Die EU-Daten­schutz-Grund­ver­ord­nung (DSGVO) räumt von der Daten­ver­ar­bei­tung betrof­fenen Personen spezi­fi­sche Rechte ein. Da wären einer­seits das Recht auf Infor­ma­tion – das für die Unter­nehmen eine Infor­ma­ti­ons­pflicht ergibt. Weiters wären dann noch das Recht auf Auskunft, das Recht auf Berich­ti­gung, das Recht auf Löschung (“Recht auf Verges­sen­werden”), das Recht auf Einschrän­kung der Verar­bei­tung, das Recht auf Daten­über­trag­bar­keit sowie das Widerspruchsrecht.

Dieser Beitrag beschäf­tigt sich damit, wie ein Ersuchen um Auskunft abläuft.

Eine Auskunfts­er­su­chen kann Sie auf verschie­denen Wegen errei­chen. Da wären einer­seits zu nennen:

• Die/der Betrof­fene kommt zu Ihnen ins Büro / Geschäft und ersucht um Auskunft
• Sie erhalten ein E‑Mail mit dem Ersuchen um Auskunft
• Sie erhalten einen Brief mit dem Ersuchen um Auskunft
• Das Ersuchen erfolgt telefonisch

Bei einem telefo­ni­schen Ersuchen können Sie berech­tigte Zweifel an der Person der/des Anfra­genden haben und um eine schrift­liche Anfrage bitten.

Egal auf welchem Weg Sie die Anfrage erreicht, wenn Sie nicht Verantwortliche:r nach DSGVO sind, geben Sie die Anfrage weiter.

Zuständig für die Beant­wor­tung der Anfrage ist im Zweifels­fall immer die/der Verant­wort­liche nach DSGVO. Das ist die Geschäfts­füh­rung / Inhaber:in / Eigentümer:in. Wenn es jedoch in Ihrem Unter­nehmen eine:n Datenschutzbeauftragte:n gibt, dann ist diese:r über die Anfrage zu verständigen.

Wenn Sie die Anfrage telefo­nisch erreicht, können Sie berech­tigte Zweifel an der Identität der anfra­genden Person haben. Dann ersuchen Sie bitte, wie schon unter 1. erwähnt, um eine schrift­liche Anfrage. Berech­tigte Zweifel können Sie aber auch bei einer schrift­li­chen Anfrage haben, wenn die Absen­der­adresse Anlass gibt, sie zu hinter­fragen. So wären grund­sätz­lich anonyme Adressen wie z.B. ichbinich@gmail.com oder auch Adressen mit vorname.nachname@hotmail.com (oder auch gmx.net, gmx.at) Anlass zu berech­tigten Zweifeln.

Im Fall von berech­tigten Zweifeln an der Identität können Sie einen Nachweis der Identität verlangen.

Ihre Webseite

Auch auf Ihrer Webseite werden Daten gesam­melt. Vor allem, wenn Sie einen Online­shop betreiben, sollten Sie diesen überprüfen, ob es kürzlich Zugriffe der anfra­genden Person gegeben hat.

Ihre Facebook­seite

Auch hier werden umfang­reiche perso­nen­be­zo­gene Daten gesam­melt. Facebook verknüpft jedes Like mit einer Person und stellt entspre­chende Statis­tiken zur Verfü­gung. Dies müssen Sie ebenfalls überprüfen und gegebe­nen­falls in die Antwort mit einbeziehen.

Die Anfrage selbst

Auch die Anfrage enthält perso­nen­be­zo­gene Daten. Zumin­dest diese sollten Sie in der Antwort anführen müssen.

Frist für die Beantwortung

Sie müssen eine Anfrage auf Auskunft umgehend bearbeiten und schnellst­mög­lich beant­worten. Die maximale Zeit für die Antwort liegt bei 1 Monat ab Einlangen des Begeh­rens. Sollte eine Beant­wor­tung inner­halb dieser Frist nicht möglich sein, teilen Sie der/dem Anfra­genden schrift­lich mit, dass Sie eine Frist­ver­län­ge­rung in Anspruch nehmen. Sie können die Frist um maximal zwei Monate verlängern.

Es gibt grund­sätz­lich verschie­dene Möglich­keiten, ein Auskunfts­be­gehren zu beantworten.

Sie haben Daten der/des Anfragenden

Hier müssen Sie sehr umfang­reich Auskunft geben. Im Groben müssen Sie folgendes mitteilen:

• Liste der Daten, die verar­beitet werden
• Kopien der Daten (E‑Mails, Briefe, Auszüge aus Daten­banken …) und die konkret verar­bei­teten Daten
• Die Verar­bei­tungs­zwecke
• Die Katego­rien der Daten, die verar­beitet werden
• Die Empfänger (inkl. Auftrags­ver­ar­beiter) oder Katego­rien von Empfän­gern der Daten, speziell wenn in Dritt­län­dern oder bei int. Organisationen
• Die geplante Speicher­frist für die Daten oder die Krite­rien für die Festle­gung dieser Dauer
• Alle verfüg­baren Infor­ma­tionen über die Herkunft der Daten, wenn bei Dritten erhoben
• Im Fall von Entschei­dungen, die auf einer automa­ti­sierten Verar­bei­tung einschließ­lich Profiling beruhen, und gegen­über der betrof­fenen Person recht­liche Wirkungen entfalten oder sie in ähnli­cher Weise beein­träch­tigen, Angaben zu der verwen­deten Logik sowie zur Tragweite und zu den angestrebten Auswir­kungen einer derar­tigen Verarbeitung
• Bei inter­na­tio­nalen Daten­trans­fers: falls notwendig, die Grund­lagen der geeig­neten Garantien.
• Rechts­mit­tel­be­leh­rung lt. WKO Musterschreiben

Sie haben keine Daten der/des Anfragenden

Auch dann müssen Sie die Anfrage beant­worten, aller­dings senden Sie eine sogenannte Leermeldung.

• Es werden keine Daten zu Ihrer Person verarbeitet.
• Rechts­mit­tel­be­leh­rung (lt. Vorlage WKO-Musterschreiben)

Verwei­gern der Auskunft

Nach derzei­tiger Rechts­lage (Stand Ende Mai 2018) müssen Sie keine Auskunft geben, wenn Sie damit Geschäfts­ge­heim­nisse (auch die Dritter) preis­geben. Zu diesem Punkt ist aller­dings ein EU-Vertrags­ver­let­zungs­ver­fahren bereits angekündigt.

Es gibt aller­dings auch Berufs­gruppen, die aufgrund ihrer Schwei­ge­pflicht die Auskunft verwei­gern können.

Die Wirtschafts­kammer stellt ein Muster­schreiben zur Beant­wor­tung eines Auskunfts­er­su­chens zur Verfü­gung. Diese finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.html

Sie müssen das Rad nicht neu erfinden, nutzen Sie die vorhan­denen Ressourcen und Möglichkeiten.