Das Auskunftsrecht (Art. 15 DSGVO) ist eines der am häufigsten ausgübten Betroffenenrechte und stellt Unternehmen vor erhebliche praktische Herausforderungen.
Umfang des Auskunftsrechts
Die betroffene Person hat Recht auf:
- Bestätigung, ob personenbezogene Daten verarbeitet werden (auch Negativauskunft!)
- Auskunft über: Verarbeitungszwecke, Datenkategorien, Empfänger, Speicherdauer, Betroffenenrechte, Herkunft der Daten, automatisierte Entscheidungsfindung inkl. Logik
- Kopie der verarbeiteten Daten (Art. 15 Abs. 3 DSGVO) - erste Kopie kostenlos
Fristen und Kosten
- Frist: Unverzüglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Verlängerung um maximal zwei weitere Monate bei Komplexität.
- Kosten: Grundsätzlich kostenlos. Bei offenkundig unbegründeten oder exzessiven Anträgen: angemessenes Entgelt oder Ablehnung möglich - Beweislast beim Verantwortlichen.
- Form: Bei elektronischem Antrag in einem gängigen elektronischen Format (z.B. PDF).
Identitätsprüfung
Bei Zweifeln an der Identität darf der Verantwortliche zusätzliche Informationen zur Bestätigung anfordern (Art. 12 Abs. 6 DSGVO). Dies darf aber nicht zur Hürde gemacht werden.
Einschränkungen (Paragraph 34 BDSG)
In bestimmten Fällen kann das Auskunftsrecht eingeschränkt sein: bei Daten, die nur aufgrund gesetzlicher Aufbewahrungspflichten gespeichert sind, bei Gefährdung der öffentlichen Sicherheit oder bei unverhältnismäßigem Aufwand bei nicht automatisiert verarbeiteten Daten.
Handlungsempfehlung
Etablieren Sie interne Prozesse: Wer nimmt Anfragen entgegen? Wie werden die Daten zusammengestellt? Wie wird die Frist eingehalten? Halten Sie Antwortvorlagen bereit und schulen Sie Ihre Mitarbeiter.