Das Auskunftsrecht nach Artikel 15 DSGVO ist eines der zentralen Rechte von Betroffenen im Datenschutz. Unternehmen sind verpflichtet, transparent und umfassend Auskunft über die gespeicherten personenbezogenen Daten zu geben. Doch in der Praxis führt die Umsetzung dieses Rechts immer wieder zu Beschwerden. Dieser Artikel beleuchtet die häufigsten Fehler und zeigt, wie Unternehmen diese vermeiden können.
Die Niedersächsische Datenschutzbehörde berichtet in ihrem Letzten Tätigkeitsbericht von vielen Beschwerden betroffener Personen im Zusammenhang mit einem Auskunftsverlangen nach Art. 15 DSGVO. Dabei viel auf, dass insbesondere bei Klein- und Kleinstunternehmen oder auch Einzelunternehmern oftmals diese Auskunftsverlangen vollständig ignorieren oder nur unzureichend beantworten.
Größere Unternehmen – so der Bericht – erteilten die Auskünfte jedoch zügig und fristgerecht. Probleme treten zumeist dann auf, wenn die Unternehmen allumfassende Auskünfte erstellen sollen. In diesem Zusammenhang wird oft von den betroffenen Personen bemängelt, dass die beigefügten Kopien nicht vollständig seien. Da aber oft keine weiteren Ausführungen dazu in den Beschwerden enthalten sind, ist es für die Behörden schwer zu beurteilen, inwieweit derartige Beschwerden berechtigt sind.
Für betroffene Personen bietet es sich daher an, die vermeintlich fehlenden Dokumente gegenüber dem auskunfterteilenden Unternehmen konkret zu benennen. Dieses Vorgehen ist dann zumeist zielführender, als eine Beschwerde bei der Behörde.
Wo liegen die Probleme?
Die meisten Probleme stellt für die Unternehmen meist der Übermittlungsweg für die erstellte Auskunft dar. Dies insbesondere dann, wenn sensible Daten in den übersendeten Daten enthalten sind.
Als sichere Übertragungswege haben die Behörden folgende Übermittlungsarten angesehen:
Postweg
Auch wenn das Auskunftsverlangen durch die betroffene Person per E-Mail eingegangen ist, sehen die Behörden die Übersendung der Auskunft und der beigefügten Kopien per Post nicht als schwerwiegenden Verstoß, da aus ihrer Sicht, die sichere Übermittlung der Auskunft im Vordergrund steht, für die das Unternehmen verantwortlich ist.
Online-Portale
Eine weitere Möglichkeit der sicheren Übermittlung ist der Upload der Dokumente auf ein sogenanntes Portal. Nach Eingang eines elektronischen Antrags wird dann durch das Unternehmen ein Datenpaket zusammengestellt und dieses temporär in einer gesicherten und passwortgeschützten Cloud abgelegt. Der betroffenen Person wird dann auf einem anderen Wege das benötigte Passwort.
Insbesondere im Falle der Übersendung besonders sensibler personenbezogener Daten halten die Behörden diese Übermittlung, gemeinsam mit einer Ende-zu-Ende verschlüsselten E-Mail, als die beste Methode für den Versand einer Auskunft.
Transportverschlüsselte E-Mail
Vielen Menschen ist nicht bewusst, dass die meisten E-Mails inzwischen zumindst über eine Transportverschlüsselung verfügen. Das bedeutet, dass die E-Mail auf dem Weg zum Empfänger verschlüsselt ist, dann aber wieder unverschlüsselt auf dem Server liegt. Einige Behörden halten diesen Weg der Übermittlung als ausreichend sicher, wenn die Daten an sich in einem PDF-Dokument als Anhang übersendet wird, welches durch ein sicheres Passwort geschützt ist.
Fazit
Das Auskunftsrecht ist ein starkes Instrument, um Transparenz und Vertrauen zu schaffen. Unternehmen, die Anfragen korrekt und datenschutzkonform bearbeiten, stärken ihre Glaubwürdigkeit und vermeiden Konflikte sowie Sanktionen durch Aufsichtsbehörden. Die Investition in sichere Übermittlungswege und Schulungen zahlt sich langfristig aus – für Unternehmen und ihre Kunden.