DSGVO Auskunftsersuchen beantworten - Generator / Muster


Erstellt ein Muster für eine Antwort auf Auskunftsverlangen mit Recht auf Kopie gemäß Art. 15 DS-GVO. Wir speichern Ihre im Formular eingetragenen Daten nicht! Sie werden aber zum Zwecke der Erstellung der Vorlage von uns verarbeitet. Es gilt unsere Datenschutzerklärung.

1. Haben Sie Daten von der zu beauskunftenden Person in Ihren Datenbanken gefunden?



Nutzungsbedingungen und Haftungsausschluss

Der Anbieter übernimmt keine Gewähr dafür, dass die vom Nutzer angeforderten Vorlagen und/oder sonstigen Inhalte für den konkreten Verwendungsfall des Nutzers geeignet, vollständig und interessengerecht sind. Im Übrigen übernimmt der Anbieter keine Gewähr für die Aktualität der vom Nutzer angeforderten Vorlagen und Inhalte.

Der Anbieter weist ausdrücklich darauf hin, dass Mustervorlagen stets nur Anhaltspunkte für eine optimale Gestaltung im konkreten Verwendungsfall bieten können, grundsätzlich aber nicht unbedacht übernommen werden können. Die Verwendung eines Musters ersetzt keinesfalls fachkundige Rechtsberatung, die bei Fällen nicht untergeordneter Bedeutung stets dringend zu empfehlen ist. Unterlässt der Nutzer die Einholung ergänzenden fachlichen anwaltlichen Rates, so ist eine Haftung von dem Anbieter ausgeschlossen.

Der Anbieter weist ausdrücklich darauf hin, dass die mit dem Generator erstellten Muster allgemeiner Natur sind und ihre Anwendbarkeit auf den Einzelfall von dem Anbieter nicht garantiert werden kann und nicht garantiert wird. Die Muster sind generelle, vorformulierte Rechtsausführungen; sie dienen der Orientierung, nicht der Rechtsberatung. Hierfür hat der Nutzer im Einzelfall einen Rechtsanwalt zu beauftragen.




DSGVO Auskunftsrechte und wie man diese beantwortet

Nicht nur seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in sämtlichen Medien präsent. Die elektronischen Briefkästen sind voll mit Mails, die um die Akzeptanz der Datenschutzrichtlinien diverser Unternehmen bitten, jede Website, die aufgerufen wird, hat sofort einen Störer parat, der die Richtlinien präsentiert.
Wie Auskunftsrechte korrekt beantwortet werden, ist Thema dieses Artikels.

Die Personen, die die DSGVO kennt

Vor der korrekten Antwort auf einen Auskunftsantrag steht die Kenntnis der handelnden Personen, wie sie in der DSGVO definiert sind:
  • Der Verantwortliche: hat für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten zu sorgen und muss die Wahrnehmung dieser Verantwortung auch nachweisen. Es ist damit auch die Person gemeint, die für die Auskunftserteilung zuständig ist. Es kann sich dabei um eine natürliche oder juristische Person, Behörde oder sonstige Einrichtung handeln.

  • Der Auftragsverarbeiter: ist jene natürliche oder juristische Person, die auf Auftrag des Verantwortlichen, die personenbezogenen Daten verarbeitet (Art. 4, Abs. 8 DSGVO).

  • Der Datenschutzbeauftragte: erhält mit dem Art. 39 Abs. 1 DSVGO nun eine grundsätzliche Erweiterung seines Aufgabengebietes. Neben der Verantwortung, den Datenschutz einzuhalten, ist nun auch die Überwachung der datenschutzrechtlichen Vorschriften und deren Einhaltung hinzugekommen.



Die gesetzlichen Regelungen der Auskunftsrechte

Alle Regelungen finden sich in dem EU-Gesetz zur Datenschutz-Grundverordnung (DSGVO) in der geltenden Fassung. Im Kapitel 3, Art. 15, DSGVO ist auch das Auskunftsrecht der „betroffenen Person“ geregelt. Demnach hat jede betroffene Person, das Recht auf eine Bestätigung ob (die Person betreffende) Daten gespeichert und verarbeitet werden und wenn ja, so steht der Person das Recht auf detaillierte Informationen zu. Neu ist, dass in der Datenschutz-Grundverordnung nicht nur die Speicherung der Daten, sondern nun auch die Art der Verarbeitung dem Auskunftsrecht unterliegen:

  • zu welchem Zweck die Daten verarbeitet werden
  • welche Verarbeitungstätigkeiten nach DSGVO vorliegen
  • wie lange die Daten gespeichert werden sollen, oder die Kriterien für die Festlegung der Dauer der Speicherung
  • Bestätigung des Rechts der Einschränkung der Verarbeitung, der Berichtigung und der Löschung der Daten, auf Wunsch der betroffenen Person
  • Nennung der Aufsichtsbehörde, bei der die betroffene Person Beschwerde einlegen kann
  • Information über die Herkunft der gespeicherten Daten
  • Falls mit den Daten Entscheidungsfindungen unterstützt oder Profile (Art. 22, Abs 1 und 4, DSGVO) erstellt werden, dann hat die betroffene Person das Recht darauf zu erfahren, welche Logik dahintersteht und welche Auswirkungen diese Verarbeitung auf die betroffene Person haben kann
  • In welchen Kategorien die Daten der betroffenen Person gespeichert und verarbeitet werden


Vor allem wenn Daten an Drittländer übermittelt werden, haben die betroffenen Personen zusätzlich das Recht über die Garantien und vereinbarten Datenschutzklauseln oder verbindliche Datenschutzvorschriften informiert zu werden (Art. 46, DSGVO).

Was sind „personenbezogene Daten“ laut DSGVO

Der Begriff „personenbezogene Daten“ wird sehr oft gebraucht, aber eher selten definiert. Vorerst ist der Begriff nicht nur in der DSGVO verankert, sondern auch im Bundesdatenschutzgesetz und trifft nur auf natürliche Personen zu. Es sind damit alle Daten im Allgemeinen gemeint, die Rückschlüsse auf die Person und Persönlichkeit, die dahintersteht, zulassen, also mit diesen Daten identifiziert werden kann. Das können sein: Namen, Nummern, Standortdaten oder auch Kennungen im Netz, die zur Erkennung besonderer Merkmale herangezogen werden können. Alle Daten, die somit geeignet sind, die Identitäten der betroffenen Person in Bezug auf die Physis, die Genetik, die psychischen Dispositionen, die wirtschaftlichen, kulturellen und sozialen Zugehörigkeiten, zu identifizieren.
Anonymisierte Daten fallen nicht unter die Bestimmungen der Datenschutz-Grundverordnung.

Die Kategorien der Datenschutz-Grundverordnung

In der DSGVO werden die erhobenen und gespeicherten Daten in sogenannten Kategorien zusammengefasst. Neben den „generellen“ Daten, sind es die folgenden Kategorien, die mit besonderem Schutz hinsichtlich Speicherung und Verarbeitung ausgestattet sind:

  • Merkmale der Rasse und ethnischen Herkunft
  • mögliche politische Tendenzen (Meinungen)
  • Überzeugungen der religiösen oder weltanschaulichen Art
  • Zugehörigkeit zu oder Arbeit für Arbeitnehmerschutz-Organisationen (Gewerkschaften u.ä.)
  • Daten über die genetische Prädisposition
  • Daten über Gesundheitszustand, Erkrankungen und andere körperlich-geistige Merkmale
  • Alle Daten, die die sexuelle Orientierung und das Sexualleben betreffen



Praktische Umsetzung des Auskunftsrechts und der Verarbeitungstätigkeiten nach DSGVO

Der Großteil der Unternehmen hat in den vergangenen Monaten mit Hochdruck daran gearbeitet, die Auskunftsprozesse zu gestalten und zu implementieren. Dabei geht es vorrangig um die Definition der – schon oben beschriebenen - inhaltlichen Anforderungen an DSGVO, die teilweise Hand in Hand mit den Bestimmungen des aktuellen Datenrechts nach § 34 BDSG gehen.
Im Art. 12, Abs 1, DSGVO sind die Möglichkeiten der Übermittlung der gewünschten Information mit schriftlich oder auf elektronischem Wege standardisiert. Die mündliche Übermittlung ist ebenfalls möglich, allerdings an den Identitätsnachweis der betroffenen Person gebunden.
Der Art. 12 definiert nicht nur die sachliche Art der Übermittlung, sondern auch die inhaltliche Form, die sich einer einfachen und klaren Sprache bedienen soll, die auch Kinder verstehen, wenn es sich um sie betreffende Informationen geht. Der Verantwortliche für die Auskunftserteilung hat alle Anstrengungen zu unternehmen, dass den betroffenen Personen, die Ausübung ihrer Rechte erleichtert wird.
Die angeforderten Daten oder erforderlichen Verarbeitungstätigkeiten nach DSGVO (Berichtigung, Löschung) müssen vom Verantwortlichen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags der betroffenen Person zur Verfügung gestellt werden. Gegebenenfalls sind die Gründe für eine eventuelle Fristüberschreitung, der betroffenen Person mitzuteilen, ebenso wie die Möglichkeit einer Beschwerde bei einer Aufsichtsbehörde.

Strukturierter Prozess für das Auskunftsverlangen im Unternehmen

Damit den Erfordernissen der Datenschutz-Grundverordnung Rechnung getragen wird, empfiehlt sich die Definition und Beschreibung verbindlicher Prozess-Schritte, sowie deren Verankerung in der internen Unternehmensorganisation. In den meisten Fällen wird der Datenschutzbeauftragte des Unternehmens auch verantwortlich für die korrekte Abwicklung des Auskunftsverlangens sein.
Als Prozessunterstützung können geeignete Systeme auf elektronischer Basis dienen, wie sie in Call- oder Support-Centern zum Einsatz kommen. Damit können Dauer und Qualität gut überwacht werden. Gleichzeitig ist so ein System auch als Nachweis der Auskunftserbringung geeignet.


1. Nach Eingang des Auskunftsverlangens wird in einem ersten Schritt festzustellen und zu prüfen sein, ob es sich um ein Verlangen nach den Bestimmungen der DSGVO und im Sinne des Datenschutzrechtes handelt.


2. Die Erfassung im Dokumentationssystem.


3. Der Antragsteller erhält eine Eingangsbestätigung und weiß damit, dass seine Anfrage behandelt wird und in welchem Zeitrahmen mit der Erledigung zu rechnen ist.


4. Die Überprüfung der Identität des Antragsstellers ist ein sensibler, aber immens wichtiger Prozessschritt. Es sind also Verfahren zu definieren, mit denen zweifelsfrei die Identität der Person, die Auskunft erlangen will, bestätigt wird.


5. Prüfung ob und welche personenbezogenen Verarbeitungstätigkeiten nach DSGVO vorliegen. Dieser Schritt kann sehr aufwändig sein, wenn nicht bereits im Vorfeld entsprechende Maßnahmen getroffen wurden. Dies beginnt vor allem bei der Pflege und Wartung bestehender oder neuer Kundendatenbanken, CRM-Systeme und geht bis zur Analyse einfacher Newsletter Systeme.


6. Falls sich herausstellt, dass keine Daten gespeichert oder vorhanden sind, dann hat der Antragsteller das Recht auf eine sogenannte Negativ-Mitteilung, die besagt, dass keine personenbezogenen Daten gespeichert sind.


7. Bei Vorhandensein von Daten sind diese für den Antragsteller präzise und transparent aufzubereiten, in verständlicher Form und klarer Sprache zur Verfügung zu stellen. Dafür sieht die Verordnung einen Zeitrahmen von 2-3 Wochen vor. Nur in dem Fall, dass der Antrag elektronisch gestellt wurde, können die Informationen ebenfalls in einem gängigen elektronischen Format bereitgestellt werden.

Rechte der Berichtigung und Löschung personenbezogener Daten

Die Datenschutz-Grundverordnung definiert das Auskunftsrecht als primäres Betroffenenrecht. Daneben gibt es noch die Rechte auch darüber Auskunft zu erlangen, welche Verarbeitungstätigkeiten außer der Speicherung noch möglich sind. Das betrifft vor allem auch die Löschung und Berichtigung von personenbezogenen Daten. Für diese Art von Anträgen ist es empfehlenswert ebenfalls entsprechende Prozesse zu definieren und zu verankern. Dies trifft vor allem zu bei:

  • unverzügliche Berichtigung falscher oder unrichtiger personenbezogener Daten
  • ebenso unverzügliche Ergänzung oder Vervollständigung personenbezogener Daten
  • unverzügliche Löschung personenbezogener Daten, bei diesen Voraussetzungen:
    • die Daten sind für den ursprünglich beabsichtigten Zweck (Speicherung, Verarbeitung) nicht mehr erforderlich
    • Widerruf der Bewilligung der Verarbeitung durch die betroffene Person
    • Widerspruch gegen die Verarbeitung personenbezogener Daten
    • die Verarbeitung der Daten ist unrechtmäßig erfolgt
    • Löschung der Daten, weil es nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten
    • erforderlich ist
    • gespeicherte Daten von Kindern, wenn die Speicherung und Verarbeitung vor der Vollendung des 16. Lebensjahres durch einen Dienst der Informationsgesellschaft durchgeführt wurde.


Die Löschung hat auch unter Berücksichtigung aller verbundenen Daten und Datendienste zu erfolgen. Eine entsprechende Mitteilung über den Verlust der Wirksamkeit von Links und Verknüpfungen an die Verantwortlichen der verbundenen Systeme ist erforderlich.

Wer trägt die Kosten für die Auskunftserteilung

Grundsätzlich sind diese Daten und Auskünfte der betroffenen Person kostenlos zur Verfügung zu stellen. Werden weitere Kopien zur Verfügung gestellt, kann dies dem Antragsteller verrechnet werden, ebenso wie der Aufwand, wenn mehrfach unbegründete oder exzessive Anträge gestellt werden. In diesen Fällen kann die Auskunft verweigert oder nur gegen entsprechendes Entgelt zur Verfügung gestellt werden.
Allerdings hat der Verantwortliche den Nachweis dafür zu erbringen, dass die Anfrage ausnahmsweise als unbegründet einzustufen ist, und die Gründe für die Ablehnung der betroffenen Person nachweislich zur Kenntnis zu bringen.

Kennt das Auskunftsrecht Ausnahmen

Der Verantwortliche kann – wie oben beschrieben – die Auskunft verweigern, wenn der Verdacht vorliegt, dass es sich um einen unbegründeten Antrag handelt oder von diesem Recht offensichtlich exzessiv Gebrauch gemacht wird.
Es kann die Auskunft vorerst auch verweigert werden, wenn das Ansuchen unpräzise und unklar gestellt wurde, es also für den Verantwortlichen unklar ist, auf welche Informationen und Verarbeitungstätigkeiten sich diese Anfrage bezieht.
Falls mit der Auskunft auch die Rechte und Freiheiten anderer Personen berührt werden, kann von einer Auskunft ebenfalls ausnahmsweise abgesehen werden.
Es ist auch möglich, dass das Auskunftsrecht durch den nationalen Gesetzgeber eingeschränkt wird.




Kommentar schreiben

10 - A, cht =
Ja, ich habe die Datenschutzerklärung gelesen.
* Pflichtfeld

Bisherige Kommentare (0)

(Keine Kommentare vorhanden)
Datenschutz Vorlagen

Alle 18 Datenschutz-Vorlagen zum vergünstigen Gesamtpaket!

DSGVO - Checkliste / Überblick
Verschwiegenheit
Unternehmensrichtlinien
T.O.M. – technische und organisatorische Maßnahmen

Jetzt über 60% günstiger als Einzelkauf!



Datenschutzerklärung Generator

Datenschutzerklärung für Ihre Website kostenlos erstellen:

Analytics-Dienste
Online-Marketingdienste
Vertragsabwicklung
Kontaktaufnahme u.v.m.



Impressums-Generator
Impressum GeneratorDer Impressumsgenerator mit 100.000+ bisher generierten Impressen wurde entwickelt von Rechtsanwalt Sebastian Einbock

Datenschutzbeauftragter Check

Prüfen Sie ob Sie einen Datenschutzbeauftragten bestellen müssen!


© 2003-2018 JuraForum.de — Alle Rechte vorbehalten. Keine Vervielfältigung, Verbreitung oder Nutzung für kommerzielle Zwecke.