th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Auskunftspflicht des Verantwortlichen

Was bei einem Auskunftsantrag zu tun ist

Hinweis:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“).

Die DSGVO räumt der betroffenen Person ein Auskunftsrecht über seine personenbezogenen Daten ein. 

Wem steht ein Auskunftsanspruch zu?

Jeder betroffenen Person (Auskunftswerber). Diese muss ihre Identität nur dann nachweisen, wenn der Verantwortliche berechtigte Zweifel daran hat. Werden große Mengen an Informationen über die betroffene Person verarbeitet, trifft sie eine Mitwirkungspflicht.

Hinweis:
In der Regel werden solche Zweifel bei telefonischen Anfragen oder wenn das Auskunftsersuchen von einer Fantasie-E-Mail-Adresse versandt wurde, bestehen.
Tipp:
Sollte eine Anfrage zB von Max.Mustermann@domain.at kommen und nicht elektronisch signiert sein, wäre es ratsam, zB eine Ausweiskopie zu verlangen.

Wer muss die Auskunft erteilen?

Nur der Verantwortliche hat dem Auskunftswerber Auskunft zu geben. 

Wird ein Antrag irrtümlich an einen Auftragsverarbeiter gerichtet, trifft diesen zwar keine ausdrückliche Pflicht, den Antrag an den Verantwortlichen weiterzuleiten. Der Auftragsverarbeiter hat jedoch eine Unterstützungspflicht dem Verantwortlichen gegenüber.

Hinweis:
Die Weiterleitung eines Auskunftsantrages an den Verantwortlichen ist daher zu empfehlen.

Wie muss die Auskunft beantragt werden?

Der Antrag kann formlos gestellt werden, allenfalls sogar mündlich. Bei mündlichen Antragstellungen per Telefon werden jedoch in der Regel Zweifel an der Identität bestehen, anders bei einer persönlichen Vorsprache. 

Was hat die Auskunft zu umfassen? 

  • Kopien der Daten (E-Mails, Briefe, Auszüge aus Datenbanken, udgl), die konkret verarbeiteten Daten;

  • die Verarbeitungszwecke;

  • die Kategorien der Daten, die verarbeitet werden;

  • die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben worden sind oder noch weitergegeben werden, speziell bei Empfängern in Drittländern oder bei internationalen Organisationen (einschließlich Auftragsverarbeiter),

  • wenn möglich, die geplante Speicherfrist für die Daten, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

  • alle verfügbaren Informationen über die Herkunft der Daten (falls die Daten nicht beim Betroffenen selbst erhoben worden sind);

  • im Fall von Entscheidungen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruhen, und gegenüber der betroffenen Person rechtliche Wirkungen entfalten oder sie in ähnlicher Weise beeinträchtigen, Angaben zu der verwendeten Logik sowie zur Tragweite und zu den angestrebten Auswirkungen einer derartigen Verarbeitung;

  • bei internationalen Datentransfers: falls notwendig, die Grundlagen der geeigneten Garantien.

Weiters ist die betroffene Person darüber in Kenntnis zu setzen, dass sie ein Recht auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder einen Widerspruch gegen diese Verarbeitung hat, sowie dass ein Beschwerderecht bei einer Aufsichtsbehörde besteht.

Wie hat die Auskunft zu erfolgen?

Grundsätzlich ist die Auskunft schriftlich (siehe Musterschreiben) zu erteilen, und zwar in einer kompakten, transparenten, verständlichen und leicht zugänglichen Form. Elektronische Medien (vor allem E-Mail) können insbesondere dann verwendet werden, wenn der Antrag elektronisch gestellt wurde. Auf ausdrücklichen Wunsch der betroffenen Person ist das Auskunftsschreiben oder auch nur die Kopie der Daten auf Papier zu übersenden. Eine mündliche Auskunftserteilung ist auf Wunsch der betroffenen Person möglich, sofern keine Zweifel an der Identität bestehen.

Besonderes Augenmerk ist auf die Textierung zu legen: Der Verantwortliche hat sich einer klaren und einfachen Sprache zu bedienen; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.

Liegen zur Person des Auskunftswerbers keine Daten vor, muss dieser Umstand bekannt gegeben werden (sogenannte Negativauskunft).

Kann die Auskunft auch verweigert werden?

Durch Rechtsvorschriften können alle Betroffenenrechte eingeschränkt werden, wenn dadurch bestimmte Ziele erreicht werden sollen. Für den Bereich der gewerblichen Wirtschaft sind wohl lediglich die Tatbestände „den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“ oder „die Durchsetzung zivilrechtlicher Ansprüche“ relevant. 

Offenkundig unbegründete oder – insbesondere im Fall von häufiger Wiederholung – exzessive Anträge einer betroffenen Person kann der Verantwortliche entweder ablehnen oder ein angemessenes Entgelt verlangen. Bei diesem können die Verwaltungskosten für das Verständigungsschreiben berücksichtigt werden. Den Verantwortlichen trifft die Beweislast, dass der Antrag offensichtlich unbegründet war oder einen exzessiven Charakter hatte.

Weiters darf die Aushändigung der Kopie nicht in die Rechte anderer Personen eingreifen. 

Hinweis:
Daten anderer betroffenen Personen sollten daher geschwärzt werden.

In welcher Frist ist die Auskunft zu erteilen?

Der Verantwortliche hat den Antrag unverzüglich zu beantworten, in jedem Fall aber binnen eines Monats ab Eingang. Ist die Beantwortung des Antrages komplex und liegen mehrfache Anträge vor, kann die Frist um zwei weitere Monate verlängert werden. Der Verantwortliche muss dies der betroffenen Person unter Angabe von Gründen mitteilen. Wurde der Antrag elektronisch eingebracht, soll auch diese Mitteilung elektronisch übersandt werden (sofern die betroffene Person dem nicht zuvor widersprochen hat).

Lehnt der Verantwortliche die Beauskunftung ab, hat er dies der betroffenen Person binnen eines Monats mitzuteilen. 

Muss die Auskunftserteilung kostenlos erfolgen?

Grundsätzlich ja. Ein angemessenes Entgelt kann nur verlangt werden, wenn die betroffene Person mehr als eine Datenkopie verlangt, oder bei offenkundig unbegründeten oder insbesondere wegen ihrer Häufigkeit exzessiven Anträgen. 

Wo kann der Auskunftswerber seine Ansprüche auf Auskunftserteilung durchsetzen?

Falls der Auskunftswerber behauptet, dass sein Anspruch auf Auskunftserteilung verletzt worden ist, kann er zur Durchsetzung dieses Anspruches binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde einreichen.

Geldstrafen

Die Verletzung der Auskunftspflicht ist mit bis zu EUR 20 Mio oder 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht.

Relevante Artikel der DSGVO: Artikel 11, 12, 15, 23
Relevante Erwägungsgrunde: 57-60, 63, 64, 73
Relevante Bestimmungen des DSG (i.d.F. des Datenschutz-Anpassungsgesetzes 2018): § 24 Abs 4


Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.