1. Informationserteilung nach Art. 13 DSGVO aufgrund der Auskunftsanfrage

  

Mit dem Auskunftsverlangen werden (erneut) personenbezogene Daten über den Antragsteller mitgeteilt. Der Verantwortliche erhebt nun diese Informationen, um das Auskunftsverlangen zu beantworten. Strenggenommen löst diese Verarbeitung wiederum die Informationspflichten nach Art. 13 DSGVO aus, sofern die im Auskunftsverlangen enthaltenen personenbezogenen Informationen nicht schon gespeichert sind – wobei dies freilich erst dann feststeht, wenn das Auskunftsverlangen inhaltlich bearbeitet wird. Sinnvollerweise wird deshalb der Antragsteller zusammen mit einer Eingangsbestätigung über die Informationserhebung informiert. Wird der Antrag allerdings durch einen aktiven Beschäftigten gestellt, ist dies entbehrlich, weil und sofern die Beschäftigten über die laufenden Informationserhebung im Beschäftigtenkontext generell informiert worden sind.

  

2. Fristberechnung

  

Die Frist läuft ab dem Zugang des Auskunftsbegehrens.

 

Die Auskunft muss unverzüglich erteilt werden, also so schnell, wie das im Rahmen eines normalen Geschäftsgangs möglich ist. Als Grenze legt Art. 12 Abs. 3 DSGVO einen Monat fest. Diese Frist darf aber nicht standardmäßig ausgeschöpft werden.

 

Eine Fristverlängerung ist nur in Ausnahmefällen möglich. Das kann etwa eine unvorhersehbare Vielzahl oder eine besondere Komplexität von Auskunftsersuchen sein. Dagegen rechtfertigen eine krankheits- oder urlaubsbedingte Abwesenheit der zuständigen Mitarbeiter eine Fristverlängerung nicht. Die Frist kann dann um zwei Monate auf maximal drei Monate verlängert werden.

 

Der Auskunftsersuchende muss mit einer Zwischennachricht über die Fristverlängerung und über den Grund der Verzögerung innerhalb der Monatsfrist informiert werden.

  

 

   

 

3. Identitätsfeststellung

  

Auskünfte über gespeicherte Daten dürfen nur an den Betroffenen erteilt werden. Dazu muss die Identität des Auskunftsersuchenden zweifelsfrei festgestellt werden. Sollten Zweifel bestehen, können weitere Informationen verlangt werden, die eine eindeutige Identifizierung ermöglichen. Solche Identifikationsmerkmale können insbesondere das Geburtsdatum, die Personalnummer, die Adresse oder die Verwendung einer amtsbekannten E-Mail-Adresse sein. Ultima ratio ist die Vorlage einer Ausweiskopie.

 

Datenkopien von besonders schutzwürdigen Daten iSd Art. 9 DSGVO dürfen nur versandt werden, wenn die Empfängeradresse (insbes. bei einer E-Mail) zweifelsfrei zutreffend ist.

 

Schwierigkeiten bei der Identitätsfeststellung hemmen nicht den Fristlauf, sie können aber eine Fristverlängerung auf maximal drei Monate rechtfertigen.

 

  

4. Begründung, Begründetheit und Missbräuchlichkeit des Auskunftsverlangens

  

Das Auskunftsersuchen muss prinzipiell nicht begründet sein, eine entsprechende Überprüfung ist also weder erforderlich noch zulässig. Vielmehr darf der Betroffene grundsätzlich jederzeit und ohne weitere Begründung – auch mehrmals in angemessenen zeitlichen Abständen – Auskunft verlangen.

 

Die Auskunft muss aber nicht mehrmals identisch erteilt werden (str.). Wurden seit der letzten Auskunft keine neuen personenbezogenen Daten verarbeitet (abgesehen von den Daten im Rahmen des Auskunftsersuchen), ist das Auskunftsersuchen unbegründet, und es kann auf die letzte Auskunftserteilung verwiesen werden.

 

 

   

 

Im Übrigen kann die Auskunftserteilung verweigert werden, wenn die Antragstellung – vor allem bei häufiger Wiederholung – als exzessiv oder missbräuchlich anzusehen ist. Freilich dürfte die Begründung dafür deutlich aufwendiger sein als die schlichte Ablehnung wegen Unbegründetheit.

 

  

5. Vorbereitung der Auskunft

   

a. maßgeblicher Zeitpunkt

 

Die DSGVO benennt keinen expliziten Zeitpunkt für die Prüfung, ob schon oder noch personenbezogene Daten vorhanden sind. Rechtssicher bestimmbar ist allein der Zeitpunkt der Antragstellung. Alle anderen Zeitpunkte (Zugang, Zeitpunkt der tatsächlichen Auskunftserteilung) sind in gewisser Weise „flexibel“ und daher weniger geeignet. Damit werden auch die Probleme im Rahmen der Negativauskunft vermieden.

  

b. Ermittlung der personenbezogenen Daten

 

Die Auskunft bezieht sich ausschließlich auf personenbezogene Daten, nur diese müssen gesucht werden.

 

In Bezug auf die möglichen Speicherorte müssen keinesfalls sämtliche Daten- und E-Mail-Server, auf die die jeweilige Behörde Speicherzugriff hat, durchsucht werden. Bei Behörden ist vielmehr davon auszugehen, dass die relevanten Daten in Akten (Personalakten und Sachakten) bzw. Personalverwaltungssystemen abgelegt sind. Etwaige „Datenreste“ in E-Mails oder Netzwerkordnern enthalten mit Blick auf die personalaktenrechtlichen Regelungen von Rechts wegen keine weitergehenden Informationen.

   

c. Form

 

Nach Art. 12 DSGVO muss die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Die Auskunft muss also für einen Laien verständlich sein; das bedeutet vor allem, dass sehr technische oder sehr abstrakt-juristische Formulierungen möglichst nicht verwendet werden.

 

Die Auskunft wird mündlich, schriftlich oder elektronisch erteilt. Wenn der Antrag elektronisch gestellt wurde, muss in der Regel auch die Auskunftserteilung elektronisch erfolgen – außer der Antragsteller verlangt die Zusendung per Post. Wenn der Antragsteller die Auskunft mündlich verlangt, muss diese mündlich erteilt werden.

   

d. Kosten

 

Für die Auskunftserteilung dürfen keine Kosten erhoben werden.

 

  

 

6. abgestufte Reaktion

  

a. Auskunftsverweigerung wegen Unbegründetheit oder Unidentifizierbarkeit

 

Wenn auf den Antrag der betroffenen Person hin keine Reaktion erfolgen soll, weil das Auskunftsbegehren unbegründet ist oder keine hinreichende Identifizierung möglich war, muss die betroffene Person hierüber, über die Gründe und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, unterrichtet werden, Art. 12 Abs. 4 DSGVO.

  

 

b. Erstellung der Positiv- oder Negativbestätigung

  

Werden personenbezogene Daten verarbeitet, muss zunächst dies bestätigt und mitgeteilt werden.

  

 

  

 

Wenn keine Daten des Auskunftsersuchenden verarbeitet werden, besteht gleichwohl eine Pflicht zur Auskunft, nämlich dann zur sog. Negativauskunft: dem Auskunftsersuchenden wird mitgeteilt, dass keine ihn betreffenden Daten verarbeitet werden, sei es, weil zum Antragsteller noch nie Daten gespeichert wurden, die Daten bereits gelöscht sind oder weil die Daten vollständig anonymisiert wurden.

  

Freilich enthält auch das Auskunftsersuchen personenbezogene Daten (zumindest den Namen und die Kontaktdaten). Insoweit werden eigentlich immer personenbezogene Daten verarbeitet. Freilich geht auch Art. 15 DSGVO davon aus, dass es Fälle der Negativauskunft geben kann (sonst gäbe die sog. Positivauskunft keinen Sinn).

 

Entscheidend ist letztlich der maßgebliche Zeitpunkt / Stichtag für das Vorliegen des Kriteriums „Verarbeitung personenbezogener Daten“. Richtigerweise ist insofern der Zeitpunkt des Auskunftsbegehrens anzusetzen – es bezieht sich auf den gesamten Zeitraum davor, sodass die Datenverarbeitung wegen des Auskunftsersuchens nicht mehr zeitlich erfasst ist (wohl aber für ein späteres, zweites Auskunftsersuchen).

 

  

 

  

c. Auskunft

 

Wenn zusätzlich zur oder nach der Positivbestätigung (siehe b.) eine Auskunft begeht wird, muss diese Auskunft zunächst alle Daten benennen, die zum Betroffenen gespeichert sind. Das bedeutet konkret, dass diese Daten abstrakt beschrieben werden („Ihren Namen und Ihre Adresse…“). Die Daten selbst müssen nicht angegeben werden (können das aber); insbesondere ist keine Datenkopie notwendig (s. aber nachfolgend d.). Zusätzlich müssen die in Art. 15 DSGVO aufgeführten sog. „Metainformationen“ mitgeteilt werden. Diese sind in aller Regel in den entsprechenden Informationserhebungsschreiben ebenfalls bereits enthalten.

  

 

 

  

d. Datenkopie

 

Verlangt der Betroffene eine Kopie der Daten, muss nach Art. 15 Abs. 3 DSGVO auch eine Kopie übermittelt werden. Die Daten müssen in Kopie so herausgegeben werden wie Sie vorliegen. Als Format für die elektronische Übermittlung bietet sich ein pdf-Dokument an. Bei der Übermittlung müssen angemessene technische Maßnahmen zur Datensicherheit gewahrt sein.

Alternativ kommt nach Erwägungsgrund 64 auch die Bereitstellung eines Fernzugangs zum System selbst, in dem die personenbezogenen Informationen gespeichert sind, in Betracht. Technisch dürfte das nur so zu realisieren sein, dass dem Betroffenen eine eigene Zugangsberechtigung mit lesendem Zugriff auf die Daten (im Personalverwaltungssystem oder in der elektronischen Personalakte) gewährt wird. In rechtlicher Hinsicht bedingt dies freilich in aller Regel den Erwerb einer zusätzlichen Lizenz; damit dürfte bei einer großen Zahl von Beschäftigten die Kosten in Bezug zum Nutzen zu hoch sein.

   

Die erste Datenkopie muss unentgeltlich zur Verfügung gestellt werden, für jede weitere unveränderte Kopie kann aber eine Gebühr verlangt werden nach Maßgabe der jeweiligen Kostenordnung.

   

 

7. Praktische Handhabung

  

(1)  Aktiver Beschäftigter
Bei aktiven Beschäftigten sollte die Auskunft ohne weitere Zwischenschritte darin bestehen, dass

 

·       ein Ausdruck aus dem Personalverwaltungssystem vorgelegt wird,

 

·       auf das Recht zur Einsichtnahme in die Personalakte hingewiesen wird,

 

·       gegebenenfalls auf Vorgänge in Sachakten hingewiesen wird

 

·       und das allgemeine Informationsschreiben zur Erhebung personenbezogener Informationen im Beschäftigungsverhältnis beigelegt wird.

 

(2)  ehemaliger Beschäftigter

 

Bei ehemaligen Beschäftigten sollte die Auskunft ohne weitere Zwischenschritte darin bestehen, dass

 

·       ein Ausdruck aus dem Personalverwaltungssystem vorgelegt wird,

 

·       auf das Recht zur Einsichtnahme in die Personalakte hingewiesen wird,

 

·       gegebenenfalls auf Vorgänge in Sachakten hingewiesen wird

 

·       und das allgemeine Informationsschreiben zur Erhebung personenbezogener Informationen im Beschäftigungsverhältnis beigelegt wird.

 

(3)  Bewerber im laufenden oder abgeschlossenen Bewerbungsverfahren

 

Bewerber im laufenden oder abgeschlossenen Bewerbungsverfahren kann das Informationsschreiben vorgelegt werden (sofern überhaupt noch Daten gespeichert sind).