Wie man eine Auskunftsanfrage richtig beantwortet

Du hast eine Auskunftsanfrage gemäß DSGVO erhalten und weißt nicht, wie Du sie richtig bearbeiten sollst. Das Nichtbeantworten oder falsche Beantworten einer Anfrage kann schwerwiegende Konsequenzen haben und Sein Unternehmen in Schwierigkeiten bringen. In diesem Artikel werden wir dir zeigen, wie Du eine Auskunftsanfrage richtig beantwortest und welche Informationen Du bereitstellen musst.

Einführung

Auskunftsanfragen (oder auch Auskunftsbegehren) gemäß der Datenschutzgrundverordnung (DSGVO) sind ein wichtiger Aspekt des Datenschutzes. Die zugrundeliegende Auskunftspflicht des Verantwortlichen hilft dabei, die Rechte von betroffenen Personen (hier das Auskunftsrecht) zu schützen. Wenn eine Person das Gefühl hat, dass ihre personenbezogenen Daten missbraucht oder falsch verwendet werden, kann sie eine Auskunftsanfrage stellen, um zu erfahren, welche Daten über sie gespeichert sind und wie sie verwendet werden.

Die Informationspflicht bzw. das Recht auf Auskunft sind in der DSGVO (im Abschnitt 2) behandelt.

Was ist eine Auskunftsanfrage?

Eine Auskunftsanfrage ist eine Anfrage einer Person an einen Website-Betreiber, ein Unternehmen oder eine Organisation, um zu erfahren, welche personenbezogenen Daten über sie gespeichert sind. Gemäß der Datenschutz-Grundverordnung (DSGVO) haben Personen das Recht, Auskunft über ihre personenbezogenen Daten zu erhalten.

Eine Auskunftsanfrage kann formlos gestellt werden:

per Post,
per E-Mail,
per Online-Formular,
sogar mündlich. (Bei mündlichen Antragstellungen per Telefon werden jedoch wahrscheinlich Zweifel an der Identität bestehen)

In der Regel stellen Personen eine Auskunftsanfrage, um ihre eigenen personenbezogenen Daten zu überprüfen, zu korrigieren oder zu löschen. Die DSGVO gibt den betroffenen Personen das Recht, in bestimmten Fällen die Verarbeitung ihrer personenbezogenen Daten zu beschränken oder zu widersprechen.

Website-Betreiber, Unternehmen und Organisationen sind verpflichtet, innerhalb einer bestimmten Frist, auf eine Auskunftsanfrage zu antworten.

Welche Informationen müssen bereitgestellt werden?

Gemäß der DSGVO muss man auf Auskunftsanfragen innerhalb eines Monats reagieren und alle personenbezogenen Daten bereitstellen, die über die betroffene Person gespeichert sind. Hierzu gehören insbesondere:

Kontaktdaten: Name, Anschrift, E-Mail-Adresse, Telefonnummer
Auftragsdaten: Informationen über den Vertragspartner, z.B. Name, Anschrift, Kontaktdaten, Auftragsnummer, Art des Vertrags, Dauer des Vertragsverhältnisses
Vertragsdaten: Informationen über den Vertragsinhalt, z.B. Leistungsbeschreibung, Vertragsbedingungen, Zahlungsbedingungen, Zahlungsverlauf
Zahlungsdaten: Informationen über Zahlungen, z.B. Zahlungsmethode, Zahlungsdatum, Betrag, Bankverbindung
Gesetzlich erforderliche Daten: Informationen, die gesetzlich vorgeschrieben sind, wie z.B. Steuernummern, Versicherungsnummern, Sozialversicherungsnummern

Es ist wichtig, dass alle Daten vollständig und korrekt sind, um die betroffene Person angemessen zu informieren. Natürlich musst Du nur personenbezogene Daten bereitstellen, die Du tatsächlich gespeichert hast. Keinesfalls musst Du, Daten sammeln oder speichern, die für Dich bzw. Deine Geschäftsabläufe nicht relevant sind.

Darüber hinaus solltest Du darauf achten, dass Du keine personenbezogenen Daten Dritter bereitstellst, die nicht mit der betroffenen Person in Zusammenhang stehen. Wenn eine Auskunftsanfrage Informationen enthält, die auch die personenbezogenen Daten Dritter betreffen, solltest Du die betroffenen Dritten informieren und deren Einwilligung zur Weitergabe ihrer Daten einholen.

Insgesamt solltest Du immer sorgfältig prüfen, welche personenbezogenen Daten Du über eine betroffene Person speicherst und welche Daten im Rahmen einer Auskunftsanfrage bereitzustellen sind.

Wie bearbeitet man eine Auskunftsanfrage?

Wenn Du eine Auskunftsanfrage erhältst, solltest Du diese so schnell wie möglich bearbeiten. Die DSGVO gibt eine Frist von einem Monat, um eine Anfrage zu beantworten. In einigen Fällen kann die Frist um weitere zwei Monate verlängert werden (wenn die Anfrage komplex ist oder das Unternehmen viele Anfragen bearbeiten muss).

Um eine Auskunftsanfrage richtig zu bearbeiten, solltest Du folgende Schritte sorgfältig befolgen:

Identifiziere die Anfrage: Überprüfe, ob die Anfrage eine Auskunftsanfrage gemäß DSGVO ist und stelle sicher, dass der Anfragende tatsächlich derjenige ist, für den er sich ausgibt. (z.B. nach einem Ausweis fragen)
Bestätige den Empfang: Bestätigen den Empfang der Anfrage und teile dem Antragsteller mit, dass Du die Anfrage bearbeiten wirst.
Sammle die Daten: Sammle alle personenbezogenen Daten, die über die betroffene Person gespeichert sind.
Überprüfe die Daten: Überprüfe die gesammelten Daten, um sicherzustellen, dass sie korrekt und vollständig sind.
Bereite die Antwort vor: Bereite eine schriftliche Antwort auf die Anfrage vor und gib alle personenbezogenen Daten an, die Du über die betroffene Person gespeichert hast. Stelle auch sicher, dass die betroffene Person die Informationen verstehen und die Rechtmäßigkeit der Datenverarbeitung überprüfen kann.
Versenden die Antwort: Sende die Antwort rechtzeitig an den Antragsteller.
Dokumentation: Du musst die Bearbeitung der Auskunftsanfrage dokumentieren, um sicherzustellen, dass Du bei zukünftigen Anfragen auf die Informationen zugreifen und die Einhaltung der Datenschutz-Grundverordnung überprüfen kannst.

Am besten verwendest Du für die Beantwortung eine vorbereitete Vorlage. Ich gehe später in diesem Post darauf ein.

Welche Konsequenzen drohen bei Verstößen?

Wenn Du eine Auskunftsanfrage erhältst, solltest Du diese prinzipiell ernst nehmen und sorgfältig beantworten. Andernfalls drohen Konsequenzen, die sowohl rechtliche als auch finanzielle Auswirkungen haben können.

Eine Nichtbeantwortung oder unvollständige Beantwortung einer Auskunftsanfrage kann zu empfindlichen Geldstrafen führen. Gemäß der Datenschutz-Grundverordnung (DSGVO) kannst Du (bzw. das Unternehmen / die Organisation) bei Verstößen mit einer Geldbuße von bis zu 20 Millionen(!) Euro oder (bei Unternehmen) 4% des weltweiten Jahresumsatzes bestraft werden. Diese Strafen können verhängt werden, wenn Du gegen die Prinzipien der Rechtmäßigkeit, Zweckbindung, Datensparsamkeit und Richtigkeit verstößt.

Wenn eine Auskunftsanfrage nicht ordnungsgemäß beantwortet wird, kann dies auch zu einem Vertrauensverlust bei Deinen Kunden führen. Eine unzureichende oder unvollständige Antwort kann bedeuten, dass Kunden das Gefühl haben, dass ihre Anliegen nicht ernst genommen werden oder dass das Unternehmen etwas zu verbergen hat.

Bereite standardisierte Antworten vor

Wenn Du öfters Auskunftsanfragen erhältst, kann es sinnvoll sein, standardisierte Antworten vorzubereiten, um zeit- und kosteneffizient auf Anfragen zu reagieren. Allerdings solltest Du darauf achten, dass diese Antworten nicht zu allgemein gehalten sind und dass sie auf die spezifische Anfrage des Antragstellers abgestimmt sind.

Eine standardisierte Antwort kann zum Beispiel eine Liste mit den Datenkategorien enthalten, die Du verarbeitest. Diese Liste kann die wichtigsten Informationen enthalten, die bei den meisten Anfragen benötigt werden, wie etwa Angaben zur Identität des Antragstellers oder zur Art der personenbezogenen Daten, die das Unternehmen verarbeitet.

Nutze die Gunst Der Stunde und bereite Dich für den Fall einer Auskunftsanfrage vor. Je schneller und standardisierter Du die Anfragen beantwortest, desto weniger Ressourcen werden bei Dir / Deinem Unternehmen gebunden.
Dein Website-Radar Team.

Natürlich kann eine standardisierte Antworten nicht als Ersatz für eine individuelle Antwort dienen. Sie kann jedoch eine nützliche Vorlage sein, bei der Du sicherstellst, dass Du auf die spezifischen Fragen des Antragstellers noch zusätzlich eingehen kannst. Jede Anfrage ist einzigartig, und eine generische Antwort könnte den Antragsteller provozieren oder ihm das Gefühl geben, dass seine Anfrage nicht ernst genommen wird.

Beachte folgende Punkte:

sei vollständig
schreibe klar und verständlich
vermeide, unnötige Fachbegriffe oder juristische Ausdrücke
lass Platz für individuelle Antworten

Eine klare und prägnante Antwort kann dazu beitragen, das Vertrauen des Antragstellers zu stärken und ihm das Gefühl geben, dass seine Anfrage ernst genommen wird.

Typisches Muster einer Empfangsbestätigung

Eine typische Bestätigung für den Empfang eines Auskunftsbegehrens könnte sein:

Betreffzeile: Antrag auf Auskunft nach Art 15 DSGVO

Sehr geehrte(r) Frau/Herr NACHNAME,

Wir haben Ihr Schreiben vom xx.xx.2023 am xx.xx.2023 erhalten. Sie haben darin Ihre Identität ausreichend nachgewiesen. 
Aufgrund XXXXXXXXXXXXX und der außerordentlich kurzen Frist, die gesetzt wurde, ersuchen wir ausdrücklich um eine angemessene Fristverlängerung, da in dem gesetzten Zeitraum eine ordnungsgemäße Prüfung der Materie nicht möglich ist.

Mit freundlichen Grüßen,

Falls es einen triftigen Grund gibt um eine Fristverlängerung anzusuchen, sollte man diesen hier angeben.

Beispiele für eine rechtlich bindende zwei Monatige Fristverlängerung:

der Komplexität ihres Antrages (mit Begründung)
Anzahl Ihrer Anträge (mit Begründung)

Weitere Beispiele (ist allerdings rechtlich nicht bindend):

der aktuellen Urlaubssituation
der Krankenstands Situation
der schlechten Verfügbarkeit von kompetenten Ressourcen

Typisches Muster einer Leerauskunft

Falls Du keine Daten zu der betroffenen Personen gesammelt hast, kannst Du folgendermaßen antworten:

Betreffzeile: Erteilung der Auskunft nach Art 15 DSGVO

Sehr geehrte(r) Frau/Herr NACHNAME,

Ihren Antrag auf Auskunft nach Art 15 DSGVO haben wir am xx.xx.2023 erhalten. Sie haben darin Ihre Identität ausreichend nachgewiesen. Innerhalb der gesetzlichen Frist von einem Monat kommen wir hiermit Ihrem Antrag nach.
Es werden keine Daten zu Ihrer Person verarbeitet, welche über Ihren Auskunftsantrag, die damit zusammenhängende Korrespondenz und die entsprechende interne Dokumentation hinausgehen.

[RAUM FÜR INDIVIDUELLE BEANTWORTUNG]

Ihnen stehen grundsätzlich die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch zu. Dafür wenden Sie sich an uns. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist die Datenschutzbehörde zuständig.

Mit freundlichen Grüßen,

Muster für die Auskunft mit personenbezogenen Daten

Wenn Du Daten des Antragsstellers in einer oder mehrerer Daten-Sourcen gespeichert hast, kannst Du folgende Vorlage verwenden:

Betreffzeile: Erteilung der Auskunft nach Art 15 DSGVO

Sehr geehrte(r) Frau/Herr NACHNAME,

Ihren Antrag auf Auskunft nach Art 15 DSGVO haben wir am xx.xx.2023 erhalten. Sie haben darin Ihre Identität ausreichend nachgewiesen. Innerhalb der gesetzlichen Frist von einem Monat kommen wir hiermit Ihrem Antrag nach.

Wir verarbeiten folgende Daten zu Ihrer Person (Kopien/Ausdrucke der relevanten Datenverarbeitungen finden Sie ggf. im Anhang):
* Name
* IP Adresse
* etc.

Diese werden zu folgenden Zwecken verarbeitet:
* Zweck (bestehender Kunde, Newsletter, Gewinnspiel, Umfrage) evtl. mit Rechtsgrundlage

Wir speichern Ihre Daten [Dauer oder zumindest Kriterien für Speicherdauer angeben].

Wenn die Daten von Deiner Website an innereuropäische Empfänger übermittelt werden:

Die Daten werden an folgende Empfänger übermittelt: 
* Empfänger / Empfängerkategorien einschließlich Zweck der Übermittlung und Land des Firmensitzes

Bei Übermittlung der Daten an Empfänger in Drittländern:

Die Übermittlung der Daten an jene Empfänger, die sich in einem Drittland befinden, basiert auf folgenden Garantien:
* Garantie beschreiben

Falls Du die Daten von einem Adressverlag o.ä. bezogen hast:

Wir haben Ihre Daten erhalten von [verfügbare Angaben zur Herkunft Ihrer Daten z.B. welcher Adressverlag].

Nun kannst Du noch individuell auf die Anfrage eingehen.

[RAUM FÜR INDIVIDUELLE BEANTWORTUNG]

Ihnen stehen grundsätzlich die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch zu. Dafür wenden Sie sich an uns. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist die Datenschutzbehörde zuständig.

Mit freundlichen Grüßen,

Fazit und Zusammenfassung

Auskunftsanfragen sind ein wichtiger Aspekt des Datenschutzes und können dabei helfen, die Rechte betroffener Personen zu schützen. Unternehmen und Organisationen sollten Auskunftsanfragen ernst nehmen und sicherstellen, dass sie alle notwendigen Schritte unternehmen, um personenbezogene Daten zu schützen.

Durch eine korrekte und zeitnahe Reaktion auf Auskunftsanfragen kannst Du nicht nur den gesetzlichen Verpflichtungen nachkommen, sondern auch das Vertrauen der Nutzer in Deine Website und Dein Unternehmen stärken.
Dein Website-Radar Team.

Weiterführende Quellen und Links

Wenn Du weitere Informationen zu Auskunftsanfragen und Datenschutz suchst, findest Du hier einige nützliche Links:

Mehr darüber, was Du als Website-Betreiber bezüglich DSGVO wissen solltest
Europäische Datenschutzgrundverordnung: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=EN
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: https://www.bfdi.bund.de/DE/Home/home_node.html
Verbraucherzentrale: https://www.verbraucherzentrale.de/wissen/datenschutz/datenschutz-im-alltag/dsgvo-auskunftsrecht-und-datenschutzauskunft-13902
Beispiele und Beschreibung der österreichischen Wirtschaftskammer: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.html

FAQ

Wer kann eine Auskunftsanfrage stellen?

Jede Person hat das Recht, eine Auskunftsanfrage zu stellen.

Wie gehe ich mit unklaren oder unvollständigen Anfragen um?

Du musst so schnell wie möglich Kontakt mit dem Anfragenden aufnehmen und um Klärung bitten. Dies kann beispielsweise durch eine E-Mail oder einen Telefonanruf erfolgen. Wenn die Anfrage unklar ist, kann der Anfragende gebeten werden, die gewünschten Informationen genauer zu spezifizieren. Wenn die Anfrage unvollständig ist, kann der Anfragende gebeten werden, fehlende Informationen nachzureichen.

Was ist, wenn nicht ich die Daten speichere (sondern Drittanbieter)?

Auch wenn Du die personenbezogenen Daten nicht selbst speicherst, sondern durch Drittanbieter auf Deiner Website speichern lässt, bist Du dennoch verpflichtet, auf Auskunftsanfragen zu reagieren und dem Nutzer eine Übersicht über die gespeicherten Daten zu geben.

Muss ich auch Auskunft über Drittanbieter-Daten geben?

Ja, wenn Du als Betreiber Kenntnis darüber hast, welche personenbezogenen Auskünfte von Drittanbietern auf Deiner Website gespeichert sind, bist Du verpflichtet, auch diese Daten auf Anfrage des Nutzers mitzuteilen.

Wie lange habe ich Zeit, um auf eine Auskunftsanfrage zu antworten?

Du hast gemäß der DSGVO einen Monat Zeit, um auf eine Auskunftsanfrage zu reagieren.

Wie sollte ich die bereitgestellten Informationen liefern (z.B. per E-Mail oder Post)?

In der Regel ist es empfehlenswert, eine sichere Methode zu wählen, um die Daten zu übermitteln und die Vertraulichkeit zu gewährleisten. Wenn der Anfragende beispielsweise per E-Mail um die Informationen gebeten hat, kann es angemessen sein, die Informationen auf demselben Weg zu senden, sofern eine sichere E-Mail-Verschlüsselung verwendet wird. Wenn der Anfragende die Informationen auf dem Postweg erhalten möchte, sollte ein sicherer Versand mit Einschreiben oder anderen entsprechenden Methoden gewählt werden, um sicherzustellen, dass die Informationen den richtigen Empfänger erreichen.

Wie kann ich mich vor Auskunftsanfragen schützen?

Es gibt keine Möglichkeit, sich vollständig vor Auskunftsanfragen zu schützen, da jeder das Recht hat, Informationen über die Verarbeitung seiner personenbezogenen Daten zu erhalten.

Artikel teilen!