Die DSGVO ging durch die Medien und hat so manchen Unternehmer nachhaltig beeindruckt. Auch nach dem Ablauf der Übergangsfrist am 25.05.2018 haben viele Unternehmer die Richtlinie nicht umgesetzt. Sie haben sich in der Vergangenheit nicht ausreichend mit der Materie auseinandergesetzt und haben viel Nachholbedarf. Dies betrifft auch die Aufbereitung der gespeicherten Daten über Ihre Kunden und Nutzer, die mit Einführung der DSGVO vermehrt nach Auskunft über Ihre Daten verlangen. Dabei stellt sich vielen Unternehmen die Frage, ob, worüber und wie schnell sie Auskunft erteilen müssen.

Der Auskunftsanspruch

Unternehmer müssen wissen, dass jede Person einen Anspruch darauf hat, zu wissen, welche Daten wann über sie gespeichert wurden. Diese Person wird in der DSGVO der Betroffene genannt, der Speichernde ist der Verantwortliche. Dieser ist dazu verpflichtet, ein Verzeichnis zu erstellen, in dem die gespeicherten Daten erfasst sind. Die dann erteilten Auskünfte sind oft aber lückenhaft, da die Unternehmen selbst oft nicht wissen, wo sie welche Informationen über Kunden und Nutzer gespeichert haben.

Dabei sind sich die DSGVO und des Bundesdatenschutzgesetzes (BDSG) sehr ähnlich. Schon in § 34 des BDSG war eindeutig und recht ausführlich geregelt, wer welche Auskünfte wann und worüber erteilen muss. Im Vergleich zum neuen Art. 15 der DSGVO lassen sich viele Parallelen feststellen. Bis auf die Fristen und Bußgeldhöhen unterscheiden sich das BDSG und die DSGVO kaum.

Wie weit geht der Auskunftsanspruch?

Zunächst ist festzuhalten, dass der Verantwortliche Auskunft über alle personenbezogenen Daten, die über den Betroffenen gespeichert wurden, Auskunft zu erteilen hat.

Das geht allerdings nicht so weit, dass der Betroffene eine Kopie des Originaldokuments verlangen kann. Art. 15 III DSGVO beschreibt zwar, dass „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ zu stellen ist. Der EuGH entschied jedoch, dass der Betroffene keinen Anspruch auf eine originalgetreue Kopie der Daten aus dem System habe, sondern nur auf eine verständliche und vollständige Übersicht der gespeicherten Daten (Urt. v. 17.07.14 – C-141/12 u. C-372-12). 

Die Auskunft habe zudem ohne unzumutbare Verzögerungen oder Kosten zu erfolgen. Außerdem habe das Unternehmen Auskunft darüber zu erteilen, woher es die Daten hat. So soll es jedem möglich gemacht werden, zu überprüfen, ob die Daten richtig sind, sie der Richtlinie gemäß verarbeitet wurden und ob daraus folgend weitere, der Person zustehende, Rechte geltend gemacht werden sollen. Diese Überlegungen wurden durch Art. 12 in die DSGVO übernommen. 

Wie sollten Unternehmer auf Auskunftsersuchen reagieren?

Wenn eine Person Auskunft über seine Daten haben möchte, wird sie beim jeweiligen Unternehmen einen entsprechenden Antrag stellen. Gemäß Art. 15 muss er deutlich machen, ob er nur wissen möchte, ob personenbezogene Daten von ihm gespeichert wurden oder auch, um welche Informationen es sich konkret handelt.

Diese Anträge müssen Unternehmer gemäß Art. 12 DSGVO innerhalb von einem Monat beantworten, es sei denn, das Ersuchen ist besonders komplex oder es liegen zu dem Zeitpunkt sehr viele Anträge vor. Dann darf die Frist um zwei Monate verlängert werden. 

Unstatthaft sind gemäß Art. 12 V 2 DSGVO offenkundig unbegründete Anträge. Das liegt vor, wenn sich die Identität des Antragsstellers nicht klären lässt oder eine Dritte Person einen Auskunftsanspruch für einen anderen geltend macht. Gleiches gilt, wenn sich das Verlangen an einen anderen Verantwortlichen richtet als den, der die Daten gespeichert hat oder die Auskunft ins Blaue hinein verlangt wird, ohne dass es Anhaltspunkte für die Verarbeitung von Daten gibt. Die Konsequenz daraus ist, dass der Unternehmer sich verweigern kann, Auskunft zu erteilen oder ein angemessenes Entgelt für die Bearbeitung verlangen kann. Unternehmer sollten mit der Zurückweisung aufgrund Unbegründetheit jedoch sehr vorsichtig umgehen. Denn über die Unbegründetheit ist er in der Pflicht, den Nachweis zu erbringen.

Er ist außerdem berechtigt, weitere Informationen von der Person zu verlangen, die ihm deren Identifikation ermöglichen, da der Unternehmer sicherstellen muss, dass die Auskunft auch nur derjenigen Person erteilt wird, deren personenbezogenen Daten er verarbeitet hat. 

Art. 12 DSGVO schreibt zudem vor, dass solche Anträge nur in angemessenen Abständen beim Verantwortlichen gestellt werden dürfen. Wie oft das ist, steht dort allerdings nicht und kann auch gar nicht pauschal festgelegt werden, sondern liegt zwischen dem Punkt Transparenz der Datenspeicherung und einer reinen Schikane. Zu erwarten ist, dass diese Frage durch ein Gericht einmal konkretisiert wird. Wann dies erfolgen wird ist allerdings nicht abzusehen, so dass bis dahin eine gewisse Rechtsunsicherheit herrscht und Unternehmern in solchen Fällen eine ausreichende Dokumentation der Auskunftsverlagen und der Abwägungen zu empfehlen ist. Beachtet werden müssen bei der Frage die konkreten Umstände, wie zum Beispiel der bürokratische Aufwand der Auskunft und die Größe des Unternehmens.

Als Reaktion auf die erteilte Auskunft kann der Betroffene gemäß Art. 16 DSGVO die Berichtigung und gemäß Art. 17 DSGVO die Löschung seiner Daten verlangen.

Unternehmen sollten Auskunftsanforderungen von Kunden daher in jedem Fall ernst nehmen und ihren Pflichten nachkommen. In den vergangenen Monaten wurden wegen anders gelagerter Verstöße bereits Bußgelder durch die Datenschutzbehörden auferlegt. Ob eine solche Maßnahme auch erfolgen würde, wenn ein Auskunftsverlangen nicht beantwortet wird, ist möglich.