Art. 15 DSGVO: Auskunftsrecht der betroffenen Person

Artikel 15 der Datenschutzgrundverordnung

Fachlich geprüft von: Rechtsanwalt Lev Lexow Rechtsanwalt Lev Lexow
(6 Bewertungen, 3.67 von 5)

Das Wichtigste in Kürze

  • Der Art. 15 DSGVO (Datenschutzgrundverordnung) regelt das Auskunftsrecht über sämtlichen personenbezogenen Daten, die in Unternehmen oder bei Behören verarbeitet werden.
  • Die Auskunft über die personenbezogenen Daten ist für Betroffene kostenlos.
  • Die Daten müssen nach Auskunftsanfrage unverzüglich, spätestens innerhalb eines Monats, dem Antragsteller zur Verfügung gestellt werden.

Worum geht's?

Das Recht auf Auskunft ist im Datenschutz eines der wichtigsten Betroffenenrechte. Flattert bei Ihnen im Unternehmen das erste Auskunftsersuchen ein, stellt Sie das erstmal vor eine neue Herausforderung. Was müssen Sie jetzt beachten? Erstmal kurz zum Allgemeinen. Die Datenschutz-Grundverordnung, kurz DSGVO, beinhaltet verschiedene Betroffenenrechte, die laut Rechtsprechung seit dem 25. Mai 2018 anwendbar sind. Dabei geht es im Wesentlichen darum, welche privaten Daten von Betroffenen in Ihrem Unternehmen gespeichert werden und wofür diese genutzt werden.

Ein wichtiger Bestandteil der Datenschutzgrundverordnung ist der Art. 15 DSGVO. Dieser beinhaltet das Auskunftsrecht der betroffenen Person über ihre personenbezogenen Daten. Aber was genau bedeutet die Auskunft für Sie als Unternehmen?

Besteht eine Auskunftspflicht? Wann hat eine Person laut Datenschutzgrundverordnung ein Recht auf Auskunft? Und wie gestaltet sich eine Auskunftsanfrage? Welche Kosten entstehen dabei für den Antragsteller? Dies und mehr lesen Sie in diesem Artikel.

 

Was ist das Auskunftsrecht?

Durch den Art. 15 DSGVO hat der Betroffene das Recht, Auskunft über seine personenbezogenen Daten zu erhalten. Das bedeutet, dass Sie als Unternehmen der betroffenen Person Einblick darüber geben müssen, welche Daten und Informationen über ihn bei Ihnen gespeichert sind.

Hierbei beziehen sich die Betroffenenrechte der DSGVO laut Art. 15 nicht nur auf die Stammdaten des Antragstellers wie Name und Adresse, sondern auch auf geführte Kommunikation mit Ihrem Unternehmen sowie interne Vermerke zur Person.

Sofern sich der Inhalt und der Sinn der Information erst aus dem Kontext einer Korrespondenz ergibt, müssen Sie dem Antragsteller laut Auskunftsrecht die vollständigen Dokumente als Kopie herausgeben.

Wie teuer ist die Auskunftsanfrage?

Grundsätzlich ist die Auskunft über personenbezogene Daten kostenlos. Laut Art. 15 DSGVO gilt dies allerdings nur für die erste Kopie der Auskunftserteilung der betroffenen Person. Bei unbegründeten oder sich häufig wiederholenden Anfragen dürfen Sie als Unternehmen entweder ein Entgelt verlangen oder die Auskunft verweigern (Art. 12 Abs. 5 DSGVO).

Datenschutz: Auskunft ist nicht grenzenlos möglich

Trotz Auskunftsrecht muss der Datenschutz gewahrt werden. Hier gilt für Sie, dass Sie laut Art. 15 DSGVO nur Auskunft über die Daten erteilen müssen, wenn die Rechte und Freiheiten anderer Personen beachtet werden.

Trotz Recht auf Auskunft gilt es, den Datenschutz dritter Personen zu wahren. Auch Betriebs- und Geschäftsgeheimnisse Ihres Unternehmens bleiben damit sicher. Im besten Fall schwärzen Sie entsprechende Passagen, die laut Datenschutz geschützt werden müssen. Eine vollständige Verweigerung der Auskunft ist nämlich laut Artikel 15 DSGVO nicht möglich.

Zum Schutz der öffentlichen Sicherheit sind aber weitere Einschränkungen des Auskunftsrechts möglich. Diese regelt z. B. das Bundesdatenschutzgesetz (BDSG), die Abgabenordnung oder das Sozialgesetzbuch (SGB) X.

Unternehmen versuchen oft, den Aufwand der Auskunft als unverhältnismäßig einzustufen. Grundsätzlich geht es bei der Unverhältnismäßigkeit aber nicht nur um den Aufwand. Daten, die ggf. nicht beauskunftet werden müssen, können zwar ausschließlich gespeicherte Daten sein, allein wegen des Umfangs kann allerdings nicht von einem zu hohen Aufwand ausgegangen werden.

Gerade für personenbezogene Daten, die in einem hohen Umfang gespeichert werden, kann ein Auskunftsrecht umso mehr gegeben sein. Dementsprechend wird der unverhältnismäßige Aufwand in den seltensten Fällen als Argument für eine nicht erteilte Auskunft gesehen.

Was muss eine Auskunft nach Art. 15 DSGVO enthalten?

Ein allgemeingültiges Formular für die Auskunftserteilung der Daten existiert laut Datenschutzgrundverordnung nicht. Sie können das Schreiben als Unternehmen selbst gestalten. Die Betroffenenrechte setzen voraus, dass die Auskunft folgendermaßen gestaltet sein muss:

  • Präzise Sprache
  • Transparenz
  • Verständlichkeit
  • Leicht zugängliche Form

Der Inhalt der Datenauskunft gemäß DSGVO ist klar geregelt. Die folgenden Informationen müssen Sie in der Auskunftserteilung für die betroffene Person bereitstellen:

  • Verarbeitungszwecke
  • Welche Daten werden verarbeitet?
  • Empfänger und künftige Empfänger der personenbezogenen Daten
  • Geplante Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Einschränkung oder Löschung der Verarbeitung
  • Widerspruchsrecht gegen die Verarbeitung
  • Beschwerderecht des Antragstellers bei der Aufsichtsbehörde
  • Herkunft der Daten, wenn nicht bei Ihnen erhoben
  • Daten, die über einen Dienst oder ein Gerät erhoben werden, z. B. Suchaktivitäten oder Standortdaten

Wenn Sie keine personenbezogenen Daten der betroffenen Person verarbeiten, können Sie diese in einer sogenannten Negativauskunft darüber informieren. Als Beispiel dafür haben wir ein kleines Muster für Sie:

Sehr geehrte Frau Mustermann,

personenbezogene Daten zu Ihnen haben wir nicht gespeichert. Ausgenommen sind Ihre Daten, die Sie uns mit Ihrem Auskunftsersuchen mitgeteilt haben.

Hinweise zu unserem Datenschutz finden Sie unter www.beispielunternehmen.de/datenschutz.

Mit freundlichen Grüßen

Beispielunternehmen

Wichtig: Vergessen Sie nicht, die Auskunft intern zu dokumentieren, denn laut Art. 5 Abs. 2 DSGVO besteht eine Rechenschaftspflicht. Diese ergibt sich im Übrigen auch für Negativauskünfte.

Wie darf eine betroffene Person ihr Auskunftsrecht wahrnehmen?

Als Auskunftsersuchen gemäß Art. 15 DSGVO genügt bereits ein formloser Antrag ohne Begründung des Auskunftsanspruchs der betroffenen Person. Da Sie als Unternehmen sicherstellen müssen, dass unbefugte Dritte nicht an die Daten anderer Personen gelangen, sollten Sie den Antragsteller in jedem Fall eindeutig identifizieren können.

Gibt es Zweifel an der Identität der betroffenen Person, können Sie laut Art. 12 Abs. 6 Datenschutzgrundverordnung in Einzelfällen auch eine Kopie des Personalausweises verlangen. Zur Identifizierung genügen allerdings Name, Anschrift, Geburtsdatum und Gültigkeitsdauer. Alles andere kann von der betroffenen Person geschwärzt werden. Eine Speicherung der Ausweiskopie ist nicht erlaubt.

Wichtig: Bei der Weitergabe der personenbezogenen Daten ist Vorsicht geboten. Per Telefon ist es schwierig, die Identität der betroffenen Person zweifelsfrei festzustellen. Eine sichere Übermittlung der Auskunft gemäß Artikel 15 DSGVO sollten Sie daher lieber schriftlich oder per verschlüsselter E-Mail vornehmen.

Wann muss laut DSGVO die Auskunft über personenbezogene Daten erfolgen?

Verlangt eine betroffene Person gemäß Artikel 15 DSGVO Auskunft über seine personenbezogenen Daten, müssen Sie diese unverzüglich zur Verfügung stellen. Laut Art. 12 Abs. 3 Datenschutzgrundverordnung beträgt die Frist einen Monat nach Antragstellung.

In komplexen Fällen können Sie die Frist für die Auskunftserteilung auf zwei Monate verlängern. Sollte eine Verlängerung nötig sein, müssen Sie die betroffene Person innerhalb des ersten Monats der Bearbeitung ihrer Auskunft darüber informieren.

Muster für eine Datenauskunft nach DSGVO

Im Folgenden finden Sie ein Muster für eine Datenauskunft nach Art. 15 DSGVO. Dieses können Sie kostenlos downloaden, anpassen und für Ihr Unternehmen verwenden.

Jetzt Muster herunterladen

 

 

Gesetzestext des Art. 15 DSGVO

  1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
    1. die Verarbeitungszwecke;
    2. die Kategorien personenbezogener Daten, die verarbeitet werden;
    3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
    4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
    6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
    8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
  2. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
  3. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
  4. Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Zur Übersicht aller Artikel des DSGVO Gesetzestextes

 

Mehr Details zur Datenschutzgrundverordnung - DSGVO
Caroline Schmidt
Caroline Schmidt

Caroline Schmidt ist Online-Redakteurin und bei eRecht24 für Content und SEO zuständig. Als Legal Writer kümmert sie sich um die Aktualisierung bestehender Beiträge und bereitet sowohl alte als auch neue Texte verständlich auf. Nach ihrem Studium der Medienbildung konnte sie bereits erste redaktionelle Erfahrung in verschiedenen Rechtsgebieten z. B. Arbeits-, Verkehrs- und Familienrecht sammeln.

Rechtsanwalt Lev Lexow
Lev Lexow
Rechtsanwalt in der Kanzlei Siebert Lexow

Lev Lexow ist ein auf Datenschutz und Internetrecht spezialisierter Rechtsanwalt, Autor und Inhaber der Kanzlei Siebert Lexow. Im Zuge der DSGVO ließ sich Lev Lexow zum TÜV-zertifizierten Datenschutzberauftragten sowie Auditor ausbilden und vertieft seither seine Kenntnisse und Expertise im Datenschutzrecht. Als Head of Legal unterstützt und berät er eRecht24 in allen datenschutzrechtlichen Fragen und veröffentlicht regelmäßig praktische Ratgeber und Anleitungen für unsere Nutzer. Lev Lexow publizierte zudem eine Vielzahl an Kommentaren und Interviews und hält regelmäßig Webinare und Vorträge, insbesondere zum Dauerthema DSGVO.


Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Art. 76 DSGVO: Vertraulichkeit
Weiterlesen...
Art. 81 DSGVO: Aussetzung des Verfahrens
Weiterlesen...
Art. 69 DSGVO: Unabhängigkeit
Weiterlesen...
Art. 31 DSGVO: Zusammenarbeit mit der Aufsichtsbehörde
Weiterlesen...
Art. 98 DSGVO: Überprüfung anderer Rechtsake der Union zum Datenschutz
Weiterlesen...
Art. 51 DSGVO: Aufsichtsbehörde
Weiterlesen...
Art. 16 DSGVO: Recht auf Berichtigung
Weiterlesen...
Art. 85 DSGVO: Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
Weiterlesen...
Art. 78 DSGVO: Recht auf wirksamen Rechtsbehelf gegen eine Aufsichtsbehörde
Weiterlesen...
Art. 29 DSGVO: Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support