th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail LinkedIn Google-plus Facebook Whatsapp Flickr Youtube Instagram Pinterest Skype Vimeo Snapchat arrow-up arrow-right arrow-left arrow-down calendar user home

Auskunftspflichten nach EU-Datenschutz-Grundverordnung - FAQ

Antworten auf die wichtigsten Fragen

  1. Wurde etwas bei dem Recht auf Auskunft geändert?
  2. Wenn ein Kunde ein Auskunftsersuchen wünscht, darf man dafür etwas verlangen?
  3. Gilt das Auskunftsrecht von Kunden genauso für B2B-Kunden?
  4. Bei einer Auskunftspflicht sind PDF Dokumente und Bilder auch zulässig oder müssen Daten zum Beispiel als Excel oder CSV vorliegen?
  5. Wenn der Kunde die Daten erhebt, wartet und weiterleitet, der Dienstleister die Anwendung bereitstellt, hat der Dienstleister auch Auskunftspflicht?
  6. Muss man auf Verlangen von Kunden oder der Datenschutzbehörde offenlegen woher man Daten aus der längeren Vergangenheit herbekommen hat?
  7. Muss ich bei einer Auskunftspflicht gegenüber meinem Kunden auch interne Infos über den Kunden weitergeben? Zum Beispiel wird von einem Mitarbeiter bei dem Kundenbemerkungen erfasst, er schwitzt stark, zahlt unregelmäßig, Kunde ist ein Nörgler?
  8. Sind Banken ebenso verpflichtet mir Auskunft über meine dort gespeicherten Daten und deren Verwendungszweck zu geben?
  9. Muss ich beim Auskunftsrecht ALLE E-Mails dem Anfragenden zusenden?
  10. Wie kann die Frist zur Auskunftserteilung (Betroffenenrecht) von 1 auf 3 Monate erweitert werden?
  11. Was passiert, wenn mir ein Kunde irgendeinen Datensatz und nicht die tatsächlich von mir gespeicherten Daten übermittelt - wie kann ich das kontrollieren?

1. Wurde etwas bei dem Recht auf Auskunft geändert?

Das Recht auf Auskunft war früher in § 26 Datenschutzgesetz (DSG 2000) geregelt und wurde in Artikel 15 von der DSGVO aufgegriffen. Es wurde inhaltlich erweitert (zB kein Formzwang mehr, Nachweis nur in Zweifelsfällen, Umfang der Auskunft umfangreicher) und die Frist von acht Wochen auf 1 Monat (eigentlich „unverzüglich“; nur in Ausnahmefällen insgesamt 3 Monate) verkürzt. Mehr Infos hier.

2. Wenn ein Kunde ein Auskunftsersuchen wünscht, darf man dafür etwas verlangen?

Nein. Ein angemessenes Entgelt kann nur verlangt werden, wenn die betroffene Person mehr als eine Datenkopie verlangt, oder bei offenkundig unbegründeten oder insbesondere wegen ihrer Häufigkeit exzessiven Anträgen (zB mehrmalige Anfragen derselben Person im selben Monat).

3. Gilt das Auskunftsrecht von Kunden genauso für B2B-Kunden?

Ja – das Auskunftsrecht steht jeder betroffenen Person (Auskunftswerber) zu, unabhängig ob diese Konsument oder Unternehmer ist.

4. Bei einer Auskunftspflicht sind PDF Dokumente und Bilder auch zulässig oder müssen Daten zum Beispiel als Excel oder CSV vorliegen?

Grundsätzlich ist die Auskunft schriftlich mittels eines Antwortschreibens zu erteilen, und zwar in einer kompakten, transparenten, verständlichen und leicht zugänglichen Form. Elektronische Medien (vor allem E-Mail) können insbesondere dann verwendet werden, wenn der Antrag elektronisch gestellt wurde. Auf ausdrücklichen Wunsch der betroffenen Person ist das Auskunftsschreiben oder auch nur die Kopie der Daten auf Papier zu übersenden. Eine mündliche Auskunftserteilung ist auf Wunsch der betroffenen Person möglich, sofern keine Zweifel an der Identität bestehen. Besonderes Augenmerk ist auf die Textierung zu legen: Der Verantwortliche hat sich einer klaren und einfachen Sprache zu bedienen; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.

Liegen zur Person des Auskunftswerbers keine Daten vor, muss dieser Umstand bekannt gegeben werden (sogenannte Negativauskunft).

Bzgl der Frage, ob es einen Unterschied macht, in welchem Dateiformat das Auskunftsbegehren – hier wohl elektronisch gemeint – beantwortet wird, gibt es nur wenige Anhaltspunkte in der DSGVO. Artikel 15 Abs 3 sagt dazu, dass die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen sind, sofern sie nichts anderes angibt.

Anders als beim Recht auf Datenübertragbarkeit (Art 20 DSGVO) ist hier nicht die Weiterverwendbarkeit der Daten, sondern die bloße Auskunft, welche Daten beim Verantwortlichen verarbeitet werden gemeint, weshalb die Bereitstellung auch auf PDF und in Bildformat denkbar ist (vgl hierzu auch die Ansicht des Landesberauftragten für Datenschutz Niedersachsen: „Stellt die betroffene Person ihren Auskunftsantrag nach Art. 15 Abs. 3 DS-GVO elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DS-GVO in einem gängigen elektronischen Format zur Verfügung zu stellen (zB im pdf-Format wie auch dt. Datenschutzbeauftragte vertreten).“ Wichtig hierbei: Es muss sich um ein „gängiges“ Format handelt, dh Formate, welche üblicherweise nicht in einem Durchschnittshaushalt verfügbar sind (zB wozu ein kostenpflichtiger Download eines Programms benötigt wird), entsprechen diesen Vorgaben nicht.

5. Wenn der Kunde die Daten erhebt, wartet und weiterleitet, der Dienstleister die Anwendung bereitstellt, hat der Dienstleister auch Auskunftspflicht?

Die Frage kann in 2 Richtungen gehen:

  1. Der Kunde ist Verantwortlicher und der Dienstleister Auftragsverarbeiter. Nur der Verantwortliche hat dem Auskunftswerber Auskunft zu geben. Wird ein Antrag irrtümlich an einen Auftragsverarbeiter gerichtet, trifft diesen zwar keine ausdrückliche Pflicht, den Antrag an den Verantwortlichen weiterzuleiten. Der Auftragsverarbeiter hat jedoch eine Unterstützungspflicht dem Verantwortlichen gegenüber, weshalb empfehlenswert ist, den Antrag auch direkt weiterzuleiten.
  2. Der Kunde ist Verantwortlicher und bedient sich einfach einer Software bzw. eines Programmes zur Datenverarbeitung (SAP, Outlook, etc). Hier verarbeitet der Anbieter keine Daten, sondern nur derjenige, der die Anwendung installiert und benutzt. 

6. Muss man auf Verlangen von Kunden oder der Datenschutzbehörde offenlegen woher man Daten aus der längeren Vergangenheit herbekommen hat?

Ja, es muss Auskunft über die Herkunft der Daten gegeben werden (war auch bisher schon so).

7. Muss ich bei einer Auskunftspflicht gegenüber meinem Kunden auch interne Infos über den Kunden weitergeben? Zum Beispiel wird von einem Mitarbeiter bei dem Kundenbemerkungen erfasst, er schwitzt stark, zahlt unregelmäßig, Kunde ist ein Nörgler?

Grundsätzlich ja, da das Auskunftsrecht folgendes zu umfasst:

  • Kopien der Daten (E-Mails, Briefe, Auszüge aus Datenbanken, udgl), die konkret verarbeiteten Daten;
  • die Verarbeitungszwecke;
  • die Kategorien der Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben worden sind oder noch weitergegeben werden, speziell bei Empfängern in Drittländern oder bei internationalen Organisationen (einschließlich Auftragsverarbeiter),
  • wenn möglich, die geplante Speicherfrist für die Daten, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • alle verfügbaren Informationen über die Herkunft der Daten (falls die Daten nicht beim Betroffenen selbst erhoben worden sind);
  • im Fall von Entscheidungen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruhen, und gegenüber der betroffenen Person rechtliche Wirkungen entfalten oder sie in ähnlicher Weise beeinträchtigen Angaben zu der verwendeten Logik sowie zur Tragweite und zu den angestrebten Auswirkungen einer derartigen Verarbeitung;
  • bei internationalen Datentransfers: falls notwendig, die Grundlagen der geeigneten Garantien.

Es sollte daher von Grunde auf bereits nachgedacht werden, ob solche „Meinungen“ elektronisch oder schriftlich bei einer Kundenakte erfasst sein sollten.

8. Sind Banken ebenso verpflichtet mir Auskunft über meine dort gespeicherten Daten und deren Verwendungszweck zu geben?

Ja, etwaig Geheimhaltungsverpflichtungen aus anderen Rechtstexten müssen aber beachtet werden.

9. Muss ich beim Auskunftsrecht ALLE E-Mails dem Anfragenden zusenden?

Ja. Eine Besonderheit gibt es dann, wenn zB eine Kopie in die Rechte anderer Personen eingreift. Aus diesem Grund sollten Daten anderer betroffener Personen geschwärzt werden. Die E-Mails sind aber dennoch in Kopie auszuhändigen.

10. Wie kann die Frist zur Auskunftserteilung (Betroffenenrecht) von 1 auf 3 Monate erweitert werden?

Der Verantwortliche hat den Antrag unverzüglich zu beantworten, in jedem Fall aber binnen eines Monats ab Eingang. Ist die Beantwortung des Antrages so komplex oder liegen so viele Anträge vor, kann die Frist um zwei weitere Monate verlängert werden.

Vorsicht: Der Verantwortliche muss dies der betroffenen Person unter Angabe von Gründen innerhalb eines Monats mitteilen und in weiterer Folge nachweisen können, dass die Fristverlängerung zulässig war.

11. Was passiert, wenn mir ein Kunde irgendeinen Datensatz und nicht die tatsächlich von mir gespeicherten Daten übermittelt - wie kann ich das kontrollieren?

Unter „Kunde“ ist hier vermutlich der Verantwortliche gemeint, der zur Auskunft verpflichtet ist. Wenn der Auskunftswerber behauptet, dass sein Anspruch auf Auskunftserteilung verletzt worden ist (zB weil er vermutet, dass eben dem Auskunftsanspruch nicht entsprochen worden ist zB durch falsche oder unvollständige Übermittlung von Datensätzen), kann er Beschwerde bei der Datenschutzbehörde einreichen. Auf Grund der drohenden sehr hohen Strafen, wird es vermutlich kein Verantwortlicher riskieren, falsche oder unvollständige Auskünfte zu erteilen.