Zum Hauptinhalt springen
Datenschutz AGADDatenschutz AGAD
 
alt text

Kontakt

Lernmodul 9 von 10

9. Auskunftsrechte

Die Grundverordnung hat den Unternehmen nicht nur zahlreiche Dokumentationsverpflichtungen auferlegt, sondern den Betroffenen auch umfangreiche Rechte zur Verfügung gestellt.

Das am häufigsten genutzte Recht ist das Recht auf Auskunft, Art. 15 DS-GVO. Wie weit die Auskunft gehen soll, und ob bzw. welche Daten der Betroffene überhaupt herausverlangen kann, ist bis heute umstritten. Wichtig ist jedoch, dass zwei Dinge bezüglich der Auskunftsrechte beachtet werden. 

Zunächst einmal ist sicherzustellen, dass die Auskunft nur an den Betroffenen erteilt wird. Des Weiteren sollte der Prozess nicht zu lange aufgeschoben werden. Die Auskunft ist unverzüglich (das heißt ohne schuldhaftes Zögern) und mindestens innerhalb eines Monats zu erteilen. Auch hat die Erstauskunft unentgeltlich zu erfolgen. Idealerweise gibt es im Unternehmen bereits einen Prozess zur Auskunftserteilung, ansonsten steht Ihnen Ihr Datenschutzkoordinator oder -beauftragter für Fragen hierzu gerne zur Verfügung.

Die Auskunft darf auch nicht an einen Unbefugten erteilt werden. Es muss daher (kurz) geprüft werden, dass derjenige, welcher eine Auskunft geltend macht, auch tatsächlich derjenige ist, für den er sich ausgibt. Zur Sicherstellung der Identität dürfen bestimmte Maßnahmen ergriffen werden. Ist überhaupt kein Prozess zur Prüfung der Identität vorhanden, kann dies teuer werden; so hat der Bundesbeauftragte für Datenschutz 2019 hierfür zunächst ein Bußgeld von 9,5 Millionen Euro gegen einen Telekommunikationsanbieter verhängt. Dieses Bußgeld wurde nach gerichtlicher Überprüfung auf 900.000,- Euro reduziert. Das Unternehmen hatte nach Ansicht der Aufsichtsbehörde keinen Prozess implementiert, welcher die Identität von Auskunftsanfragenden prüfte. Unbefugte hätten so die Möglichkeit gehabt, an Daten von Dritten gelangen zu können.  

Die Sicherstellung der Identität klingt komplizierter, als sie eigentlich ist. Ein Indikator könnte die Kundenummer sein, die ggf. an den Betroffenen vergeben wurde. Bei einer telefonischen Anfrage könnte diese abgefragt werden. Geht die Anfrage von einer im System hinterlegten E-Mail-Adresse ein, spricht vieles dafür, dass die Anfrage auch vom Betroffenen stammt.