Auskunftspflichten nach DSGVO
Jede betroffene Person hat Auskunftsrechte, welche neben den Informationspflichten durch die Datenschutzgrundverordnung (DSGVO) festgelegt bzw. erweitert wurden. Die Umstellung der DSGVO musste bis spätestens 25.05.2018 erfolgen.
Die Erweiterungen der Auskunftspflichten erfolgt über eine Klausel in der Datenschutzerklärung. Fehlt diese Klausel ab dem genannten Stichtag, sind Online-Händler abmahngefährdet. Schütze dich vor Abmahnung und werde Mitglied beim Händlerbund.
Als Händlerbund-Mitglied erhältst du neben einer individuell erstellten Datenschutzerklärung oder einer Shop-Tiefenprüfung auch alle wichtigen Informationen, Tipps, Tricks und rechtlichen Beratung zur Datenschutzgrundverordnung und anderen E-Commerce-Themen.
Was sind Auskunftspflichten?
Auskunftspflichten sind gesetzliche Vorgaben, nach denen Unternehmen, Behörden oder andere Organisationen einer betroffenen Person auf Anfrage bestimmte Informationen bereitstellen müssen. Diese Informationen beziehen sich oft auf personenbezogene Daten, die von der Organisation über die Person gespeichert oder verarbeitet werden.
Das Ziel der Auskunftspflichten ist es, Transparenz über die Datenverarbeitung zu schaffen und den Betroffenen die Kontrolle über ihre Daten zu ermöglichen. Unternehmen und Organisationen sind verpflichtet, auf solche Anfragen innerhalb eines bestimmten Zeitrahmens, in der Regel einem Monat, zu reagieren.
Unterschiede zwischen Auskunfts- und Informationspflichten
Der Unterschied zwischen Auskunfts- und Informationspflichten liegt im Zeitpunkt und der Art, wie die betroffenen Personen über die Datenverarbeitung informiert werden:
- Anlass: Die betroffene Person muss aktiv eine Anfrage stellen, um Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erhalten.
- Bezug: Der Auskunftsanspruch betrifft konkrete personenbezogene Daten, die über die Person gespeichert oder verarbeitet werden.
- Rechtsgrundlage (DSGVO): Besonders in Artikel 15 Datenschutzgrundverordnung (DSGVO) verankert, gibt die Auskunftspflicht den Betroffenen das Recht, umfassende Informationen über die Verarbeitung ihrer Daten zu verlangen.
- Anlass: Hier ist das Unternehmen von sich aus verpflichtet, die betroffene Person proaktiv zu informieren – also ohne, dass die Person eine Anfrage stellt.
- Bezug: Informationspflichten bestehen in der Regel vor oder während der Erhebung der personenbezogenen Daten oder wenn sich die Umstände der Verarbeitung ändern.
- Rechtsgrundlage (DSGVO): Geregelt in den Artikeln 13 und 14 DSGVO. Bei der Erhebung von Daten muss der Verantwortliche die betroffene Person unter anderem über die Zwecke der Verarbeitung, die Empfänger und die Speicherdauer informieren.
Rechtsberatung Flatrate – dein direkter Draht zum Anwalt
Zum Angebot
Gesetzliche Grundlagen der Auskunftspflichten
Die DSGVO verpflichtet Unternehmen und Organisationen, Personen auf Anfrage umfassend Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erteilen. Gemäß Art. 15 DSGVO haben Betroffene beispielsweise das Recht, Informationen darüber zu erhalten, welche Daten von ihnen gespeichert werden, zu welchem Zweck diese verarbeitet werden und wer Zugriff darauf hat. Die Auskunft muss innerhalb eines Monats erteilt werden, und sie darf in der Regel keine Gebühren kosten. Diese Auskunftspflicht ist Teil des Grundrechts auf informationelle Selbstbestimmung, das durch die DSGVO gestärkt wird.
Gibt es Ausnahmen von der Pflicht zur Auskunftserteilung?
Ja, es gibt Ausnahmen von der Pflicht zur Auskunftserteilung gemäß der DSGVO. Die Auskunftspflicht kann eingeschränkt oder verweigert werden, wenn bestimmte Bedingungen erfüllt sind. Hier sind die wichtigsten Ausnahmen:
- Rechte Dritter: Wenn die Auskunftserteilung die Rechte und Freiheiten anderer Personen beeinträchtigen würde, wie z. B. deren Datenschutz oder Geschäftsgeheimnisse, kann die Auskunft verweigert oder eingeschränkt werden, wenn die Offenlegung dieser Informationen die Wettbewerbsfähigkeit des Unternehmens erheblich beeinträchtigen würde.
- Offensichtlich unbegründete oder exzessive Anfragen: Wenn eine Anfrage als offensichtlich unbegründet oder exzessiv angesehen wird, insbesondere bei häufig wiederholten Anfragen, kann der Verantwortliche entweder eine angemessene Gebühr erheben oder die Auskunftserteilung verweigern. Die Beweislast dafür liegt beim Verantwortlichen.
Trotz dieser Ausnahmen ist es wichtig, dass der Verantwortliche immer eine Begründung liefert, warum er die Auskunft verweigert oder einschränkt, und der betroffenen Person die Möglichkeit gibt, die Entscheidung bei einer Datenschutzbehörde anzufechten.
Was droht, wenn das Unternehmen dem Auskunftsersuchen nicht nachkommt?
Wenn ein Unternehmen einem Auskunftsersuchen nach der DSGVO nicht nachkommt, drohen erhebliche Konsequenzen. Betroffene Personen können eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einreichen, was zu Untersuchungen und rechtlichen Schritten führen kann.
Die Behörde hat die Befugnis, Geldbußen zu verhängen, die je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens betragen können. Zusätzlich kann das Unternehmen Schadensersatzansprüche von betroffenen Personen riskieren, wenn durch die Verweigerung der Auskunft ein Schaden entsteht. Auch eine Imageverlust ist denkbar, wenn die Öffentlichkeit von der falschen oder mangelnde Auskunft erfährt.
Bekannt aus
Was bedeutet Auskunftsrecht nach der DSGVO?
Die Datenschutzgrundverordnung soll die Daten von natürlichen Personen schützen. Sie nutzt dafür verschiedene Mittel, wie beispielsweise Gebote, Verbote und Informationspflichten. Ein wichtiges Standbein sind die in Artikel 15 DSGVO geregelten Auskunftsrechte. Sie berechtigen Dateninhaber dazu, herauszufinden, welche ihrer Daten gespeichert und verarbeitet werden. Diese Informationen ermöglichen es, bewusste Entscheidungen bezüglich der eigenen Daten zu treffen und Rechte aus der DSGVO geltend zu machen.
Wen treffen die Auskunftspflichten der DSGVO?
In einem kleinen Unternehmen mit wenigen oder keinen Angestellten treffen die DSGVO-Auskunftspflichten in erster Linie dich als Geschäftsinhaber oder Betreiber. Du bist persönlich dafür verantwortlich, Anfragen von Kunden oder Interessenten über ihre gespeicherten personenbezogenen Daten zu beantworten. Auch wenn du kein großes Team hast, musst du sicherstellen, dass du die notwendigen Prozesse hast, um Auskunftsersuchen fristgerecht und vollständig zu erfüllen. Selbst ohne ein Datenschutzteam solltest du zumindest grundlegendes Wissen über die DSGVO haben oder dir externe Unterstützung holen, um Bußgelder oder rechtliche Konsequenzen zu vermeiden.
Welche Auskunftsrechte hat der Nutzer nach DSGVO? Und welchen Umfang haben die Auskunftsrechte?
Jede natürliche Person hat das Recht zu erfahren, ob der Verantwortliche sie betreffende personenbezogene Daten verarbeitet. Wenn dies der Fall ist, kann der Betroffene weitere Auskünfte anfordern. Die Informationen, die der Verantwortliche auf Nachfrage herausgeben muss, zählt Artikel 15 DSGVO detailliert auf.
- Zweck der Datenverarbeitung
- Kategorien personenbezogener Daten, die verarbeitet werden (z. B. rassistische oder ethnische Herkunft, politische Meinungen)
- Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
- die Herkunft der Daten, wenn sie nicht bei der betroffenen Person erhoben werden
- Geplante Speicherdauer oder die Kriterien für die Festlegung dieser Dauer
- Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Datenverarbeitung
- Bestehen eines Widerspruchsrechts gegen die Datenverarbeitung
- Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling (d.h. über die involvierte Logik, die Tragweite und die Auswirkungen)
- Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien unterrichtet zu werden
DSGVO und Auskunftspflichten: Recht der betroffenen Person
Das Recht auf Auskunft gemäß der DSGVO gibt betroffenen Personen die Möglichkeit, von Unternehmen oder Organisationen zu erfahren, welche ihrer personenbezogenen Daten verarbeitet werden. Sie können Auskunft über die Art der Daten, den Verarbeitungszweck, die Empfänger und die Speicherdauer verlangen. Dieses Recht stärkt die Transparenz und ermöglicht es den Betroffenen, die Kontrolle über ihre Daten zu behalten.
Wie sollte ein Unternehmen auf ein Auskunftsersuchen reagieren?
Im Folgenden findest du einen beispielhaften Ablauf einer Auskunftserteilung mit allen wichtigen Schritten:
1. Anfrage im Posteingang
Das Auskunftsverlangen muss als solches erkannt und an die zuständige Person weitergeleitet werden.
2. Wichtige Daten
Mithilfe der Anfrage müssen alle notwendigen Daten festgestellt werden. Insbesondere solltest du herausfinden, welche eindeutig identifizierbare Person, die Auskünfte verlangt. Wichtig ist darüber hinaus, was die Person wissen möchte.
3. Prüfung
Du kannst prüfen, ob du zur Herausgabe der Daten nach der DSGVO verpflichtet bist bzw. ob möglicherweise ein gesetzliches Verbot (bspw. wenn die gewünschten Daten Dritte betreffen) gegen die Herausgabe der Daten spricht.
4. Daten sammeln
Die notwendigen Daten müssen gesammelt und zusammengeführt werden.
5. Aufbereitung der Daten
Die Daten müssen so aufbereitet werden, dass der Betroffene sie leicht finden und verstehen kann. Darüber hinaus muss eine mögliche Weigerung bestimmte Daten herauszugeben begründet werden.
6. Übermittlung der Informationen
Die Auskünfte müssen fristgerecht an den Betroffenen übermittelt werden. Die DSGVO verlangt eine unverzügliche Übermittlung der Daten. Spätestens innerhalb eines Monats müssen die Auskünfte erteilt worden sein. Sollte diese Zeit beispielsweise aufgrund einer besonders hohen Datenmenge nicht ausreichen, kann die Frist auf drei Monate verlängert werden. Dies musst du dem Betroffenen mitteilen und begründen. Hierbei kann u.a. ein interner oder externer Datenschutzbeauftragter helfen.
Weitere Leistungen des Händlerbunds
Wissenswertes zum Thema Auskunftspflichten nach DSGVO
Welche Informationen muss ein Händler auf Anfrage bereitstellen?
Hier sind die wesentlichen Inhalte, die ein Unternehmen oder eine Organisation offenlegen muss:
- Bestätigung, ob personenbezogene Daten verarbeitet werden: Die betroffene Person hat das Recht, zu erfahren, ob ihre personenbezogenen Daten verarbeitet werden oder nicht.
- Zwecke der Verarbeitung: Der Verantwortliche muss mitteilen, zu welchen Zwecken die personenbezogenen Daten verarbeitet werden.
- Kategorien personenbezogener Daten: Die betroffene Person muss darüber informiert werden, welche Kategorien von Daten über sie verarbeitet werden (z. B. Kontaktdaten, Kaufverhalten, Gesundheitsdaten).
- Empfänger oder Kategorien von Empfängern: Es muss offengelegt werden, an wen die personenbezogenen Daten weitergegeben wurden oder noch weitergegeben werden (z. B. Dienstleister, Partnerunternehmen, Behörden).
- Dauer der Speicherung bzw. Kriterien zur Festlegung dieser Dauer: Die betroffene Person muss darüber informiert werden, wie lange ihre Daten gespeichert werden oder nach welchen Kriterien die Speicherdauer bestimmt wird.
- Rechtsbelehrung: Es muss über die Rechte informiert werden, die der betroffenen Person zustehen, einschließlich des Rechts auf Berichtigung unrichtiger Daten, Löschung, Einschränkung der Verarbeitung oder Widerspruch gegen die Verarbeitung. Die betroffene Person hat das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, sofern technisch möglich. Die anfragende Person muss zudem informiert werden, dass sie das Recht hat, bei einer Datenschutzaufsichtsbehörde Beschwerde einzulegen, wenn sie der Meinung ist, dass ihre Daten nicht rechtmäßig verarbeitet werden.
- Quelle der Daten (falls die Daten nicht bei der betroffenen Person erhoben wurden): Wenn die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben wurden, muss die Quelle dieser Daten offengelegt werden.
Wie schnell muss auf ein Auskunftsersuchen reagiert werden?
Auf ein Auskunftsersuchen muss in der Regel innerhalb von einem Monat reagiert werden. Diese Frist beginnt ab dem Zeitpunkt, an dem das Unternehmen das Ersuchen erhält. In komplexen Fällen oder bei einer hohen Anzahl von Anfragen kann diese Frist um maximal zwei weitere Monate verlängert werden, wobei die betroffene Person innerhalb des ersten Monats über die Verzögerung und deren Gründe informiert werden muss
Gibt es Ausnahmen von der Pflicht zur Auskunftserteilung?
In aller Regel müssen auf Antrag alle genannten Auskünfte kostenlos erteilt werden. Eine Ausnahme besteht bei offensichtlich unbegründeten und wiederholten Anfragen. Falls die Herausgabe der Daten aus rechtlichen oder tatsächlichen Gründen unmöglich ist, bist du nicht dazu verpflichtet. Wichtig ist, dass die Beweislast für das Vorliegen dieser Voraussetzungen beim Verantwortlichen liegt. Außerdem solltest du nicht untätig bleiben, sondern deine Weigerung begründen und den Antragsteller über seine rechtlichen Möglichkeiten aufklären.
Gibt es Ausnahmen, die nur in Deutschland greifen?
Das Bundesdatenschutzgesetz enthält weitere Ausnahmen. Zum einen kann eine Auskunft verweigert werden, wenn der Aufwand unverhältnismäßig hoch wäre und die Daten nur aufgrund gesetzlicher Aufbewahrungsvorschriften gespeichert sind. Das Gleiche gilt für reine Archiv- und Protokollierungsdaten. Darüber hinaus besteht keine Auskunftspflicht, wenn ein Interesse an der Geheimhaltung besteht. Damit sind vor allem Daten gemeint, die aufgrund gesetzlicher Vorschriften nicht herausgegeben werden dürfen. Relevant ist diese Ausnahme vor allem für Berufsgeheimnisträger wie Ärzte und Anwälte.
Wie können sich Unternehmen auf Auskunftsersuchen vorbereiten?
Die meisten Probleme entstehen durch einen Mangel an Wissen über die Relevanz von Auskunftsersuchen auf Grundlage der DSGVO. Unternehmen sollten alle Anfragen bezüglich personenbezogener Daten ernst nehmen und ihre Mitarbeiter darüber informieren, wie bedeutsam es ist, diesen Anfragen nachzukommen. Insbesondere in großen Unternehmen ist es sinnvoll, bestimmte Mitarbeiter für diese Aufgabe auszuwählen und ein einheitliches Vorgehen festzulegen. Dazu gehört auch ein bewusster und transparenter Umgang mit personenbezogenen Daten, denn es ist natürlich nahezu unmöglich, schnell vollständige Informationen herauszugeben, wenn der zuständige Mitarbeiter nicht weiß, wo und wie die Daten beispielsweise im Rahmen von internen Vermerken verwendet werden.
Was gilt bzgl. der Gebühren und Fristen der Auskunftserteilung?
* Alle Preise netto zuzüglich gesetzliche Mehrwertsteuer. Die Mindestlaufzeit beträgt 12 Monate.
** Hilfe bei Abmahnungen ist eine freiwillige solidarische Unterstützungsleistung für Mitglieder des Händlerbund e.V. Die Bedingungen der Abmahnhilfe ergeben sich aus der Rechtsschutzordnung des Händlerbund e.V.