Person mit Brille im Fokus, die auf Dokument blickt, das andere Person im Vordergrund verschwommen in Hand hält und spricht
© bnenin | stock.adobe.com

EU-Datenschutz-Grundverordnung (DSGVO): Auskunftspflicht des Verantwortlichen

Was bei einem Auskunftsantrag zu tun ist

Lesedauer: 5 Minuten

Die DSGVO räumt der betroffenen Person ein Auskunftsrecht über ihre personenbezogenen Daten ein. 

Wem steht ein Auskunftsanspruch zu?

Jeder betroffenen Person (Auskunftswerber). Diese muss ihre Identität nur dann nachweisen, wenn der Verantwortliche berechtigte Zweifel daran hat.

Näheres zum Nachweis der Identität siehe Die Betroffenenrechte im Überblick

Werden große Mengen an Informationen über die betroffene Person verarbeitet, kann der Verantwortliche den Antragsteller ersuchen, dass er präzisiert, auf welche Informationen oder Verarbeitungsvorgänge sich der Antrag konkret bezieht. Lehnt der Antragsteller dies ab, muss der Verantwortliche die Auskunft über alle Datenbestände erteilen.

Wer muss die Auskunft erteilen?

Nur der Verantwortliche hat dem Auskunftswerber Auskunft zu geben. 

Wird ein Antrag irrtümlich an einen Auftragsverarbeiter gerichtet, trifft diesen zwar keine ausdrückliche Pflicht, den Antrag an den Verantwortlichen weiterzuleiten. Der Auftragsverarbeiter hat jedoch eine Unterstützungspflicht dem Verantwortlichen gegenüber.

Wie muss die Auskunft beantragt werden?

Der Antrag kann formlos gestellt werden, allenfalls sogar mündlich. Bei mündlichen Antragstellungen per Telefon werden jedoch in der Regel Zweifel an der Identität bestehen, anders bei einer persönlichen Vorsprache. Siehe dazu: Die Betroffenenrechte im Überblick

Was hat die Auskunft zu umfassen? 

  • die konkret verarbeiteten personenbezogenen Daten;

  • Kopien der Daten (E-Mails, Briefe, Auszüge aus Datenbanken udgl.), sofern diese Kopien unerlässlich sind, um der betroffenen Person die Ausübung ihrer Rechte zu ermöglichen; 
  • die Verarbeitungszwecke;

  • die Kategorien der Daten, die verarbeitet werden;

  • die Empfänger an die die Daten weitergegeben worden sind oder noch weitergegeben werden (einschließlich Auftragsverarbeiter), ausnahmsweise nur die Kategorien von Empfängern (z.B. Angabe „Bank“, „IT-Dienstleister“, „Versicherung“), wenn der konkrete Empfänger noch nicht bekannt ist;   

  • wenn möglich, die geplante Speicherfrist für die Daten, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

  • alle verfügbaren Informationen über die Herkunft der Daten (falls die Daten nicht beim Betroffenen selbst erhoben worden sind);

  • im Fall von Entscheidungen, die auf einer automatisierten Verarbeitung einschließlich Profiling (z.B. automatische Vertragsbeendigung bei Inanspruchnahme einer Versicherungsleistung) beruhen, und gegenüber der betroffenen Person rechtliche Wirkungen entfalten oder sie in ähnlicher Weise beeinträchtigen, Angaben zu der verwendeten Logik sowie zur Tragweite und zu den angestrebten Auswirkungen einer derartigen Verarbeitung;

  • bei internationalen Datentransfers: falls notwendig, die Grundlagen der geeigneten Garantien.

Weiters ist die betroffene Person darüber in Kenntnis zu setzen, dass sie ein Recht auf Berichtigung, Löschung ("Recht auf Vergessenwerden" und zur Einschränkung der Verarbeitung hat oder einen Widerspruch gegen diese Verarbeitung einlegen kann, sowie dass ein Beschwerderecht bei einer Aufsichtsbehörde besteht.

Richtlinien aus der Rechtsprechung zum konkreten Umfang des Rechts auf Auskunft

Mittlerweile haben die Gerichte ¹ in mehreren Entscheidungen das „Recht auf Kopie“ behandelt. Daraus lassen sich folgende Richtlinien ableiten:

  • Ein „Recht auf Kopie“ besteht dann, wenn die originalgetreue Reproduktion von Dokumenten, Datenbankeinträgen, Bild- und Tonaufnahmen etc für ein einfaches Verständnis der Datenverarbeitung notwendig ist.
  • Zwar muss der Betroffene das „Recht auf Kopie“ nicht gesondert geltend machen, aber ihn trifft eine Begründungspflicht, warum die originalgetreue Reproduktion für die Wahrnehmung seiner Rechte unerlässlich ist.
  • Verfügt der Betroffene bereits über die Dokumente, wird der Verantwortliche in der Regel davon ausgehen können, dass die Ausfolgung einer Kopie gerade nicht unerlässlich ist.
  • Zugangsprotokolle können vom Recht auf Auskunft umfasst sein, somit auch der konkrete Zeitpunkt einer Datenübermittlung. Das bedeutet aber nicht zwangsläufig, dass die Identität der zugreifenden Person offen gelegt werden muss.  

Wie hat die Auskunft zu erfolgen?

Grundsätzlich ist die Auskunft schriftlich zu erteilen, und zwar in einer kompakten, transparenten, verständlichen und leicht zugänglichen Form. Elektronische Medien können insbesondere dann verwendet werden, wenn der Antrag elektronisch gestellt wurde. Zur Datenübermittlung siehe Die Betroffenenrechte im Überblick.

Die Auskunftspflicht kann auch dadurch erfüllt werden, indem der Verantwortliche einen Fernzugang zu einem sicheren System bereitstellt. Auf ausdrücklichen Wunsch der betroffenen Person ist das Auskunftsschreiben oder auch nur die Kopie der Daten auf Papier zu übersenden. Eine mündliche Auskunftserteilung ist auf Wunsch der betroffenen Person möglich, sofern keine Zweifel an der Identität bestehen.

Besonderes Augenmerk ist auf die Textierung zu legen: Der Verantwortliche hat sich einer klaren und einfachen Sprache zu bedienen; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.

Liegen zur Person des Antragstellers keine Daten vor, muss dieser Umstand bekannt gegeben werden (sogenannte Negativauskunft, siehe dazu das Muster Erteilung der Auskunft nach Art. 15).

Kann die Auskunft auch verweigert werden?

Offenkundig unbegründete oder — insbesondere im Fall von häufiger Wiederholung — exzessive Anträge einer betroffenen Person kann der Verantwortliche ablehnen oder ein angemessenes Entgelt verlangen.

Näheres dazu siehe Die Betroffenenrechte im Überblick.

Die Auskunft über die personenbezogenen Daten der betroffenen Person kann „in der Regel“ abgelehnt werden, wenn durch die Erteilung der Auskunft die berechtigten Interessen des Verantwortlichen oder eines Dritten (u.a. bei Geschäfts- oder Betriebsgeheimnissen) gefährdet sein würden. Eine weitere Ausnahme gibt es für hoheitlich tätige Verantwortliche. Dies darf aber nicht dazu führen, dass der Anspruch komplett verweigert wird.

Verfolgt der Betroffene „datenschutzfremde“ Motive (z.B. Gebührenersparnis, Beweismittelbeschaffung für einen Schadenersatzprozess), so steht dem Verantwortlichen deswegen kein automatisches Ablehnungsrecht zu.²

In welcher Frist ist die Auskunft zu erteilen?  

Der Verantwortliche hat den Antrag unverzüglich zu beantworten, in jedem Fall aber binnen eines Monats ab Eingang, wobei es eine Verlängerungsoption um weitere zwei Monate gibt, die aber speziell zu begründen ist. Näheres dazu siehe Die Betroffenenrechte im Überblick.

Muss die Auskunftserteilung kostenlos erfolgen?

Grundsätzlich ja. Näheres dazu sowie zu den Ausnahmen siehe Die Betroffenenrechte im Überblick.

Wo kann der Auskunftswerber seine Ansprüche auf Auskunftserteilung durchsetzen?

Falls der Auskunftswerber behauptet, dass sein Anspruch auf Auskunftserteilung verletzt worden ist, kann er zur Durchsetzung dieses Anspruches binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde einreichen. Alternativ kann der Betroffene auch ein ordentliches Gericht anrufen. 
Siehe dazu Die Betroffenenrechte im Überblick.

Geldstrafen

Die Verletzung der Auskunftspflicht ist mit bis zu 20 Mio. EUR oder 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht.

Relevante Artikel der DSGVO: Art 11, Art 12, Art 15, Art 23
Relevante Erwägungsgrunde: 57-60, 63, 64, 73
Relevante Bestimmungen des DSG: § 4 Abs 5 und 6, § 24 Abs 4

[1] EuGH 4.5.2023, C-487/21, CRIF; EuGH 22.6.2023, C 579/21, Pankki; EuGH 26.10.2023, C‑307/22, FTVwGH 3.8.2023, Ro 2020/04/0035; BVwG 22.1.2024, W252 2247042-1.
[2] BVwG 24.5.2019, W258 2205602-1; BVwG 27. 4. 2022, W176 2244407-1; EuGH 26. 10. 2023, C‑307/22, FT.

Stand: 01.05.2024

Weitere interessante Artikel
  • Holzwürfel mit Paragraphen Icon sowie DSGVO Schriftzug auf Tastatur, Topshot
    EU-Datenschutz-Grundverordnung (DSGVO): Datenschutz-Folgenabschätzung und vorherige Konsultation
    Weiterlesen
  • Lächelnde Person mit Brillen an Schreibtisch vor aufgeklappten Laptop sitzend hält Dokument in Händen und blickt darauf
    EU-Datenschutz-Grundverordnung (DSGVO): Musterschreiben zur Auskunftserteilung
    Weiterlesen
  • Portrait einer Person mit Bart und blauem Hemd, die freudig ein Tablet in einem hellen Büro in Händen hält
    EU-Datenschutz-Grundverordnung (DSGVO): Pflichten des Verantwortlichen
    Weiterlesen