Zurück zur Übersicht
12.06.2022

Umfang einer Auskunft

Umfang der Auskunftserteilung nach Art. 15 DSGVO

Immer wieder beschweren sich betroffene Personen, die eine unvollständige Erteilung einer Auskunft nach Art. 15 DSGVO durch die Verantwortlichen monieren. Stellt eine betroffene Person ein Auskunftsersuchen an einen Verantwortlichen zu den sie betreffenden gespeicherten und verarbeiteten personenbezogenen Daten, muss der Verantwortliche innerhalb eines Monats nach Eingang des Antrags reagieren. Entweder erteilt er eine vollständige und richtige Auskunft oder legt der betroffenen Person die Gründe für die Verzögerung dar. Ist die Verzögerung begründet und erforderlich, hat der Verantwortliche insgesamt drei Monate Zeit für die vollständige und richtige Auskunftserteilung nach Eingang des Antrags.

Unvollständig ist die Auskunft des Verantwortlichen, wenn dieser nicht die konkreten personenbezogenen Daten benennt, sondern nur die Datenkategorien. In diesen Fällen wird den betroffenen Personen in der Regel mitgeteilt: „Wir haben von Ihnen Name/Vorname(n), Adresse, E-Mail-Adresse, Telefonnummer [, etc.] gespeichert.“ Mit diesen alleinigen Datenkategorien können die betroffenen Personen grundsätzlich nichts anfangen. Sie können z. B. ihr Recht auf Berichtung nicht geltend machen, weil sie durch diesen unvollständig erfüllten Auskunftsanspruch kein Wissen darüber erlangen, welche Daten konkret gespeichert sind und ob diese gegebenenfalls falsch sind. Zu den konkreten verarbeiteten personenbezogenen Daten sind die Datenkategorien zusätzlich zu benennen.

Ein weiteres Problem stellt die Auskunft über die Empfänger oder Kategorien von Empfängern dar, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen. Hier stellen sich einige Verantwortliche auf den Standpunkt, dass die Auskunft über die Kategorien von Empfängern ausreichend sei. Dieser Standpunkt ist nicht hinreichend differenziert und damit falsch. Die Auskunft über die Kategorien von Empfängern ist dann ausreichend, wenn die Offenlegung der personenbezogenen Daten in der Zukunft stattfinden soll. Wurden die personenbezogenen Daten bereits einem Dritten offenbart, ist dieser konkret zu benennen. Denn nur so kann die betroffene Person die ihr zustehenden Rechte, wie das Recht auf Auskunft, auf Löschung, auf Berichtigung etc. auch gegenüber dem Dritten wahrnehmen, der ebenfalls die personenbezogenen Daten der betroffenen Person verarbeitet.

Auf der anderen Seite gab es auch Fälle, in denen betroffene Personen behaupteten, dass mehr Daten gespeichert sein müssen als der Verantwortliche in seiner Auskunftserteilung angegeben hat. Dies wird beispielhaft häufig darauf zurückgeführt, dass durch die jeweiligen auskunftsbegehrenden Personen mitunter vor langer Zeit unterschiedlichste Unterlagen an den jeweiligen Verantwortlichen gesandt worden seien. Hierzu ist festzustellen, dass der Verantwortliche über alle Daten, die zur betroffenen Person zum Zeitpunkt des Auskunftsersuchens vorhanden sind, Auskunft erteilen muss. Er muss aber grundsätzlich keine Auskunft über personenbezogene Daten erteilen, die er in der Vergangenheit verarbeitet hat, über die er jedoch nicht mehr verfügt, weil diese im Rahmen eines Löschungskonzepts oder zulässig nach Art. 17 DSGVO gelöscht geworden sind, weil die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich war.

Quelle: LfDI M-V

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks