DSGVO Auskunftsrecht: Wie Unternehmen ihrer Auskunftspflicht richtig nachkommen
15.000 Zwangsgeld wegen unzureichender Auskunft
In dem Verfahren vor dem Amtsgericht Wertheim hatte ein Betroffener eine Unternehmerin verklagt, ihm Auskunft über die personenbezogenen Daten zu erteilen, die sie über ihn gespeichert hatte. Zunächst erging ein Anerkenntnisurteil und die Beklagte wurde verurteilt, dem Kläger die gewünschten Informationen gemäß Artikel 15 Abs. 1 DSGVO mitzuteilen.
Auskunftsrecht gemäß DSGVO
Das Auskunftsrecht der betroffenen Person ist in Artikel 15 DSGVO geregelt. Demnach hat eine betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall hat sie ein Recht auf Auskunft über diese personenbezogenen Daten.
Dieser Pflicht ist die beklagte Unternehmerin jedoch nicht vollständig nachgekommen. Laut Ansicht des Gerichts hatte sie vor allem die Auskunft gemäß Art. 15 Abs. 1 g) DSGVO nicht vollständig erteilt. Dieser betrifft Daten, die nicht bei der betroffenen Person selbst erhoben werden, sondern von Dritten (beispielsweise anderen Unternehmen) stammen.
Dabei bemängelte das Gericht konkret, dass
- die Beklagte die Auskunft darüber, woher die Daten des Betroffenen stammen, mit „z. B. Firma U. P. GmbH“ erteilte. Laut Gericht ist diese Auskunft zu vage. Der Betroffene wisse dadurch nicht, ob die Daten wirklich von diesem Unternehmen übermittelt wurden.
- die Beklagte die Frage, welche konkreten personenbezogenen Daten sie gespeichert bzw. verarbeitet hat, mit Angaben wie „Name“ oder „Geburtsdatum“ beantwortete, jedoch nicht mitteilte, welcher Name und welches Geburtsdatum.
- die Beklagte nicht mitteilte, wann und mit welchem Inhalt ihr personenbezogene Daten übermittelt wurden.
Wegen dieser Versäumnisse verhängte das Gericht gegen die Unternehmerin ein Zwangsgeld in Höhe von 15.000 Euro (AG Wertheim, Beschluss vom 12.12.2019, Az: 1 C 66/19).
Was ist ein Zwangsgeld?
Ein Zwangsgeld ist ein Ordnungsmittel für Gerichte oder Behörden, um bestimmte Pflichten durchzusetzen, also jemandem zu einem Verhalten zu zwingen. Voraussetzung ist dabei, dass die Erfüllung der Pflicht allein vom Willen des Verpflichteten abhängt und kein anderer die Pflicht für ihn erfüllen kann. Ein Beispiel dafür ist wie in diesem Fall die Erfüllung der Auskunftspflicht gemäß DSGVO.
Zwar hat das Urteil des Amtsgerichts Wertheim keine Allgemeingültigkeit. Es gibt jedoch eine Richtung vor, welche Anforderungen Gerichte an die Auskunftserteilung gemäß DSGVO stellen.
DSGVO Auskunftsrecht: Was Unternehmen tun müssen
Wenn also ein Betroffener (zum Beispiel ein Kunde) Auskunft über seine gespeicherten Daten gemäß DSGVO fordert, sollten Sie Ihrer Auskunftspflicht unbedingt gewissenhaft und vollständig nachkommen. Das müssen Sie dabei beachten:
- Betroffene haben ein Recht auf die Auskunft über ihre personenbezogenen Daten. Als personenbezogene Daten gelten die Daten, anhand derer eine Person identifizierbar ist (zum Beispiel Name, E-Mail-Adresse oder IP-Adresse).
- Wenn Sie zur Auskunft aufgefordert werden, müssen Sie diese unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags erteilen (Art. 12 Abs. 3 DSGVO). Diese Frist kann in komplexen Fällen um zwei Monate verlängert werden, darüber ist die betroffene Person aber unter Angabe der Gründe innerhalb eines Monats nach Eingang ihres Antrags zu informieren.
- Sie müssen in der Auskunft alle personenbezogenen Daten detailliert aufführen, die Sie über den Betroffenen gespeichert haben. Die Auskunft muss in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer, einfacher Sprache erfolgen.
- Darüber hinaus müssen Sie dem Betroffenen diese in Artikel 15 DSGVO aufgezählten Informationen mitteilen:
- Zweck der Datenverarbeitung (Warum wurden die Daten gespeichert?)
- Kategorien personenbezogener Daten (zum Beispiel: „Kunden“, „Mitarbeiter“)
- Empfänger bzw. Kategorien der Empfänger, die die Daten erhalten haben oder noch erhalten werden
- Falls möglich die geplante Speicherdauer, anderenfalls die Kriterien für die Speicherdauer
- Hinweis auf die Rechte zur Berichtigung und Löschung der Daten oder Einschränkung der Datenverarbeitung
- Hinweis zum Widerspruchsrecht gegen die Datenverarbeitung
- Hinweis auf das Beschwerderecht des Betroffenen bei der Aufsichtsbehörde
- Herkunft der Daten, wenn Sie diese nicht direkt selbst bei der betroffenen Person erhoben haben
- Auskunft darüber, ob eine automatisierte Entscheidungsfindung einschließlich Profiling angewendet wird, Informationen über die dabei angewendete Logik und die Auswirkungen, die diese auf die betroffene Person hat
- Die Auskunft können Sie schriftlich, elektronisch (in einem gängigen elektronischen Format, z. B. als PDF) oder, wenn die Person das wünscht, auch mündlich erteilen (dann muss jedoch die Identität der Person überprüft werden). Gemäß Erwägungsgrund 63 zur DGVO sollten Verantwortliche nach Möglichkeit den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.
- Sie müssen der betroffenen Person eine Kopie der personenbezogenen Daten kostenlos zur Verfügung stellen. Wenn die betroffene Person weitere Kopien verlangt, dürfen Sie ihr dafür angemessene Kosten in Rechnung stellen.
- Ihr Recht auf Auskunftserteilung dürfen Betroffene in angemessenen Abständen wahrnehmen. Wenn eine Person unangemessen oft und unbegründet Anträge stellt, dürfen Sie dafür ein angemessenes Entgelt verlangen oder die Auskunft verweigern. In letzterem Fall müssen Sie aber den Nachweis dafür bringen, dass der Antrag unangemessen war und die betroffene Person über die Gründe für die Auskunftsverweigerung informieren.
- Wenn Sie zu der betroffenen Person eine große Menge an Informationen verarbeiten, dürfen Sie verlangen, dass die Person ihre Anfrage präzisiert und Ihnen mitteilt, auf welche Information oder welche Vorgänge sich die Anfrage bezieht.
Tipp:
Bereiten Sie sich für den Fall eines Auskunftsersuchens vor. Überlegen Sie sich einen Prozess, wie Sie in dem Fall vorgehen und wie Sie die gewünschten Informationen zur Verfügung stellen. So können Sie im Fall einer Anfrage schneller reagieren.
OLG Köln: Auskunft umfasst auch Notizen und Schriftverkehr
Auch das Oberlandesgericht Köln hat in einer Entscheidung hohe Anforderungen an die Auskunftspflicht von Unternehmen gestellt. In dem Verfahren verlangte der Kläger von der Beklagten, bei der er zwei Lebensversicherungsverträge abgeschlossen hatte, Auskunft über seine personenbezogenen Daten. Mit der von der Beklagten erteilten Auskunft war der Kläger nicht zufrieden, weil er auch interne Vermerke und den kompletten Schriftverkehr in Kopie verlangte.
Das Landgericht Köln hatte dazu noch entschieden, dass aus Artikel 15 DSGVO kein allumfassender Anspruch auf Auskunft abzuleiten ist und interne Vermerke und Schriftverkehr nicht zum Auskunftsanspruch des Klägers gehören. Gegen die Entscheidung legte der Kläger Berufung ein. Das OLG Köln gab der Berufung statt und verurteilte die Versicherung dazu, Auskunft zu sämtlichen Daten des Klägers, insbesondere auch zu Gesprächsnotizen und Telefonvermerken aus seiner Akte, zu erteilen.
Das Argument der Versicherung, dass sie bei einer solch weit gefassten Auskunftspflicht Geschäftsgeheimnisse verletzen könnte, ließ das Gericht nicht gelten. Ebenso wenig, dass die Versicherung aus finanziellen Gründen einem solchen Auskunftsanspruch nicht nachkommen kann.
Auch wenn Gerichte den Umfang der Auskunftspflicht zukünftig vielleicht anders beurteilen, sollten Unternehmen bis es eine einheitliche Rechtsprechung oder Klarstellung durch den Gesetzgeber gibt, sämtliche Daten inklusive Vermerke, Notizen und Schriftverkehr, gesammelt und vertraulich abspeichern.
Bei DSGVO Verstößen bestens abgesichert
Die Risiken, die aktuell aus der unklaren rechtlichen Situation entstehen, müssen Sie als Selbständiger oder Freiberufler jedoch nicht alleine tragen. Sie können Ihr Business bei einem ungewollten DSGVO Verstoß absichern! Mit einer Berufshaftpflicht über exali.de. Wenn Sie eine Abmahnung wegen eines Datenschutzverstoßes erhalten, prüft der Versicherer auf eigene Kosten, ob die Forderung berechtigt ist und bezahlt die berechtigte Schadenersatzforderung. Wenn jemand anderer (beispielsweise Ihr Kunde) wegen Ihres Versäumnisses ein Bußgeld erhält und dieses in Form von Schadenersatz von Ihnen zurückverlangt, ist dies ebenfalls abgesichert.
Hinweis zu eigenen Bußgeldern:
Wenn ein Gericht oder eine Datenschutzbehörde ein Bußgeld wegen eines DSGVO-Verstoßes gegen Sie verhängt, sind Sie ebenfalls versichert (solange dies nach geltendem Recht möglich ist).