th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Auskunftspflichten nach EU-Datenschutz-Grundverordnung - FAQ

Antworten auf die wichtigsten Fragen

  1. Wurde etwas bei dem Recht auf Auskunft geändert?
  2. Wenn ein Kunde ein Auskunftsersuchen wünscht, darf man dafür etwas verlangen?
  3. Gilt das Auskunftsrecht von Kunden genauso für B2B-Kunden?
  4. Bei einer Auskunftspflicht sind PDF Dokumente und Bilder auch zulässig oder müssen Daten zum Beispiel als Excel oder CSV vorliegen?
  5. Wenn der Kunde die Daten erhebt, wartet und weiterleitet, der Dienstleister die Anwendung bereitstellt, hat der Dienstleister auch Auskunftspflicht?
  6. Muss man auf Verlangen von Kunden oder der Datenschutzbehörde offenlegen woher man Daten aus der längeren Vergangenheit herbekommen hat?
  7. Muss ich bei einer Auskunftspflicht gegenüber meinem Kunden auch interne Infos über den Kunden weitergeben? Zum Beispiel wird von einem Mitarbeiter bei dem Kundenbemerkungen erfasst, er schwitzt stark, zahlt unregelmäßig, Kunde ist ein Nörgler?
  8. Sind Banken ebenso verpflichtet mir Auskunft über meine dort gespeicherten Daten und deren Verwendungszweck zu geben?
  9. Muss ich beim Auskunftsrecht ALLE E-Mails dem Anfragenden zusenden?
  10. Wie kann die Frist zur Auskunftserteilung (Betroffenenrecht) von 1 auf 3 Monate erweitert werden?
  11. Was passiert, wenn mir ein Kunde irgendeinen Datensatz und nicht die tatsächlich von mir gespeicherten Daten übermittelt - wie kann ich das kontrollieren?

1. Wurde etwas bei dem Recht auf Auskunft geändert?

Das Recht auf Auskunft ist im momentan geltenden Datenschutzgesetz in § 26 geregelt und wurde in Artikel 15 von der DSGVO aufgegriffen. Es wurde inhaltlich erweitert (zB kein Formzwang mehr, Nachweis nur in Zweifelsfällen, Umfang der Auskunft umfangreicher) und die Frist von acht Wochen auf 1 Monat (eigentlich „unverzüglich“; nur in Ausnahmefällen insgesamt 3 Monate) verkürzt. Mehr Infos hier.

2. Wenn ein Kunde ein Auskunftsersuchen wünscht, darf man dafür etwas verlangen?

Grundsätzlich nein. Ein angemessenes Entgelt kann nur verlangt werden, wenn die betroffene Person mehr als eine Datenkopie verlangt, oder bei offenkundig unbegründeten oder insbesondere wegen ihrer Häufigkeit exzessiven Anträgen.

3. Gilt das Auskunftsrecht von Kunden genauso für B2B-Kunden?

Ja – das Auskunftsrecht steht jeder betroffenen Person (Auskunftswerber) zu, unabhängig ob diese Konsument oder Unternehmer ist.

4. Bei einer Auskunftspflicht sind PDF Dokumente und Bilder auch zulässig oder müssen Daten zum Beispiel als Excel oder CSV vorliegen?

Grundsätzlich ist die Auskunft schriftlich mittels eines Antwortschreibens zu erteilen, und zwar in einer kompakten, transparenten, verständlichen und leicht zugänglichen Form. Elektronische Medien (vor allem E-Mail) können insbesondere dann verwendet werden, wenn der Antrag elektronisch gestellt wurde. Auf ausdrücklichen Wunsch der betroffenen Person ist das Auskunftsschreiben oder auch nur die Kopie der Daten auf Papier zu übersenden. Eine mündliche Auskunftserteilung ist auf Wunsch der betroffenen Person möglich, sofern keine Zweifel an der Identität bestehen. Besonderes Augenmerk ist auf die Textierung zu legen: Der Verantwortliche hat sich einer klaren und einfachen Sprache zu bedienen; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.

Liegen zur Person des Auskunftswerbers keine Daten vor, muss dieser Umstand bekannt gegeben werden (sogenannte Negativauskunft).

5. Wenn der Kunde die Daten erhebt, wartet und weiterleitet, der Dienstleister die Anwendung bereitstellt, hat der Dienstleister auch Auskunftspflicht?

Die Frage kann in 2 Richtungen gehen:

  1. Der Kunde ist Verantwortlicher und der Dienstleister Auftragsverarbeiter. Nur der Verantwortliche hat dem Auskunftswerber Auskunft zu geben. Wird ein Antrag irrtümlich an einen Auftragsverarbeiter gerichtet, trifft diesen zwar keine ausdrückliche Pflicht, den Antrag an den Verantwortlichen weiterzuleiten. Der Auftragsverarbeiter hat jedoch eine Unterstützungspflicht dem Verantwortlichen gegenüber, weshalb empfehlenswert ist, den Antrag auch direkt weiterzuleiten.
  2. Der Kunde ist Verantwortlicher und bedient sich einfach einer Software bzw. eines Programmes zur Datenverarbeitung (SAP, Outlook, etc). Hier verarbeitet der Anbieter keine Daten, sondern nur derjenige, der die Anwendung installiert und benutzt. 

6. Muss man auf Verlangen von Kunden oder der Datenschutzbehörde offenlegen woher man Daten aus der längeren Vergangenheit herbekommen hat?

Ja, es muss Auskunft über die Herkunft der Daten gegeben werden (war auch bisher schon so).

7. Muss ich bei einer Auskunftspflicht gegenüber meinem Kunden auch interne Infos über den Kunden weitergeben? Zum Beispiel wird von einem Mitarbeiter bei dem Kundenbemerkungen erfasst, er schwitzt stark, zahlt unregelmäßig, Kunde ist ein Nörgler?

Grundsätzlich ja, da das Auskunftsrecht folgendes zu umfasst:

  • Kopien der Daten (E-Mails, Briefe, Auszüge aus Datenbanken, udgl), die konkret verarbeiteten Daten;
  • die Verarbeitungszwecke;
  • die Kategorien der Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben worden sind oder noch weitergegeben werden, speziell bei Empfängern in Drittländern oder bei internationalen Organisationen (einschließlich Auftragsverarbeiter),
  • wenn möglich, die geplante Speicherfrist für die Daten, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • alle verfügbaren Informationen über die Herkunft der Daten (falls die Daten nicht beim Betroffenen selbst erhoben worden sind);
  • im Fall von Entscheidungen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruhen, und gegenüber der betroffenen Person rechtliche Wirkungen entfalten oder sie in ähnlicher Weise beeinträchtigen Angaben zu der verwendeten Logik sowie zur Tragweite und zu den angestrebten Auswirkungen einer derartigen Verarbeitung;

bei internationalen Datentransfers: falls notwendig, die Grundlagen der geeigneten Garantien.

8. Sind Banken ebenso verpflichtet mir Auskunft über meine dort gespeicherten Daten und deren Verwendungszweck zu geben?

Grundsätzlich ja, etwaig Geheimhaltungsverpflichtungen aus anderen Rechtstexten müssen aber beachtet werden.

9. Muss ich beim Auskunftsrecht ALLE E-Mails dem Anfragenden zusenden?

Ja. Eine Besonderheit gibt es dann, wenn zB eine Kopie in die Rechte anderer Personen eingreift. Aus diesem Grund sollten Daten anderer betroffener Personen geschwärzt werden. 

10. Wie kann die Frist zur Auskunftserteilung (Betroffenenrecht) von 1 auf 3 Monate erweitert werden?

Der Verantwortliche hat den Antrag unverzüglich zu beantworten, in jedem Fall aber binnen eines Monats ab Eingang. Ist die Beantwortung des Antrages so komplex oder liegen so viele Anträge vor, kann die Frist um zwei weitere Monate verlängert werden. Der Verantwortliche muss dies der betroffenen Person unter Angabe von Gründen mitteilen (und in weiterer Folge nachweisen können, dass die Fristverlängerung zulässig war, Vorsicht also!).

11. Was passiert, wenn mir ein Kunde irgendeinen Datensatz und nicht die tatsächlich von mir gespeicherten Daten übermittelt - wie kann ich das kontrollieren?

Unter „Kunde“ ist hier vermutlich der Verantwortliche gemeint, der zur Auskunft verpflichtet ist. Wenn der Auskunftswerber behauptet, dass sein Anspruch auf Auskunftserteilung verletzt worden ist (zB weil er vermutet, dass eben dem Auskunftsanspruch nicht entsprochen worden ist zB durch falsche oder unvollständige Übermittlung von Datensätzen), kann er Beschwerde bei der Datenschutzbehörde einreichen. Auf Grund der drohenden sehr hohen Strafen, wird es vermutlich kein Verantwortlicher riskieren, falsche oder unvollständige Auskünfte zu erteilen.

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.