Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
for-vegans.com
Fotografie und Bildbearbeitung
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kauflux
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker.de
Prestashop
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Snapchat
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B)
Verkauf über individuelle Kommunikation (B2Bb2c)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Webseite (kein Verkauf)
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von Sarah Freytag

Auskunftsanspruch nach Art. 15 DSGVO: Konsequenzen einer unzureichenden oder unterlassenen Auskunftserteilung

News vom 10.09.2019, 14:36 Uhr | 2 Kommentare 

In den letzten Wochen und Monaten hat die IT-Recht Kanzlei wiederholt über den Auskunftsanspruch nach Art. 15 DSGVO berichtet. So erging erst im Juni dieses Jahr eine markante Entscheidung des OLG Köln, die den Begriff der personenbezogenen Daten überraschend weit auslegte und den Auskunftsanspruch nun auch auf Gesprächsnotizen und Vermerke erstreckte. Mit solch erhöhten Anforderungen besteht dringend Anlass, sich mit den Rechtsfolgen zu befassen, die ein Verstoß gegen die Auskunftspflicht nach der DSGVO nach sich zieht. Die IT-Recht Kanzlei gibt hierüber im Folgenden einen umfassenden Überblick.

I. Form und Frist

Geht ein Auskunftsersuchen bei der verantwortlichen Stelle ein, haben die Auskunftsverantwortlichen zunächst gewisse Fristen und Formerfordernisse zu beachten.

1. Form

Nach Art. 12 DSGVO trifft den Verantwortlichen die Pflicht, die Informationen in präziser, transparenter, verständlicher, leicht zugänglicher Form und in einer klaren und einfachen Sprache zu übermitteln. Die Informationen können schriftlich oder in elektronischer Form erteilt werden. Denkbar ist auch, einen Fernzugang zu einem sicheren System einzurichten, das der betroffenen Person Zugang zu ihren personenbezogenen Daten gewährt. Sofern die Identität der auskunftsersuchenden Person zweifelsfrei nachgewiesen wurde, kann die Information auch mündlich erteilt werden, sofern dies verlangt wird.

Beachte: Stellt der Betroffene den Antrag auf Auskunft auf elektronischem Wege, ist auch die Auskunft in einem gängigen elektronischen Format zu erteilen!

Banner Starter Paket

2. Frist

Die Informationen sind dem Antragssteller unverzüglich, jedenfalls aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. In komplexen Fällen kann diese Frist um zwei weitere Monate verlängert werden. Dies ist dem Betroffenen jedoch innerhalb eines Monats unter Angaben von Gründen mitzuteilen.

II. Hindernisse bezüglich des Auskunftsanspruches

1. Begründete Zweifel an Identität des Auskunftsersuchenden

Bestehen begründete Zweifel oder Unsicherheiten über die Identität des Auskunftsersuchenden, so kann der Verantwortliche von ihm zusätzliche Informationen anfordern, die es ihm ermöglichen die Identität zweifelsfrei zu bestätigen.

2. Untätigkeit aus anderen Gründen

Wir der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, muss er die betroffene Person ohne Verzögerung, jedoch spätestens innerhalb eines Monats nach Eingang des Antrags, über die Gründe hierfür in Kenntnis setzen. Zudem obliegt es ihm, die Person über die Möglichkeit aufzuklären, bei einer Aufsichtsbehörde Beschwerde einzulegen, oder auch einen gerichtlichen Rechtsbehelf (beispielsweise Klage) einzulegen.

III. Sanktionen, Rechtsbehelfe, Schadensersatz

Für die Sanktionierung von Verstößen gegen das Auskunftsrecht sind die datenschutzrechtlichen Aufsichtsbehörden zuständig. Die Zuständigkeit, diese Aufsichtsbehörden einzurichten, liegt in Deutschland bei den Ländern. Jedes Bundesland stellt daher eigene Aufsichtsbehörden.

1. Beschwerde bei der Aufsichtsbehörde

Fühlt sich eine betroffene Person in ihrem Auskunftsrecht verletzt, steht ihr das Recht auf Beschwerde bei einer der zuständigen datenschutzrechtlichen Aufsichtsbehörden zu. Die Beschwerde kann unentgeltlich eingelegt werden. Die betroffene Person hat sich hierzu insbesondere an die Aufsichtsbehörden ihres Aufenthalts, ihres Arbeitsplatzes Person oder des Ortes des mutmaßlichen Verstoßes in richten, ist in der Wahl jedoch generell frei.

Das Recht auf Beschwerde besteht unbeschadet neben anderen möglichen gerichtlichen oder verwaltungsrechtlichen Rechtsbehelfen.

Das Beschwerderecht begründet allerdings an sich keinen Anspruch auf den Erlass einer konkreten Maßnahme der Aufsichtsbehörde. Die Aufsichtsbehörde kann, wenn sie einen Verstoß gegen das Auskunftsrecht feststellt, auf die ordnungsgemäße Erteilung der Auskunft hinwirken bzw. Maßnahmen und Sanktionen gegen den Verantwortlichen erlassen.

2. Sanktionierung durch Geldbußen

Sollte dem Auskunftsverlangen nicht oder nur ungenügend Folge geleistet werden, können gegen den Verantwortlichen bzw. das Unternehmen durch die Aufsichtsbehörden Geldbußen verhängt werden (Art. 83 Abs. 5 lit. b) DSGVO). Je nachdem, welcher Betrag höher ist, kann diese bis zu 20.000 Euro, oder im Fall eines Unternehmens bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen.

Die Aufsichtsbehörde stellt sicher, dass die Verhängung der Geldbußen im Einzelfall wirksam, verhältnismäßig und abschreckend ist. Dabei werden bei der Höhe der Geldbuße folgende Kriterien berücksichtigt:

  • Art, Schwere und Dauer des Verstoßes
  • Art, Umfang und Zweck der Verarbeitung sowie die Anzahl der von der Verarbeitung betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; Grad der Verantwortung des Verantwortlichen
  • Getroffene Maßnahmen zur Minderung des entstandenen Schadens
  • Frühere einschlägige Verstöße
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine Auswirkungen zu mindern
  • Kategorie der Daten, die von dem Verstoß betroffen sind
  • die Art und Weise wie der Verstoß der Aufsichtsbehörde bekannt geworden ist, insbesondere ob der Verantwortliche den Verstoß selbst mitgeteilt hat
  • Einhaltung früherer von der Aufsichtsbehörde gegen den Verantwortlichen angeordneter Maßnahmen, die in Bezug auf denselben Verstoß ergangen sind
  • jegliche anderen erschwerenden oder mildernde Umstände im Einzelfall, wie beispielsweise durch den Verstoß erlangte Gewinne oder vermiedene Verluste

Nicht mit einer Geldbuße sanktioniert werden kann hingegen das Unterlassen einer Negativauskunft, sprich die Bestätigung, dass keine Daten der anfragenden Person verarbeitet werden. Hier fehlt es an einer „Betroffeneneigenschaft“ im Sinne des Art. 4 Nr. 1 HS. 1 DSGVO, die jedoch von Art. 83 Abs. 5 lit. b DSGVO vorausgesetzt wird.

3. Gerichtlicher Rechtsbehelf gegen Auskunftsverantwortlichen

Die betroffene Person kann gegen den Verstoß gegen das Auskunftsrecht auch gerichtlich im Wege einer Klage vorgehen. Einzulegen ist die Klage wahlweise bei dem Gericht des Mitgliedstaates, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat, oder in dem Staat, in dem die betroffene Person ihren Aufenthaltsort hat. Zuständig für Klagen gegen den Verantwortlichen sind in Deutschland die Zivilgerichte. Neben der Erteilung auf Auskunft und Herausgabe der Daten kann der Betroffene im Wege der objektiven Klagehäufung auch auf Schadensersatz, Löschung oder Berichtigung der Daten klagen. Er hat dabei (außer im Fall der Negativauskunft) zunächst darzulegen, dass personenbezogene Daten über ihn gespeichert worden sind.

Der Anspruch auf Schadensersatz erfordert zudem, dass der Kläger auch den Eintritt eines Schadens substantiiert darlegen kann. Dabei kann der Schaden materieller oder ideeller Natur (beispielsweise bei Verletzung des Persönlichkeitsrechts) sein.

IV. Fazit

Die umfassenden Sanktions- und Rechtsschutzmöglichkeiten auf dem Gebiet des Datenschutzes sorgen dafür, dass dar Auskunftsanspruch nach Art. 15 der DSGVO kein bloßer zahnloser, bürokratischer Papiertiger ist. Jedem Verantwortlichen, der Daten erhebt, speichert oder verarbeitet, ist daher dringend anzuraten, sich mit dem Auskunftsanspruch auseinander zu setzen und eine verlässliche Infrastruktur zu installieren, mithilfe derer er etwaigen Auskunftsverlangen rechtskonform und zügig begegnen kann.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Sarah Freytag

Besucherkommentare

Datenschutzverstoß wegen unerlaubter Datenverarbeitung

25.10.2022, 12:06 Uhr

Kommentar von Gerhard

Ein Busunternehmen hat mich in ihrem Dienstgebäude per Aushang bezichtigt des Fahrens ohne gültigen Fahrausweis und des unerlaubten Betretens der Betriebsanlagen . Keine der zuvor genannten "...

Fristbeginn bei Auskunftsersuchen sowie Sanktionierung gegen öffentliche Stellen

05.03.2021, 17:44 Uhr

Kommentar von Jens

Ein aufschlussreicher, hilfreicher Beitrag, wie ich finde. Nicht so klar sind für mich allerdings noch 2 Punkte: 1. ab wann im Falle eines strittigen DSGVO-Verletzung aufgrund der versäumten...

© 2005-2022 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller