne des BDSG.
Anforderungen
Die Beauskunftung (wie auch die Übermittlung von Kopien) ist grundsätzlich kostenlos. Nur in Ausnahmefällen, wie z.B. bei häufiger Wiederholung des Auskunftsersuchens, darf eine angemessene Gebühr verlangt werden.
Sind die von der betroffenen Person mit der Anfrage mitgeteilten Informationen nicht zu deren Identifizierung ausreichend, muss der Verantwortliche die betroffene Person darauf hinweisen und ihr Gelegenheit zur Übermittlung zusätzlicher Informationen für eine eindeutige Identifizierbarkeit geben.
Normalerweise wird dem Betroffenen die Auskunft in schriftlicher Form erteilt.
Art. 15 Abs. 3 DSGVO sieht allerdings die Möglichkeit eines elektronischen Antrags vor. Bei Auskünften im elektronischen Format (z.B. E-Mail) ist allerdings zu gewährleisten, dass der unbefugte Zugriff durch einen Dritten (Unbefugten) verhindert, zumindest erschwert, wird.
Ein Auskunftsersuchen kann auf Verlangen der betroffenen Person auch mündlich erfolgen. Auch bei Anfragen von Beschäftigten ist dies mit Blick auf die Haftungsrisiken und der Darlegungs- und Beweislast für die Erfüllung durch den Verantwortlichen zu vermeiden und es sollte immer eine Beantwortung in Textform erfolgen.
Die Auskunft hat in präziserer, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erfolgen.
Umfang des Auskunftsrechts
Der Umfang des Auskunftsrechts ist in Art. 15 Abs. 1 DSGVO geregelt. Demzufolge sind bei der Datenauskunft vom Verantwortlichen dem Anfragenden unter anderem nachstehende Informationen mitzuteilen:
- Verarbeitungszwecke,
- Kategorien personenbezogener Daten, die
- verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.),
- Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
- geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
- Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung,
- Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
- Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde,
- Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.
Der Verantwortliche kann die Beauskunftung beschränken, wenn er hierdurch ein Geschäftsgeheimnis preisgibt, ein gesetzliches Verbot besteht oder gewerbliche Schutzrechte betroffen wären.
Fazit
Unabhängig von internen Organisationsabläufen, zwingen die Vorgaben aus
Art. 12 DSGVO zu einer dokumentierten, strukturierten, (fristen-)kontrollierten und damit nachweisbaren Vorgehensweise bei der Behandlung von Betroffenenanfragen, unabhängig der auskunftsersuchenden Person, also auch bei Beschäftigten. In diesem Sinne sollten verbindliche Vorgaben, d.h. Verfahren und Verantwortlichkeiten, wie auch Vorlagen und Hilfsmittel sichergestellt werden.
Dies gilt auch im Hinblick auf die erheblichen Sanktionen, die im Fall einer unbegründeten bzw. unberechtigten Auskunftsverweigerung durch den Verantwortlichen und/oder unzulänglichen Antwort verhängt werden können. Es ist im Zweifelsfall daher anzuraten, dem Auskunftsanspruch des Betroffenen eher großzügig nachzukommen. Dies gilt auch vor dem Hintergrund, dass vor allem bei Beschäftigten, die Beweggründe für ein Auskunftsersuchen mannigfaltig sein können.
Festzuhalten ist, dass Auskunftsersuchen ernst zu nehmen sind: Nach Art. 83 Abs. 5 DSGVO sind Bußgelder bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes des Vorjahres möglich.
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
* § 15 DSGVO https://dejure.org/gesetze/DSGVO/15.html
Autorin:
Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Sie ist Expertin für Datenschutz, Sachverständige für EDV und Datenschutz sowie zert. Datenschutz-Auditorin, Qualitätsmanagementbeauftragte und Compliance Officer. Als externe Datenschutzbeauftragte und Compliance Officer berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Im Datenschutz ist sie seit über 20 Jahren tätig. Sie ist Vorstandsmitglied des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.