Auskunftsrecht Art. 15 DSGVO: Fehler vermeiden, Bußgelder verhindern

Das Auskunftsrecht ist eines der stärksten Rechte betroffener Personen der EU-Datenschutz-Grundverordnung (DSGVO) und gleichzeitig eine der häufigsten Quellen von Bußgeldern für verantwortliche Stellen. Die Frist beträgt einen Monat, die Informationspflichten sind umfassend und präzise, Fehler bei der Erfüllung führen zu Bußgeldern von bis zu vier Prozent des Jahresumsatzes.

Art. 15 DSGVO im Detail

Das Auskunftsrecht gemäß Art. 15 DSGVO gewährt jeder Person voraussetzungslos das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob dieser betreffende personenbezogene Daten verarbeitet; ist dies der Fall, besteht ein Anspruch auf Auskunft über diese Daten, insbesondere:

• Verarbeitungszwecke,
• Kategorien der Daten,
• Empfänger,
• Speicherdauer,
• Rechte auf Berichtigung/Löschung/Einschränkung/Widerspruch, Art.12 ff. DSGVO
• Herkunft der Daten und das Bestehen automatisierter Entscheidungsfindung einschließlich Profiling

Der Verantwortliche muss eine Kopie der verarbeiteten personenbezogenen Daten bereitstellen, für weitere Kopien kann ein angemessenes Entgelt verlangt werden.

Es handelt sich hierbei um ein subjektives Recht, das bedeutet: kein Ermessensbereich. Die Verantwortlichen können die Auskunft nicht (beziehungsweise nur in seltenen Ausnahmen) verweigern oder belasten. Sie müssen sie innerhalb einer einmonatigen Frist nach Eingang des Antrags erteilen. Diese Erteilung muss unverzüglich, sprich ohne schuldhaftes Zögern, erfolgen.

Fristunterbrechung

Ausnahmsweise kann die Einmonatsfrist unterbrochen werden, zum Beispiel:

1. Komplexe Anfragen oder eine hohe Anzahl von Anträgen, Art. 12 Abs. 3 DSGVO: Die Frist kann auf bis zu drei Monate verlängert werden, wobei die betroffene Person innerhalb des ersten Monats informiert werden muss.
2. Erforderlichkeit einer Identitätsprüfung, Art. 12 Abs. 6 DSGVO: Bei berechtigten Zweifeln an der Identität des Antragstellers kann eine Klarstellung gefordert werden; die Frist pausiert, bis die Identität bestätigt ist.
3. Präzisierung der Anfrage: Ist der Antrag zu vage, kann der Verantwortliche eine Konkretisierung verlangen; die Frist läuft erst nach Klärung weiter.

Alle Aufforderungen zur Identitätsprüfung oder Präzisierung müssen unverzüglich gestellt werden.

Grenzen: Art. 15 Abs. 4 DSGVO

Das Auskunftsrecht ist nicht grenzenlos gewährt. Art. 15 Abs. 4 regelt die Schranken:

1. Schutz der Rechte und Freiheiten anderer Personen: Sofern die Auskunft personenbezogene Daten anderer Personen betreffen würde, kann der Verantwortliche diese schwärzen. Die gesamte Auskunft darf nicht verweigert werden.
2. Betriebs- oder Geschäftsgeheimnisse: Bei der Preisgabe eines Geschäftsgeheimnisses steht dem Verantwortlichen das Recht zu, Details zu abstrahieren. Die Auskunft als Ganze darf nicht verweigert werden.
3. Offenkundig unbegründete oder exzessive Anträge, Art. 12 Abs. 5 DSGVO: In Einzelfällen kann der Verantwortliche Anträge als exzessiv ablehnen. Zum Beispiel bei frequenten Anfragen oder Anfragen über Mengen an Einzeldatensätzen. Dies muss individuell begründet werden.

Bußgelder und rechtliche Konsequenzen

Verstöße gegen Art. 15 DSGVO fallen unter die Kategorie der schweren Verstöße gegen Betroffenenrechte, Art. 83 Abs. 5 DSGVO. Ein Bußgeld kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welche Summe höher ist.

Zusätzlich zu Bußgeldern können betroffene Personen auch privat Schadensersatzklagen gemäß Art. 82 DSGVO gegen Unternehmen geltend machen. Das gilt auch für immaterielle Schäden.

Fazit

Das Auskunftsrecht ist ein zentrales Betroffenenrecht und gleichzeitig ein Bereich, in dem Unternehmen besonders sorgfältig arbeiten müssen. Eine klare Prozessstruktur, die zentrale Erfassung von Anfragen, Schulungen der Mitarbeitenden und die Einhaltung der Fristen sind entscheidend, um rechtliche und wirtschaftliche Risiken zu minimieren.