Aktuell fehlt es in vielen Unternehmen noch immer an einem definierten Prozess für Auskunftsersuchen von betroffenen Personen innerhalb einer vorgegebenen Frist.
Um in diesem Punkt sicher aufgestellt zu sein, sollte ein Unternehmen genaue Kenntnis darüber haben, wer die Anfragen stellen kann, über welche Kanäle (Post, Mail, Fax, Online) diese eingehen, wer für die Bearbeitung zuständig ist und wie die vollständige Bearbeitung des Auskunftsersuchens gemäß Art. 15 Abs. 1 lit. a bis h DSGVO sichergestellt und schlussendlich auch dokumentiert (Art. 5 Abs. 2 DSGVO) wird.
Denn welche Folgen eine nicht oder nicht rechtzeitig erteilte Auskunft haben kann, lesen Sie hier:
Wer ist betroffene Person?
Die DSGVO regelt, dass jeder EU-Bürger und jeder Bürger eines Drittlandes – der Waren in der EU von einem Unternehmen eines Drittlandes bezieht – Betroffener sein kann. Auch dann, wenn das Unternehmen keinen Sitz innerhalb der EU hat und gem. Art. 3 Abs. 2 DSGVO der räumliche Anwendungsbereich der DSGVO eröffnet ist (Marktortprinzip). Somit können einem Betroffenen aus dem Drittland innerhalb der EU mehr Rechte zustehen, als er diese in seinem Heimatland hätte.
Worauf erstreckt sich ein Auskunftsanspruch?
Der Auskunftsanspruch erstreckt sich auf sämtliche zu der betroffenen Person gespeicherten personenbezogenen Daten gem. Art. 4 Nr. 1 DSGVO. Hierzu zählen auch Metadaten nach Art. 15 Abs. 1 S. 1 DSGVO.
Früher bereits erteilte Auskünfte berechtigen dabei nicht zu einer Verweigerung des Anspruchs auf Auskunft, da sich die Daten zwischenzeitlich geändert haben könnten. Auch ist die Auskunft nicht auf eine einmalige Beantwortung beschränkt.
Gibt es Fristen für die Bearbeitung eines Auskunftsersuchens?
Art. 12 Abs. 3 und 4 der DSGVO regelt das Beantwortungsgebot. Dies gilt sowohl für Positiv- als auch Negativantworten. Grundsätzlich ist unverzüglich zu handeln. D.h. eine Information an den Betroffenen und die Erfüllung seines Ersuchens (z.B. Löschung) hat unverzüglich zu erfolgen. Der Zeitraum, den der Verantwortliche dafür höchstens benötigen darf, beträgt einen Monat ab Antragseingang. Im Falle einer Positivantwort darf der Verantwortliche gem. Art. 12 Abs. 3 S. 2 DSGVO die Auskunftsfrist um weitere zwei Monate verlängern. Die Gründe hierfür sind jedoch restriktiv auszulegen.
Wie steht es um den Schadensersatz bei Fristversäumnis?
Verzug ohne Mahnung gem. § 286 BGB i.V.m. Art. 12 Abs. 3 S. 1 DSGVO tritt immer dann ein, wenn die Monatsfrist versäumt wird. In diesem Fall kann sich der Betroffene nach Ablauf der Frist einen Anwalt zur vorgerichtlichen Geltendmachung des Auskunftsanspruches nehmen und die hierfür anfallenden Kosten als Verzugsschaden gem. § 280 i.V.m. § 286, 288 Abs. 4 BGB geltend machen. Anwaltskosten sind dann Mehrkosten, die durch den Verzug verursacht wurden und gem. § 249 BGB zu ersetzen sind. 5.000 EUR wurden vom LG München I als Streitwert für die vorgerichtliche Tätigkeit eines Anwaltes festgelegt, unabhängig von den möglichen datenschutzrechtlichen Folgen bei einer Beschwerde an die Aufsichtsbehörde.
Leider gibt es immer wieder Personen, die ganz bewusst z.B. Newsletter pro forma bei einer Vielzahl von Unternehmen abonnieren, um dann an eben diese Firmen Auskunftsersuchen zu stellen. Ihr Ziel ist es, z.B. bei Untätigkeit eines Unternehmens, Ansprüche mit Hilfe eines Anwaltes geltend zu machen.
Ein funktionierender Prozess im eigenen Unternehmen, der sicherstellt, dass eingehende Auskunftsersuchen termingerecht bearbeitet werden, ist daher essentiell wichtig.