Foren, Social-Media-Plattformen, Online-Shops, Bonusprogramme, Banken, Versicherungen oder der Lieblingfanclub – Man verliert schnell den Überblick darüber, wo man sich überall registriert hat. Oft fällt es einem nur zufällig wieder ein, weil man irgendwo Werbung des Unternehmens sieht, eine alte Passwortdatei von sich findet oder mal wieder einen unerwünschten Newsletter erhält. Nicht erst seit der Datenschutzgrundverordnung (DSGVO) hat jeder das Recht, zu erfahren, wer welche Daten von ihm gespeichert hat. Doch wie beantragt man das und welche Infos muss das Unternehmen rausrücken?

Der Auskunftsanspruch

Jede Person hat einen Anspruch darauf zu wissen, wer welche Daten wann über sie gespeichert hat. Diese Person wird in der DSGVO der Betroffene genannt, der Speichernde ist der Verantwortliche. Dieser ist dazu verpflichtet, ein Verzeichnis zu erstellen, in dem die gespeicherten Daten erfasst sind. Wenn der Betroffene eine Anfrage an den Verantwortlichen schickt, kriegt er aber oftmals nur manuell erstellte und lückenhafte Auskünfte, da die Unternehmen selbst oft nicht wissen, wo sie welche Informationen über Kunden gespeichert haben.

Dabei ist das Auskunftsrecht nicht erst mit der DSGVO entstanden. Im § 34 des Bundesdatenschutzgesetzes (BDSG) war schon vorher eindeutig und recht ausführlich geregelt, wer welche Auskünfte wann und worüber erteilen muss. Im Vergleich zum neuen Art. 15 der DSGVO lassen sich viele Parallelen feststellen. Bis auf die Fristen und Bußgeldhöhen sind sich das BDSG und die DSGVO sogar sehr, sehr ähnlich!

Wie weit geht der Auskunftsanspruch?

Festzuhalten ist, dass der Verantwortliche Auskunft über alle personenbezogenen Daten, die über den Betroffenen gespeichert wurden, zu erteilen hat.

Nun stellt sich die Frage, wie weit das Recht auf eine Auskunft geht. Dürfen Betroffene zum Beispiel eine Kopie des Originaldokuments vom Verantwortlichen verlangen?

In Art. 15 Abs.3 DSGVO steht:

„Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.“

Der EuGH entschied dazu, dass der Betroffene keinen Anspruch auf eine originalgetreue Kopie der Daten aus dem System habe, sondern nur auf eine verständliche und vollständige Übersicht der gespeicherten Daten (Urt. v. 17.07.14 – C-141/12 u. C-372-12). Dies habe zudem ohne unzumutbare Verzögerungen oder Kosten zu erfolgen. Auch habe das Unternehmen Auskunft darüber zu erteilen, woher es die Daten hat. Durch diese Vorgaben soll es jedem möglich gemacht werden, zu überprüfen, ob die Daten richtig sind, der Richtlinie gemäß verarbeitet wurden und ob daraus folgend weitere, der Person zustehende, Rechte geltend gemacht werden sollen. Diese Überlegungen wurden durch Art. 12 in die DSGVO übernommen. Der Betroffene kann gemäß Art. 16 DSGVO die Berichtigung und gemäß Art. 17 DSGVO die Löschung seiner Daten verlangen.

Ein solches Recht steht auch Arbeitnehmern gegenüber dem Arbeitgeber zu. Durch Art. 15 Abs. 1 DSGVO sind Kopien der Personalakte, welche Arbeitnehmer während der Einsichtnahme der Akte anfertigen dürfen, nun unentgeltlich zur Verfügung zu stellen. Dies gilt aber nur für die erste Kopie, für alle weiteren darf gemäß Satz 2 ein Entgelt verlangt werden.

Was müssen Auskunftssuchende tun?

Wer wissen möchte, welche Daten von ihm gespeichert wurden, kann einen Antrag auf Auskunft stellen. Dies ist in Art. 15 DSGVO geregelt und zweistufig gestaltet. Der Auskunftssuchende muss deutlich machen, ob er nur wissen möchte, ob personenbezogene Daten von ihm gespeichert wurden oder auch, um welche Informationen es sich konkret handelt.

Art. 12 DSGVO schreibt zudem vor, dass solche Anträge nur in angemessenen Abständen gestellt werden würden. Wie oft „angemessen“ ist, steht dort allerdings nicht. Dies kann auch gar nicht pauschal festgelegt werden, sondern liegt zwischen dem Punkt Transparenz der Datenspeicherung und einer reinen Schikane. Die Beantwortung dieser Frage wird wohl durch ein Gericht geklärt werden müssen. Betroffene dürfen also nicht erwarten, dass täglich gestellte Anträge beantwortet werden. Beachtet werden müssen bei der Frage die konkreten Umstände, wie zum Beispiel der bürokratische Aufwand der Auskunft und die Größe des Unternehmens. Dies bedeutet aber auch, dass eine zweite Auskunft, die in angemessenem Abstand gestellt wurde, nicht durch den Verantwortlichen grundsätzlich abgelehnt werden kann. 

Anträge müssen gemäß Art. 12 DSGVO innerhalb von einem Monat beantwortet werden, es sei denn, das Ersuchen ist besonders komplex oder es liegen zu dem Zeitpunkt sehr viele Anträge vor. Dann darf die Monatsfrist um zwei Monate verlängert werden.

WK LEGAL stellt auf Anfrage kostenlos ein Musterschreiben zur Verfügung, mit welchem Sie Auskunft über Ihre personenbezogene Daten gegenüber einem Unternehmen verlangen können. Das kostenlose Musterschreiben können Sie per E-Mail an info@wklegal.deanfordern.