Was tun, wenn jemand dir eine Auskunftsanfrage schickt? Ganz formal würde so eine Person schreiben: „Hallo, ich mache nach Artikel 15 DSGVO mein Recht auf Auskunft geltend. Bitte schicken Sie mir alle über mich gespeicherten Daten.“ In der Praxis ist das oft viel formloser und lautet oft in etwa: „Sag mal, was hast du eigentlich für Daten über mich, und darfst du die überhaupt haben?“ Auch wenn das nicht wie ein juristisch sauber formulierter Antrag klingt, bewegt man sich damit dennoch im Bereich der Artikel-15-Auskunft. Und das Wichtigste, wenn so eine Anfrage kommt: ruhig bleiben, durchatmen, ihr habt einen Monat Zeit, um darauf zu antworten.
Der Experte empfiehlt: Wenn die Anfrage per E-Mail kommt, schickt sofort eine kurze Eingangsbestätigung. Schreib z.B.: „Vielen Dank für Ihre Anfrage. Wir haben sie erhalten, nehmen das Anliegen ernst und melden uns fristgerecht bei Ihnen.“ Es gibt unzählige Fälle, in denen genau diese Bestätigung nicht kommt und die anfragende Person ist oft schon emotional aufgeladen. Wenn du dann nicht reagierst, eskaliert die Situation unnötig. Allein durch eine kurze Antwort kannst du viel Druck rausnehmen.
Welche Prozesse, Tools und Abläufe gibt es in deinem Unternehmen? Wo genau hast du Daten von der anfragenden Person gespeichert? Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist im Fall der Fälle extrem hilfreich. Denn für die Beantwortung einer Auskunft hast du vier Wochen, für die Erstellung eines VVT hättest du im Vorfeld Monate Zeit.
Außerdem solltest du unbedingt prüfen, wer dir schreibt.Ist die Person, die die Anfrage stellt, auch wirklich die, für die sie sich ausgibt? Das ist vor allem im Gesundheitsbereich kritisch, gilt aber auch für alle anderen Kund/innen oder Nutzer/innen. Nur weil jemand nett schreiben oder behaupten würde, XY zu sein, darfst du ihm oder ihr noch lange keine personenbezogenen Daten aushändigen, erklärt der Experte. Die Identität muss geprüft werden, entweder die Person kommt persönlich vorbei und zeigt den Ausweis, was du auch kurz dokumentierst, oder sie schickt eine Kopie. Wichtig: Der Ausweis darf geschwärzt sein, dich sollte in der Regel nur Name und Anschrift interessieren. Alternativ reicht auch eine geschwärzte Strom- oder Handyrechnung, solange Name und Adresse klar ersichtlich und plausibel mit euren Daten abgleichbar sind.
Nun musst du alle relevanten Informationen zur anfragenden Person zusammenstellen. Dabei reicht es nicht, allgemein zu schreiben: „Wir haben Ihren Namen, Ihre Adresse, Ihre E-Mail und Ihre Bankverbindung.“ Laut Gesetz musst du jede dieser Angaben konkret benennen. Diese Pflicht sei tatsächlich aufwendig, und genau deshalb ist Artikel 15 für viele Unternehmen so herausfordernd, fügt Andreas Rübsam hinzu. Solche Anfragen treten oft dann auf, wenn es im Arbeitsverhältnis kriselt, z.B. bei Kündigungen, Abmahnungen oder Freistellungen. Viele Mitarbeitende kommen dann mit einem Anwalt zurück und machen gezielt ihr Auskunftsrecht geltend.
Der Rat des Experten: Mach es dir nicht unnötig kompliziert. Verzichte auf übertriebene Juristensprache. Sei sachlich, klar, verständlich. Und vielleicht der wichtigste Punkt: Nicht anfangen zu löschen! Viele denken, wenn sie die Daten schnell löschen, dann können sie sagen: „Ich habe nichts gespeichert, Thema erledigt.“ Aber gerade im Beschäftigungskontext oder bei langjährigen Kund/innen wissen die Leute oft sehr genau, welche Daten sie euch mal gegeben haben. Wenn du plötzlich nichts mehr finden kannst, ist das höchst verdächtig und kann sehr schnell zur Beschwerde bei der Aufsichtsbehörde führen. Manipulation oder nachträgliches „Wegradieren“ von Daten verstößt gegen die Grundprinzipien der DSGVO.
Du möchtest Kommentare bearbeiten, voten und über Antworten benachrichtigt werden?
Jetzt kostenlos Community-Mitglied werden