Die Datenschutz-Grundverordnung (DSGVO) stärkt die Rechte von Betroffenen im Umgang mit ihren personenbezogenen Daten. Der Auskunftsanspruch nach Art. 15 DSGVO ist das zentrale Transparenzrecht der DSGVO. Er ermöglicht betroffenen Personen, nachzuvollziehen, ob und wenn ja, wie, ein Verantwortlicher (z. B. Unternehmen, Verein, Behörde, Arbeitgeber) personenbezogene Daten des Betroffenen verarbeitet. Richtig genutzt, ist er der Schlüssel, um weitere Rechte – etwa Berichtigung, Löschung oder Widerspruch – effektiv durchzusetzen.
Kurze Begriffserläuterungen
Was sind „personenbezogene Daten“?
Alle Informationen, die sich auf eine lebende identifizierte oder identifizierbare Person beziehen, z. B.: Name, Kontaktdaten, Kundennummern, Vertrags- und Abrechnungsdaten, Standort-/Nutzungsdaten, Online-Kennungen (Cookies, IDs), Foto-/Videoaufnahmen, Gesundheits-/HR-Daten, Bewertungen/Notizen. Keine personenbezogenen Daten sind z.B. Daten Verstorbener, Daten von (Haus)Tieren, Unternehmenskennzahlen)
Wer ist der „Betroffene“?
Als Betroffene werden die Personen bezeichnet, um deren Daten es geht – die also von der Verarbeitung ihrer Daten „betroffen“ sind.
Wer ist der „Verantwortliche“?
Die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet (nicht der Auftragsverarbeiter/Dienstleister). Auskunftsbegehren richten Sie immer an den Verantwortlichen.
Was umfasst der Auskunftsanspruch nach der DSGVO?
Nach Art. 15 DSGVO hat jeder Mensch das Recht, von einem Verantwortlichen eine Auskunft darüber zu verlangen, ob dort personenbezogene Daten über sie/ihn verarbeitet werden. Ist dies der Fall, können weitere umfassende Informationen verlangt werden, insbesondere über:
- Verarbeitete Daten: Welche personenbezogenen Daten werden verarbeitet?
- Verarbeitungszwecke: Warum werden diese Daten erhoben und genutzt?
- Empfänger oder Kategorien von Empfängern: Wer hat Zugriff auf die Daten oder an wen wurden sie weitergegeben?
- Speicherdauer: Wie lange werden die Daten gespeichert oder nach welchen Kriterien wird diese Dauer bestimmt?
- Herkunft der Daten: Wenn die Daten nicht direkt beim Betroffenen erhoben wurden – woher stammen sie dann?
- Bestehen weiterer Rechte: Informationen über die Rechte des Betroffenen, z.B. auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch.
- Beschwerderecht: Hinweis auf das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen.
- Automatisierte Entscheidungsfindung: Falls eine solche stattfindet, etwa bei Profiling, muss der Betroffene über deren Logik und Tragweite informiert werden.
Darüber hinaus haben Betroffene gemäß Art. 15 Abs. 3 DSGVO Anspruch auf eine Kopie der verarbeiteten personenbezogenen Daten. Hier kann zudem gefordert werden, dass man tatsächliche Dateninhalte wünscht (z. B. Stammdaten, Kommunikationsinhalte, Protokolleinträge), nicht nur eine Zusammenfassung.
Wie kann der Auskunftsanspruch nach der DSGVO geltend gemacht werden?
Der Auskunftsanspruch kann formlos, aber schriftlich und nachweisbar geltend gemacht werden. Empfehlenswert ist es, ein kurzes Schreiben oder eine E-Mail an den Verantwortlichen (z. B. ein Unternehmen oder eine Behörde) zu senden, in dem Sie ausdrücklich Bezug auf Art. 15 DSGVO nehmen. Gehen Sie dabei wie folgt vor:
- Adressat klären: Wer ist Verantwortlicher? (meist im Impressum oder den Datenschutzhinweisen der Webseite des Verantwortlichen zu finden)
- Form wählen: Schriftlich per E-Mail oder Brief; elektronische Anfrage ist zulässig.
- Umfang präzisieren (optional): Beschleunigt die Bearbeitung. Beispiele: „Zeitraum 01.01.2023–heute“, „sämtliche Log-/Trackingdaten“, „Kopie aller E-Mails, in denen ich namentlich genannt werde“.
- Kopie verlangen: Fordern Sie ausdrücklich die Datenkopie nach Art. 15 Abs. 3 DSGVO an.
- Frist notieren: Der Verantwortliche muss innerhalb eines Monats antworten. Bei Verlängerung (max. +2 Monate) ist Begründung erforderlich.
- Dokumentation: Eingang und Verlauf sichern (z.B. durch Sendeprotokoll, Screenshots, Einschreiben).
Ein Muster für ein allgemeines Aufforderungsschreiben könnte wie folgt aussehen:
Betreff: Auskunftsverlangen nach Art. 15 DSGVO
Sehr geehrte Damen und Herren,
gemäß Art. 15 DSGVO ersuche ich um Auskunft, ob Sie personenbezogene Daten zu meiner Person verarbeiten. Sofern dies der Fall ist, bitte ich um Mitteilung sämtlicher in Art. 15 Abs. 1 DSGVO genannten Informationen sowie um eine Kopie der Sie betreffenden personenbezogenen Daten gemäß Art. 15 Abs. 3 DSGVO.
[ggf. kann an dieser Stelle noch eine Zuordnung erfolgen, wie Name, Anschrift, E-Mail, Kundennummer/Nutzer-ID; ggf. Zeitraum]
Ich bevorzuge eine elektronische Antwort. Sofern Daten an Empfänger übermittelt wurden, bitte ich – soweit möglich – um deren namentliche Benennung.
Mit freundlichen Grüßen
[Ihr Name]
Für ein Aufforderungsschreiben an einen Arbeitgeber könnten Sie noch folgenden Absatz hinzufügen:
Bitte übermitteln Sie mir außerdem Kopien der mich betreffenden Personal- und Leistungsdaten, Zeiterfassungen, Protokolle aus HR-Systemen, Notizen/Bewertungen im Rahmen von Mitarbeitergesprächen, Vergütungs- und Bonusunterlagen, Schulungsnachweise sowie Kopien von E-Mails, in denen ich als Absender/Empfänger/Betreff erwähnt werde, unter Wahrung der Rechte Dritter (Schwärzungen zulässig).
Fristen: Der Verantwortliche muss Ihrer Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Aufforderung nachkommen. In Ausnahmefällen (z. B. bei komplexen oder zahlreichen Anträgen) darf diese Frist um zwei weitere Monate auf drei Monate verlängert werden – Sie müssen darüber jedoch rechtzeitig informiert werden.
Kosten: Die Auskunft ist grundsätzlich kostenlos. Nur bei offenkundig unbegründeten oder exzessiven Anträgen kann der Verantwortliche ein angemessenes Entgelt verlangen oder die Bearbeitung verweigern.
Was ist zu tun, wenn die Auskunft ausbleibt oder unzureichend ist?
Erhalten Sie keine Antwort oder erscheint Ihnen die Auskunft unvollständig, haben Sie verschiedene Optionen:
- Erinnerung und erneute Fristsetzung: Weisen Sie den Verantwortlichen erneut auf seine Pflicht hin und setzen Sie ihm eine letzte Frist.
- Durchsetzung des Anspruchs auf dem Rechtsweg: Kommt der Verantwortliche weiter Ihrem Anliegen nicht nach, kann dem Auskunftsanspruch anwaltlich Nachdruck verliehen werden. Hilft auch dies nicht weiter, besteht die Möglichkeit den Anspruch gerichtlich im Klagewege geltend zu machen.
- Beschwerde bei der Datenschutzaufsichtsbehörde: Sie können sich zudem an die zuständige Landesbehörde für Datenschutz wenden und den Vorgang zur Anzeige bringen.
Was sind typische Fragen oder Streitpunkte in der Praxis?
Wie oft darf man Auskunft verlangen?
Es gibt keine starre Obergrenze. Häufige, eng aufeinanderfolgende Anfragen ohne neuen Sachbezug können aber als „exzessiv“ gelten.
Erhalte ich Kopien von E-Mails?
Ja, soweit sie personenbezogene Daten über Sie enthalten und die Rechte Dritter gewahrt werden können (z. B. durch Schwärzung).
Muss der Verantwortliche mir Rohdaten/Logs herausgeben?
Ja, soweit es personenbeziehbar ist und keine entgegenstehenden Rechte überwiegen. Form und Umfang müssen verständlich sein.
Bekomme ich „alles“, was auch intern über mich vermerkt ist?
Prinzipiell haben Sie einen Anspruch auf „alles“ was Sie betrifft – einschließlich interner Notizen/Bewertungen, sofern sie personenbezogene Daten über Sie darstellen und keine überwiegenden Rechte Dritter entgegenstehen.
Streitpunkt: Der Verantwortliche teilt Ihnen nur Empfängerkategorien statt konkrete Empfänger mit, an welche Daten weitergegeben worden sind. Verlangen Sie – soweit möglich – konkrete Empfängernamen, zumindest für Übermittlungen, die tatsächlich stattgefunden haben.
Streitpunkt: Auskunft wird verweigert mit dem Hinweis darauf, „Es wären Betriebs-/Geschäftsgeheimnisse“: Solche Geheimnisse rechtfertigen jedoch nicht die vollständige Ablehnung des Auskunftsanspruchs, sondern berechtigen den Verantwortlichen nur zur gezielten Schwärzung betreffender Passagen.
Streitpunkt: Die Behauptung „Daten läge nur in Backups“ entbinden nicht generell von der Auskunft. Realistische, verhältnismäßige Lösungen sind möglich (z. B. Bereitstellung aus produktiven Systemen).
