Das Manage­ment von Aus­kunfts­er­su­chen nach der DSGVO

Ein zen­tra­les Ziel der DSGVO ist es, Betrof­fe­nen die Kon­trol­le über ihre per­so­nen­be­zo­ge­nen Daten zu geben. Unter­neh­men müs­sen daher in der Pra­xis eine Viel­zahl von Betrof­fe­nen­rech­ten beach­ten und umset­zen. Wel­che Rech­te Betrof­fe­ne gegen­über Unter­neh­men gel­tend machen kön­nen, regelt das drit­te Kapi­tel der DSGVO. Dar­in ent­hal­ten ist auch das aktu­ell beson­ders rele­van­te Recht auf Aus­kunft (Art. 15 DSGVO). Unter­neh­men benö­ti­gen ein Manage­ment von Betrof­fe­nen­rech­ten im All­ge­mei­nen, aber auch für die Beant­wor­tung von Aus­kunfts­er­su­chen im Spe­zi­el­len. Sind die dazu­ge­hö­ri­gen Pro­zes­se im Unter­neh­men nicht eta­bliert und kommt es in der Fol­ge zu Ver­stö­ßen gegen die DSGVO, dro­hen neben emp­find­li­chen Buß­gel­dern ins­be­son­de­re Kla­gen auf imma­te­ri­el­len Schadensersatz.

Das Recht auf Auskunft

Durch die Aus­kunft sol­len Betrof­fe­ne in die Lage ver­setzt wer­den, Kennt­nis von der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu erhal­ten und infol­ge­des­sen die Ver­ar­bei­tung auf ihre Recht­mä­ßig­keit hin über­prü­fen zu kön­nen. Auf Anfra­ge eines Betrof­fe­nen muss ein Unter­neh­men Aus­kunft über die kon­kret ver­ar­bei­te­ten Daten und die vor­ge­ge­be­nen Infor­ma­tio­nen ertei­len. In der Pra­xis kann der Umfang der Aus­kunft sehr kom­plex und her­aus­for­dernd sein. Dies gilt ins­be­son­de­re, da die Rechts­la­ge in den rele­van­ten Ein­zel­hei­ten unge­klärt und die bis­lang ergan­ge­ne Recht­spre­chung hier­zu bis­lang sehr unein­heit­lich ist. Zur Ori­en­tie­rung hat das Euro­pean Data Pro­tec­tion Board (EDPB) Leit­li­ni­en zum Recht auf Aus­kunft ver­öf­fent­licht (PDF) und sich dar­in auch mit Fra­gen zur prak­ti­schen Umset­zung beschäftigt.

Was droht bei Verstößen?

Ver­sto­ßen Unter­neh­men gegen die DSGVO, weil sie Aus­kunfts­er­su­chen von Betrof­fe­nen nicht im gesetz­lich vor­ge­schrie­be­nen Rah­men beant­wor­ten, dro­hen unter ande­rem Buß­gel­der durch die Daten­schutz­auf­sichts­be­hör­den. So hat bei­spiels­wei­se die nie­der­län­di­sche Daten­schutz­auf­sichts­be­hör­de unlängst gegen ein Medi­en­un­ter­neh­men ein Buß­geld von 525.000 Euro ver­hängt, weil das Unter­neh­men die Beant­wor­tung von Aus­kunfts­er­su­chen von der Kopie eines Iden­ti­täts­nach­wei­ses abhän­gig gemacht hat­te.

Ein wei­te­res Risi­ko, das mit der nicht ord­nungs­ge­mä­ßen Beant­wor­tung von Aus­kunfts­er­su­chen ein­her­geht, sind Schmer­zens­geld­an­sprü­che von Betrof­fe­nen. Die­se erfreu­en sich ins­be­son­de­re im Zusam­men­hang mit arbeits­ge­richt­li­chen Strei­tig­kei­ten der­zeit gro­ßer Beliebt­heit. Ein Bei­spiel hier­für ist ein Urteil des Lan­des­ar­beits­ge­richts Nie­der­sach­sen vom 22.10.2021 (Az. 16 Sa 761/20), mit dem das Gericht ent­schie­den hat, dass eine ver­spä­te­te und unvoll­stän­di­ge Aus­kunft einen Anspruch auf ein Schmer­zens­geld in Höhe von 1.250 Euro begrün­det. Das Lan­des­ar­beits­ge­richt Berlin-Brandenburg hat einem Beschäf­tig­ten mit Urteil vom 18.11.2021 (Az. 10 Sa 443/21) sogar ein Schmer­zens­geld in Höhe von 2.000 Euro zuge­spro­chen, da bei dem Betrof­fe­nen ein Kon­troll­ver­lust über sei­ne per­so­nen­be­zo­ge­nen Daten ein­ge­tre­ten sei. Die zuge­spro­che­nen Schmer­zens­gel­der mögen im Ein­zel­fall in ihrer Höhe nicht sehr gra­vie­rend sein, prak­ti­sche Beob­ach­tun­gen sowie der ver­stärk­te öffent­li­che Fokus legen jedoch nahe, dass zukünf­tig die Anzahl an ent­spre­chen­den Kla­gen – und damit auch die Sum­me der Schmer­zens­gel­der – erheb­lich stei­gen wird.

Her­aus­for­de­run­gen bei der Beant­wor­tung von Auskunftsersuchen

Prak­ti­sche Her­aus­for­de­run­gen des Art. 15 DSGVO bestehen unter ande­rem in fol­gen­den Bereichen:

  • Iden­ti­fi­ka­ti­on des Betrof­fe­nen: Die Iden­ti­fi­ka­ti­on darf kein unzu­läs­si­ges Hin­der­nis dar­stel­len, muss jedoch zugleich sicher­stel­len, dass per­so­nen­be­zo­ge­ne Daten nicht in die fal­schen Hän­de gelan­gen. Das Buß­geld gegen den Mobil­funk­an­bie­ter 1&1 i.H.v. zuletzt 900.000 EUR wegen unzu­läs­si­ger Her­aus­ga­be der Tele­fon­num­mer des Betrof­fe­nen an des­sen Ex-Frau ist ein ein­drück­li­ches Bei­spiel für die Her­aus­for­de­run­gen bei der aus­rei­chen­den Iden­ti­fi­zie­rung von Betroffenen.
  • Fris­ten: Aus­kunfts­er­su­chen müs­sen bin­nen eines Monats beant­wor­tet wer­den. Nur in Aus­nah­me­fäl­len kann eine Ver­län­ge­rung der Frist um wei­te­re zwei Mona­te in Betracht kommen.
  • Umfang der Aus­kunft: Die Aus­kunft umfasst in ers­ter Linie die Bestä­ti­gung der Ver­ar­bei­tung und dar­über hin­aus die Aus­kunft über die Daten. Die betrof­fe­ne Per­son hat grund­sätz­lich ein umfas­sen­des Auskunftsrecht.
  • Kön­nen Aus­kunfts­er­su­chen wegen eines hohen Bear­bei­tungs­auf­wands oder der Begrün­dung, dass es sich um exzes­si­ve Aus­kunfts­er­su­chen han­delt, abge­lehnt wer­den? Das LAG Sachen begrenzt Aus­kunfts­an­sprü­che, soweit sie nicht aus­rei­chend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO) oder prä­zi­se sind oder es sich um funk­ti­ons­wid­ri­ge oder exzes­si­ve Aus­kunfts­er­su­chen handelt.

Das Manage­ment von Aus­kunfts­er­su­chen im Unternehmen

Unse­rer Erfah­rung nach sind für eine effek­ti­ve und nach­hal­ti­ge Umset­zung des Rechts auf Aus­kunft und der wei­te­ren Betrof­fe­nen­rech­te nach der DSGVO geeig­ne­te Daten­schutz­pro­zes­se uner­läss­lich. Wegen der Kom­ple­xi­tät der The­ma­tik begin­nen Unter­neh­men idea­ler­wei­se prä­ven­tiv mit der Umset­zung der Betrof­fe­nen­rech­te auf Pro­zess­ebe­ne und war­ten nicht, bis sie ers­te Ersu­chen von Betrof­fe­nen errei­chen. Durch früh­zei­ti­ges Han­deln kann ins­be­son­de­re gewähr­leis­tet wer­den, dass die not­wen­di­gen tech­ni­schen Vor­aus­set­zun­gen für die Umset­zung der Betrof­fe­nen­rech­te, etwa die Mög­lich­keit, per­so­nen­be­zo­ge­ne Daten aus einem Sys­tem zu expor­tie­ren oder zu löschen, vor­han­den sind. Kurz­fris­tig ist dies oft nicht mög­lich und kann bei­spiels­wei­se zu einer unvoll­stän­di­gen Aus­kunft und einem damit ein­her­ge­hen­den Ver­stoß gegen die DSGVO führen.

Haus­nach­richt

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence über aktu­el­le Ent­wick­lun­gen im Daten­schutz­recht, Updatever­pflich­tun­gen für Her­stel­ler und Ver­käu­fer von digi­ta­len Pro­duk­ten, neue regu­la­to­ri­sche Vor­ga­ben für Cyber­si­cher­heit sowie zahl­rei­che wei­te­re brand­ak­tu­el­le The­men rund um digi­ta­le Ser­vices und Pro­duk­te zu diskutieren.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.