Die Datenschutz-Grundverordnung (DSGVO) gibt jedem Betroffenen das Recht, bei Unternehmen und daher Online-Händlern Auskunft über die zu seiner Person verarbeiteten Daten zu verlangen. Das Auskunftsrecht als zentrales Betroffenenrecht soll die bestmögliche Datenkontrolle gewährleisten. Welche Voraussetzungen für den Auskunftsanspruch vorliegen müssen, was genau zu beauskunften ist und wie du auf ein erhaltenes Auskunftsgesuch reagieren musst, zeigt dieser Beitrag.
I. Der Auskunftsanspruch nach Art. 15 DSGVO: Ziel und Anspruchsberechtigung
Art. 15 DSGVO regelt das Recht von betroffenen Personen, bei Verantwortlichen (d. h. datenverarbeitenden Stellen) Auskunft über die zu ihnen verarbeitenden Daten zu beantragen.
Dieses Auskunftsrecht wird als elementares Kontrollrecht und als Kern des Rechts auf informationelle Selbstbestimmung verstanden. Es soll der betroffenen Person problemlos und in angemessenen Abständen ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können.
Zur Geltendmachung von Auskünften berechtigt sind hierbei nur natürliche Einzelpersonen. Dies gilt unabhängig vom Wohnsitz der Person und unabhängig von deren Nationalität.
Juristischen Personen wie Körperschaften, Vereinen und Gesellschaften steht der datenschutzrechtliche Auskunftsanspruch dahingegen nicht zu.
Das Auskunftsverlangen ist weder form- noch fristgebunden, jede Antragsform ist denkbar. Ein Auskunftsverlangen muss vom Betroffenen auch nicht begründet werden.
II. Inhalt der Auskunft
Welchen Inhalt die zu erteilende Auskunft hat, hängt maßgeblich davon ab, ob du als Online-Händler Daten des Auskunftssuchenden tatsächlich verarbeitet oder gespeichert hast.
1.) Positivauskunft
In der Regel stellen betroffene Personen Auskunftsgesuche nur bei solchen Stellen, von denen sie wissen, dass diesen in der Vergangenheit personenbezogene Daten auch tatsächlich bereitgestellt wurden.
Im Online-Handel wird Auskunft meistens von Personen beantragt, die in der Vergangenheit zumindest eine Bestellung getätigt oder sonstwie mit dem Händler in Beziehung getreten sind (etwa über eine Kontaktanfrage oder die Anmeldung zu einem Newsletter).
Werden oder wurden zur auskunftssuchenden Person tatsächlich personenbezogene Daten verarbeitet, spricht man von der Pflicht zur Erteilung einer Positivauskunft.
Diese. muss sich in zwei Teile gliedern.
a) Teil 1 der Auskunft: Allgemeine Informationen über die Verarbeitung
Im ersten Teil der Auskunft müssen allgemeine Informationen über die Verarbeitung, ihre Zwecke, die Datenempfänger, die Datenherkunft und die Betroffenenrechte ergehen.
Konkret sind Angaben zu Folgendem zu machen:
- Zwecke der Verarbeitung
- Kategorien personenbezogener Daten, die verarbeitet werden (etwa: Allgemeine Personendaten, Kundenkontodaten, Bankdaten, Standortdaten etc.)
- Empfänger oder Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden (etwa: Zahlungsdienstleister, Bonitätsprüfer, Newsletter-Versanddienstleister, Versandunternehmen, Bestellabwicklungsdienstleister, Kundenmanagement-Dienstleister, Gutschein-Marketingdienstleister, Affiliate-Dienstleister)
- geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer
- Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung oder eines Widerspruchsrecht gegen diese Verarbeitung
- Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
- die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren
Zu beachten ist, dass dieser Teil der Auskunft weder die Offenlegung konkreter Daten noch die Benennung konkreter Dritter erfordert.
b) Teil 2 der Auskunft: Klardatenkopie
Werden in der Tat personenbezogene Daten des Auskunftssuchenden verarbeitet oder gespeichert, muss als zweiter Teil der Positivauskunft eine Kopie der Klardaten, die konkret verarbeitet werden, bereitgestellt werden.
Gemeint ist eine Aufstellung aller tatsächlichen personenbezogenen Daten, die zum Auskunftssuchenden vorhanden sind.
„Personenbezogene Daten“ sind hierbei denkbar weit zu verstehen. Erfasst sind auch alle
- persönlichen Schreiben, Stellungnahmen oder Beurteilungen, die im Zusammenhang mit der Person des Antragstellers stehen (BGH, Urteil v. 15.06.2021, Az. VI ZR 576/19) sowie
- Gesprächsvermerke und Telefonnotizen im Zusammenhang mit dem Auskunftssuchenden (OLG Köln, Urteil v. 26.07.2019, Az. 20 U 75/18)
Weil der zweite Teil der Auskunft Klardaten enthält, sollte er bei elektronischer Übermittlung an den Auskunftssuchenden besonders gesichert werden, etwa durch einen Passwortschutz der Datei.
2.) Negativauskunft
Vereinzelt kann es ebenfalls vorkommen, dass Auskunftsgesuche von Personen gestellt werden, zu denen mangels vorheriger Beziehung überhaupt keine personenbezogenen Daten vorliegen.
Tritt eine solche Situation ein, erreicht dich also ein Auskunftsantrag, obwohl du zum Auskunftssuchenden überhaupt keine Daten verarbeitest oder speicherst, darfst du keinesfalls untätig bleiben.
Vielmehr ist in diesem Fall eine sog. Negativauskunft zu erteilen, d.h. es ist dem Betroffenen mitzuteilen, dass dem Auskunftsverlangen aus tatsächlichen Gründen nicht nachgekommen werden kann, weil keinerlei ihm gehörige personenbezogene Daten verarbeitet werden.
Der Negativauskunft sollte unbedingt dennoch die Information beigefügt werden, dass dem Betroffenen das Recht zusteht,
- bei Vorliegen der gesetzlichen Voraussetzungen weitere Datenschutzrechte (Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch) geltend zu machen und
- Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen, wenn er der Auffassung ist, dass mit der Negativauskunft gegen Datenschutzrecht verstoßen wird
III. Form und Frist der Auskunft
Erhältst du als Online-Händler ein datenschutzrechtliches Auskunftsgesuch, existieren für die Reaktion (Positiv- oder Negativauskunft, s.o.) bestimmte Form- und Fristvorgaben.
Zum einen muss die Auskunft in präziser, transparenter, verständlicher, leicht zugänglicher Form und in einer klaren und einfachen Sprache erteilt werden, Art. 12 Abs. 1 DSGVO.
Die Informationen können schriftlich oder in elektronischer Form erteilt werden. Denkbar ist auch, einen Fernzugang zu einem sicheren System einzurichten, das der betroffenen Person Zugang zu ihren personenbezogenen Daten gewährt. Sofern die Identität der auskunftsersuchenden Person zweifelsfrei nachgewiesen wurde, kann die Information auch mündlich erteilt werden, sofern dies verlangt wird.
Allerdings gilt: Stellt der Betroffene den Antrag auf Auskunft auf elektronischem Wege, ist – sofern der Betroffene nicht ausdrücklich etwas anderes wünscht – auch die Auskunft auf elektronischem Weg zu erteilen, Art. 12 Abs. 3 Satz 4 DSGVO.
Meist erreichen Online-Händler Auskunftsgesuche per E-Mail, die sodann auch per E-Mail beantwortet werden können und sollten.
Die Auskunft ist fristgebunden. Sie muss innerhalb eines Monats nach Eingang des Antrags, Art. 12 Absatz 3 Satz 1 DSGVO. In komplexen Fällen kann diese Frist um zwei weitere Monate verlängert werden. Dies ist dem Betroffenen jedoch innerhalb eines Monats, unter Angaben von Gründen, mitzuteilen.
IV. Ausnahmen zur Auskunftspflicht (Auskunftsverweigerungsrechte)
Nicht jedes Auskunftsgesuch verpflichtet auch zum Tätigwerden. Insofern kennt die Datenschutzgrundverordnung verschiedene Umstände, die eine Auskunftsverweigerung rechtfertigen können.
1.) Der Betroffene ist nicht identifizierbar, Art. 12 Abs. 6 DSVGO
Es kann vorkommen, dass ein Betroffener in einem Auskunftsgesuch keine hinreichenden Daten zu seiner Person bereitstellt, die seine eindeutige Identifizierung ermöglichen.
In diesem Fall ist es gestattet, die Auskunft so lange zu verweigern, bis es möglich ist, die betroffene Person zu identifizieren.
Grundsätzlich ist der Betroffene nämlich verpflichtet, ausreichende Angaben zur Verfügung zu stellen, die eine Identifizierung zur Bearbeitung des Anliegens gewährleisten.
Über den Umstand der fehlenden Identifizierbarkeit muss der Betroffene allerdings mit der Bitte um Bereitstellung hinreichender Angaben wiederum unterrichtet werden.
2.) Exzessive Anträge, Art. 12 Abs. 5 DSVGO
Das Rech, die Auskunft zu verweigern, besteht ferner dann, wenn ein Betroffener ein exzessives Antragsverhalten an den Tag legt oder offenkundig unbegründete Anträge stellt.
Exzessiv ist ein Antrag gemäß Art. 12 Abs. 5 Satz 2 DSGVO dann, wenn er zu häufig wiederholt wird. Begründet wird die Exzessivität nur dann, wenn derselbe Antrag zu oft gestellt wird. Als exzessiv gilt mehr als eine Anfrage pro Quartal.
V. Kosten der Auskunft
Auskunftsanträge sind gemäß Art. 12 Abs. 5 DSGVO grundsätzlich kostenlos zu bearbeiten und zu beantworten.
Eine Ausnahme gilt allerdings für den Fall, dass neben der Klardatenkopie (Teil 2 der Positivauskunft, s.o.) weitere Kopien verlangt werden. Hier kann dem Auskunftssuchenden ein angemessenes Entgelt in Rechnung gestellt werden, Art. 15 Abs. 2 Satz 3 DSGVO.
Eine weitere Ausnahme sieht Art. 12 Abs. 5 Satz 2 lit. a DSGVO im Falle des Vorliegens exzessiver oder unbegründeter Anträge vor.
Anstatt die Erfüllung zu verweigern, kann der Auskunftspflichtige für sein Tätigwerden wahlweise ein angemessenes Entgelt verlangen. Entscheidet er sich anstatt des Untätigbleibens für die Entgeltlichkeit, kann er sein Tätigwerden von der vorherigen Begleichung des verlangten Entgeltes abhängig machen.
Der Entgeltanspruch ist auf die direkt zurechenbaren Kosten beschränkt und umfasst somit allein Verwaltungskosten für die Auskunftserteilung sowie Material- und Portokosten bzw. Personal- oder Maschinenkosten für den konkreten Antragslauf.
Allgemeine Personal- und Betriebskosten sind demgegenüber nicht ersatzfähig.
VI. Maßnahmenplan nach Erhalt eines Auskunftsgesuchs
Erhältst du ein Auskunftsgesuch, kann dir der folgende Maßnahmenplan dabei helfen, den Antrag richtig einzuordnen und form- und fristgerecht zu bearbeiten.
- Notiere dir das Datum des Zugangs des Auskunftsgesuchs und das Datum, bis zu dem du Auskunft erteilen musst (ein Monat nach Zugang). Erstelle idealerweise eine Erinnerung im Kalender.
- Notiere dir den Kommunikationsweg, auf dem dich das Auskunftsgesuch erreicht (postalisch oder elektronisch per E-Mail).
- Notiere dir den Kommunikationsweg, auf dem du Auskunft erteilen musst (stellt der Betroffene einen Wunsch, ist dieser zu befolgen. Stellt er keinen Wunsch, verwendest du das ursprüngliche Kommunikationsmittel).
- Beurteile anhand der im Gesuch bereitgestellten Daten, ob du den Betroffenen identifizieren kannst. Fehlen für einen Suchlauf in deinen Systemen Daten, frage diese beim Betroffenen innerhalb eines Monats nach Zugang des Gesuchs an.
- Sind alle für eine eindeutige Zuordnung notwendigen Daten des Betroffenen vorhanden, prüfe, ob du Daten zu seiner Person tatsächlich gespeichert hast oder nicht.
- Hast du Daten des Betroffenen gespeichert, erteile innerhalb eines Monats nach Zugang des Gesuchs Positivauskunft (Teil 1 – Allgemeine Verarbeitungsinformationen + Teil 2 – Klardatenkopie).
- Hast du keine Daten des Betroffenen gespeichert, erteile innerhalb eines Monats nach Zugang des Gesuchs Negativauskunft.
Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.
Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.