Sie sind dazu
verpflichtet, die Auskunftsanfragen von Kunden und Mitarbeitern rasch zu
beantworten und die Inhalte in einer geeigneten Form bereitzustellen. Dabei besitzen
die Betroffenen seit der DSGVO deutlich mehr Auskunftsrechte. Die
Verpflichtung, bei Auskunftsersuchen Auskünfte zu erteilen, schließt
Informationen über die Datenverarbeitung und eine Aufklärung über die
Betroffenenrechte ein.
Auskunftsrechte nach der DSGVO
Die Datenschutz-Grundverordnung (DSGVO) intensiviert die Betroffenenrechte und stärkt damit auch das Auskunftsrecht von Lieferanten, Kunden, Mitarbeitern und sonstigen natürlichen Personen, deren personenbezogene Daten verarbeitet werden. Akteure, die für die Verarbeitung dieser Informationen in den Unternehmen verantwortlich sind, müssen diesem Informationsrecht nachkommen und für Transparenz sorgen. Die Verantwortlichen stehen daher in der Pflicht, über die Datenverarbeitung der betroffenen Personen Auskunft zu geben.
Pflicht zur Auskunftserteilung
Die Unternehmen müssen generell gemäß Art. 13 und 14 DSGVO informieren und
im Falle der Geltendmachung des Auskunftsrechts durch die betroffene Person im
Einzelfall Auskunft geben. Demnach kann jede Person Informationen darüber
beantragen, ob das Unternehmen personenbezogene Daten speichert und nutzt, die
sie betreffen. Wenn eine solche Datenverarbeitung vorliegt, hat der Anfragende
ein Recht auf zusätzliche Informationen. Die Pflicht des Unternehmens zur
Auskunftserteilung bezieht sich beispielsweise darauf, die betroffene Person
über die Verarbeitungszwecke der erhobenen Daten aufzuklären. Außerdem müssen
die Verantwortlichen darüber informieren, welche Kategorien von
personenbezogenen Daten sie nutzen und wie lange sie diese voraussichtlich
speichern werden. Ist die Dauer dieser Datenspeicherung nicht absehbar, muss
das Unternehmen die Kriterien offenlegen, anhand derer es über die Speicherung
entscheidet.
Der Betroffene hat zudem ein Recht darauf, zu erfahren, welche Adressaten diese personenbezogenen Daten bereits erhalten haben oder in Zukunft noch empfangen werden. Die Pflicht zur Auskunftserteilung betrifft außerdem die Datenherkunft. Demnach muss das Unternehmen den betroffenen Personen die Datenquelle verraten, sofern es die Informationen nicht bei ihnen selbst eingeholt hat.
Die DSGVO verpflichtet Betriebe jedoch nicht nur zur Auskunftserteilung
über die Datenverarbeitung, sondern auch zur Aufklärung über die
Betroffenenrechte. Demnach müssen Sie als datenverarbeitendes Unternehmen Ihre
Kunden und Mitarbeiter über die Rechte auf Auskunft, Berichtigung, Löschung und
Einschränkung der Datenverarbeitung sowie Datenübertragbarkeit informieren.
Außerdem sind die Betroffenen darüber aufzuklären, dass sie einen Widerspruch
gegen die Datenverarbeitung einlegen und eine Beschwerde bei der
Aufsichtsbehörde erheben können.
Auskunftsersuchen und Auskunftserteilung
Grundsätzlich kann die Auskunft schriftlich, elektronisch oder auf Wunsch des Antragstellers auch mündlich gegeben werden. Stellt der Betroffene ein Auskunftsersuchen in elektronischer Form, muss das Unternehmen die Auskünfte ebenfalls in einem solchen Format bereitstellen. In diesem Fall liegt es in der Verantwortung des Betriebes, bei der Auskunftserteilung die Daten durch Sicherheitsvorkehrungen zu schützen. Bei einer mündlichen Informationsweitergabe ist ein Identitätsnachweis des Betroffenen einzuholen.
Das Unternehmen kommt seinen Informationspflichten nach, indem es dem
Kunden oder Mitarbeiter kostenfrei eine Kopie jener personenbezogenen Daten
zukommen lässt, die von der Datenverarbeitung erfasst sind. Verlangt der
Betroffene darüber hinaus noch weitere Ausfertigungen, oder handelt es sich um
unbegründete oder exzessive Anträge, kann das Unternehmen ein angemessenes
Entgelt verrechnen. Grundsätzlich muss der für die Datenverarbeitung
Verantwortliche dem Auskunftsersuchen unverzüglich, jedenfalls aber innerhalb
von einem Monat nachkommen. Bei komplexen Angelegenheiten ist jedoch eine
Fristverlängerung um weitere zwei Monate möglich.
