Der Ablauf eines Auskunftsersuchens

Wissen Sie, was zu tun ist?

Natürliche Personen, die von einer Datenverarbeitung betroffen sind, haben spezifische Rechte. Bei Begehren zu den Betroffenenrechten haben Sie Auskunftspflicht.

von | 4. Juni 2018

Die EU-Datenschutz-Grundverordnung (DSGVO) räumt von der Datenverarbeitung betroffenen Personen spezifische Rechte ein. Da wären einerseits das Recht auf Information – das für die Unternehmen eine Informationspflicht ergibt. Weiters wären dann noch das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit sowie das Widerspruchsrecht.

Dieser Beitrag beschäftigt sich damit, wie ein Ersuchen um Auskunft abläuft.

1. Eingang der Anfrage

Eine Auskunftsersuchen kann Sie auf verschiedenen Wegen erreichen. Da wären einerseits zu nennen:

  • Die/der Betroffene kommt zu Ihnen ins Büro / Geschäft und ersucht um Auskunft
  • Sie erhalten ein E-Mail mit dem Ersuchen um Auskunft
  • Sie erhalten einen Brief mit dem Ersuchen um Auskunft
  • Das Ersuchen erfolgt telefonisch

Bei einem telefonischen Ersuchen können Sie berechtigte Zweifel an der Person der/des Anfragenden haben und um eine schriftliche Anfrage bitten.

Egal auf welchem Weg Sie die Anfrage erreicht, wenn Sie nicht Verantwortliche:r nach DSGVO sind, geben Sie die Anfrage weiter.

2. Wer ist zuständig

Zuständig für die Beantwortung der Anfrage ist im Zweifelsfall immer die/der Verantwortliche nach DSGVO. Das ist die Geschäftsführung / Inhaber:in / Eigentümer:in. Wenn es jedoch in Ihrem Unternehmen eine:n Datenschutzbeauftragte:n gibt, dann ist diese:r über die Anfrage zu verständigen.

3. Zweifel an der Identität

Wenn Sie die Anfrage telefonisch erreicht, können Sie berechtigte Zweifel an der Identität der anfragenden Person haben. Dann ersuchen Sie bitte, wie schon unter 1. erwähnt, um eine schriftliche Anfrage. Berechtigte Zweifel können Sie aber auch bei einer schriftlichen Anfrage haben, wenn die Absenderadresse Anlass gibt, sie zu hinterfragen. So wären grundsätzlich anonyme Adressen wie z.B. ichbinich@gmail.com oder auch Adressen mit vorname.nachname@hotmail.com (oder auch gmx.net, gmx.at) Anlass zu berechtigten Zweifeln.

Im Fall von berechtigten Zweifeln an der Identität können Sie einen Nachweis der Identität verlangen.

4. Vergessen Sie nicht

Ihre Webseite

Auch auf Ihrer Webseite werden Daten gesammelt. Vor allem, wenn Sie einen Onlineshop betreiben, sollten Sie diesen überprüfen, ob es kürzlich Zugriffe der anfragenden Person gegeben hat.

Ihre Facebookseite

Auch hier werden umfangreiche personenbezogene Daten gesammelt. Facebook verknüpft jedes Like mit einer Person und stellt entsprechende Statistiken zur Verfügung. Dies müssen Sie ebenfalls überprüfen und gegebenenfalls in die Antwort mit einbeziehen.

Die Anfrage selbst

Auch die Anfrage enthält personenbezogene Daten. Zumindest diese sollten Sie in der Antwort anführen müssen.

Frist für die Beantwortung

Sie müssen eine Anfrage auf Auskunft umgehend bearbeiten und schnellstmöglich beantworten. Die maximale Zeit für die Antwort liegt bei 1 Monat ab Einlangen des Begehrens. Sollte eine Beantwortung innerhalb dieser Frist nicht möglich sein, teilen Sie der/dem Anfragenden schriftlich mit, dass Sie eine Fristverlängerung in Anspruch nehmen. Sie können die Frist um maximal zwei Monate verlängern.

5. Antwort-Varianten

Es gibt grundsätzlich verschiedene Möglichkeiten, ein Auskunftsbegehren zu beantworten.

Sie haben Daten der/des Anfragenden

Hier müssen Sie sehr umfangreich Auskunft geben. Im Groben müssen Sie folgendes mitteilen:

  • Liste der Daten, die verarbeitet werden
  • Kopien der Daten (E-Mails, Briefe, Auszüge aus Datenbanken …) und die konkret verarbeiteten Daten
  • Die Verarbeitungszwecke
  • Die Kategorien der Daten, die verarbeitet werden
  • Die Empfänger (inkl. Auftragsverarbeiter) oder Kategorien von Empfängern der Daten, speziell wenn in Drittländern oder bei int. Organisationen
  • Die geplante Speicherfrist für die Daten oder die Kriterien für die Festlegung dieser Dauer
  • Alle verfügbaren Informationen über die Herkunft der Daten, wenn bei Dritten erhoben
  • Im Fall von Entscheidungen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruhen, und gegenüber der betroffenen Person rechtliche Wirkungen entfalten oder sie in ähnlicher Weise beeinträchtigen, Angaben zu der verwendeten Logik sowie zur Tragweite und zu den angestrebten Auswirkungen einer derartigen Verarbeitung
  • Bei internationalen Datentransfers: falls notwendig, die Grundlagen der geeigneten Garantien.
  • Rechtsmittelbelehrung lt. WKO Musterschreiben

Sie haben keine Daten der/des Anfragenden

Auch dann müssen Sie die Anfrage beantworten, allerdings senden Sie eine sogenannte Leermeldung.

  • Es werden keine Daten zu Ihrer Person verarbeitet.
  • Rechtsmittelbelehrung (lt. Vorlage WKO-Musterschreiben)

Verweigern der Auskunft

Nach derzeitiger Rechtslage (Stand Ende Mai 2018) müssen Sie keine Auskunft geben, wenn Sie damit Geschäftsgeheimnisse (auch die Dritter) preisgeben. Zu diesem Punkt ist allerdings ein EU-Vertragsverletzungsverfahren bereits angekündigt.

Es gibt allerdings auch Berufsgruppen, die aufgrund ihrer Schweigepflicht die Auskunft verweigern können.

Die Wirtschaftskammer stellt ein Musterschreiben zur Beantwortung eines Auskunftsersuchens zur Verfügung. Diese finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.html

Sie müssen das Rad nicht neu erfinden, nutzen Sie die vorhandenen Ressourcen und Möglichkeiten.

Weiterführende Links

Der Ablauf eines Auskunftsersuchens

Wissen Sie, was zu tun ist?

Natürliche Personen, die von einer Datenverarbeitung betroffen sind, haben spezifische Rechte. Bei Begehren zu den Betroffenenrechten haben Sie Auskunftspflicht.

von | 4. Juni 2018

Die EU-Datenschutz-Grundverordnung (DSGVO) räumt von der Datenverarbeitung betroffenen Personen spezifische Rechte ein. Da wären einerseits das Recht auf Information – das für die Unternehmen eine Informationspflicht ergibt. Weiters wären dann noch das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit sowie das Widerspruchsrecht.

Dieser Beitrag beschäftigt sich damit, wie ein Ersuchen um Auskunft abläuft.

1. Eingang der Anfrage

Eine Auskunftsersuchen kann Sie auf verschiedenen Wegen erreichen. Da wären einerseits zu nennen:

  • Die/der Betroffene kommt zu Ihnen ins Büro / Geschäft und ersucht um Auskunft
  • Sie erhalten ein E-Mail mit dem Ersuchen um Auskunft
  • Sie erhalten einen Brief mit dem Ersuchen um Auskunft
  • Das Ersuchen erfolgt telefonisch

Bei einem telefonischen Ersuchen können Sie berechtigte Zweifel an der Person der/des Anfragenden haben und um eine schriftliche Anfrage bitten.

Egal auf welchem Weg Sie die Anfrage erreicht, wenn Sie nicht Verantwortliche:r nach DSGVO sind, geben Sie die Anfrage weiter.

2. Wer ist zuständig

Zuständig für die Beantwortung der Anfrage ist im Zweifelsfall immer die/der Verantwortliche nach DSGVO. Das ist die Geschäftsführung / Inhaber:in / Eigentümer:in. Wenn es jedoch in Ihrem Unternehmen eine:n Datenschutzbeauftragte:n gibt, dann ist diese:r über die Anfrage zu verständigen.

3. Zweifel an der Identität

Wenn Sie die Anfrage telefonisch erreicht, können Sie berechtigte Zweifel an der Identität der anfragenden Person haben. Dann ersuchen Sie bitte, wie schon unter 1. erwähnt, um eine schriftliche Anfrage. Berechtigte Zweifel können Sie aber auch bei einer schriftlichen Anfrage haben, wenn die Absenderadresse Anlass gibt, sie zu hinterfragen. So wären grundsätzlich anonyme Adressen wie z.B. ichbinich@gmail.com oder auch Adressen mit vorname.nachname@hotmail.com (oder auch gmx.net, gmx.at) Anlass zu berechtigten Zweifeln.

Im Fall von berechtigten Zweifeln an der Identität können Sie einen Nachweis der Identität verlangen.

4. Vergessen Sie nicht

Ihre Webseite

Auch auf Ihrer Webseite werden Daten gesammelt. Vor allem, wenn Sie einen Onlineshop betreiben, sollten Sie diesen überprüfen, ob es kürzlich Zugriffe der anfragenden Person gegeben hat.

Ihre Facebookseite

Auch hier werden umfangreiche personenbezogene Daten gesammelt. Facebook verknüpft jedes Like mit einer Person und stellt entsprechende Statistiken zur Verfügung. Dies müssen Sie ebenfalls überprüfen und gegebenenfalls in die Antwort mit einbeziehen.

Die Anfrage selbst

Auch die Anfrage enthält personenbezogene Daten. Zumindest diese sollten Sie in der Antwort anführen müssen.

Frist für die Beantwortung

Sie müssen eine Anfrage auf Auskunft umgehend bearbeiten und schnellstmöglich beantworten. Die maximale Zeit für die Antwort liegt bei 1 Monat ab Einlangen des Begehrens. Sollte eine Beantwortung innerhalb dieser Frist nicht möglich sein, teilen Sie der/dem Anfragenden schriftlich mit, dass Sie eine Fristverlängerung in Anspruch nehmen. Sie können die Frist um maximal zwei Monate verlängern.

5. Antwort-Varianten

Es gibt grundsätzlich verschiedene Möglichkeiten, ein Auskunftsbegehren zu beantworten.

Sie haben Daten der/des Anfragenden

Hier müssen Sie sehr umfangreich Auskunft geben. Im Groben müssen Sie folgendes mitteilen:

  • Liste der Daten, die verarbeitet werden
  • Kopien der Daten (E-Mails, Briefe, Auszüge aus Datenbanken …) und die konkret verarbeiteten Daten
  • Die Verarbeitungszwecke
  • Die Kategorien der Daten, die verarbeitet werden
  • Die Empfänger (inkl. Auftragsverarbeiter) oder Kategorien von Empfängern der Daten, speziell wenn in Drittländern oder bei int. Organisationen
  • Die geplante Speicherfrist für die Daten oder die Kriterien für die Festlegung dieser Dauer
  • Alle verfügbaren Informationen über die Herkunft der Daten, wenn bei Dritten erhoben
  • Im Fall von Entscheidungen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruhen, und gegenüber der betroffenen Person rechtliche Wirkungen entfalten oder sie in ähnlicher Weise beeinträchtigen, Angaben zu der verwendeten Logik sowie zur Tragweite und zu den angestrebten Auswirkungen einer derartigen Verarbeitung
  • Bei internationalen Datentransfers: falls notwendig, die Grundlagen der geeigneten Garantien.
  • Rechtsmittelbelehrung lt. WKO Musterschreiben

Sie haben keine Daten der/des Anfragenden

Auch dann müssen Sie die Anfrage beantworten, allerdings senden Sie eine sogenannte Leermeldung.

  • Es werden keine Daten zu Ihrer Person verarbeitet.
  • Rechtsmittelbelehrung (lt. Vorlage WKO-Musterschreiben)

Verweigern der Auskunft

Nach derzeitiger Rechtslage (Stand Ende Mai 2018) müssen Sie keine Auskunft geben, wenn Sie damit Geschäftsgeheimnisse (auch die Dritter) preisgeben. Zu diesem Punkt ist allerdings ein EU-Vertragsverletzungsverfahren bereits angekündigt.

Es gibt allerdings auch Berufsgruppen, die aufgrund ihrer Schweigepflicht die Auskunft verweigern können.

Die Wirtschaftskammer stellt ein Musterschreiben zur Beantwortung eines Auskunftsersuchens zur Verfügung. Diese finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.html

Sie müssen das Rad nicht neu erfinden, nutzen Sie die vorhandenen Ressourcen und Möglichkeiten.

Weiterführende Links

0 Kommentare

Einen Kommentar abschicken

Weitere Beiträge

KMU digital 3.0

KMU digital 3.0

Der regionale Markt steht still, das Geschäft ist geschlossen, die Kund:innen müssen zu Hause bleiben. Wie erreichen Sie Ihre Käufer:innen in Zukunft? Was müssen Sie tun?

DSGVO-Quiz

DSGVO-Quiz

Sie wohnen in der Schweiz, verkaufen aber an EU-Bürger:innen? Wissen Sie, ob Sie der DSGVO unterliegen? Finden Sie es heraus.

KMU digital 3.0

KMU digital 3.0

Der regionale Markt steht still, das Geschäft ist geschlossen, die Kund:innen müssen zu Hause bleiben. Wie erreichen Sie Ihre Käufer:innen in Zukunft? Was müssen Sie tun?

DSGVO-Quiz

DSGVO-Quiz

Sie wohnen in der Schweiz, verkaufen aber an EU-Bürger:innen? Wissen Sie, ob Sie der DSGVO unterliegen? Finden Sie es heraus.

Neugierig?

Senden Sie uns eine Nachricht, wir melden uns dann bei Ihnen - per Email oder wenn Sie es wünschen auch gerne telefonisch.

Buchen Sie direkt Ihren persönlichen Beratungstermin

Die Terminbuchung erfolgt über YouCanBookMe mit Sitz in Großbritannien und den Google-Kalender. Ihre Daten werden auch an Firmen in den USA übertragen, die alle unter dem EU-US Privacy Shield sind.

Alle Daten, die Sie uns über dieses Formular übermitteln, werden verschlüsselt an uns gesendet. Sie werden zur Bearbeitung Ihrer Anfrage verwendet.

Wir übertragen Ihre Daten automatisch auch in unser Newsletter-System. Sie erhalten zur Bestätigung Ihres Abonnements für unseren Newsletter eine Bestätigungs-E-Mail. Nur mit Bestätigung Ihrer Eintragung (Double-Opt-In) werden wir Ihre E-Mail-Adresse speichern und Ihnen Informationen zusenden. Sie können Ihre Zustimmung jederzeit widerrufen – einen Link dazu finden Sie jeweils am Ende unserer Zusendungen.

In unserer Datenschutzerklärung finden Sie die vollständigen Informationen zur Datenverwendung.