Datentipp: Keine Lust auf Auskunft – lieber schnell Daten löschen?

7 Tipps für eine gelungene Datenauskunft

Fass ohne Boden? Die datenschutzrechtliche Auskunftsanfrage

Wer schon einmal ein Ersuchen um Auskunft nach DSGVO erhalten hat, kennt den Aufwand, dieser Anfrage sachgerecht nachzukommen. Es hilft aber nichts – der Datenschutz gibt das Recht auf Auskunft jedem, dessen persönliche Daten verarbeitet werden. Im Fall einer Anfrage müssen Unternehmen zusammentragen, welche personenbezogenen Daten der Anfragenden sie verarbeiten.

Anfragen von Beschäftigten

Je nachdem, um welche Betroffenenkategorie es sich handelt, kann das recht aufwendig sein. Allein bei der Kategorie „im Betrieb beschäftigte Personen“ kann es sein, dass die Daten an unterschiedlichen Stellen in unterschiedlichen Zusammenhängen verarbeitet werden.

Da gibt es zum einen die Daten, die für die Verarbeitung des Beschäftigungsverhältnisses direkt und zwingend erforderlich sind. Darunter fallen Daten der Personalakte, zur Lohn- und Gehaltsabrechnung, zu Arbeitsunfähigkeit usw.
Daneben können in erheblichem Umfang Daten anfallen, die „nur“ in irgendeiner Weise mit dem Beschäftigungsverhältnis zusammenhängen. Wenn beispielsweise die um Auskunft bittende Kollegin Poolfahrzeuge des Unternehmens nutzt, müssen auch die Daten zusammengesucht werden, die bei der Nutzung der Fahrzeuge anfallen. Oder wenn der nach Auskunft fragende Kollege in der Betriebssportgruppe ist, möglicherweise noch unterschiedliche Sportarten ausübt und dafür Daten verarbeitet werden, müssen Sie auch darüber Auskunft erteilen.

Nicht zu vergessen sind Daten, die Verantwortliche gar nicht selbst verarbeiten – beispielsweise, wenn der betroffene Kollege einmal ein Gespräch mit dem Betriebsrat geführt hat. Dann muss der Verantwortliche Auskunft geben zu Verarbeitungsvorgängen, auf die er nach deutschem Recht keinen eigenen Zugriff hat.

E-Mails sind übrigens ein Sonderfall. Hier hat die Rechtsprechung mittlerweile festgestellt, dass Mails im Postfach der anfragenden Mitarbeiterin nicht in der Datenauskunft aufgeführt werden müssen – die Mails kennt die Mitarbeiterin ja schon.

Achten Sie in jedem Fall darauf, bei der Beauskunftung keine Rechte Dritter zu beeinträchtigen. Das hat möglicherweise zur Folge, dass Sie fleißig schwärzen müssen.

Bitte um Auskunft und Datenlöschung

Die Auskunftsanfrage, sie hat ihre Tücken. Das gilt bei den eigenen Beschäftigten ebenso wie bei Anfragen von Kunden, Lieferanten, Webseitenbesuchern und wer Ihnen sonst noch so einfällt.
Mitunter macht eine Bitte um Auskunft sehr aufwendige Nachforschungen und umfassende Prozessanalysen nötig. Manchmal erreichen Betriebe Anfragen von Betroffenen, die wenig Kontakt mit dem Unternehmen hatten, sich vielleicht nur mal ein Angebot haben erstellen lassen. Solche Anfragen sind nicht selten mit der Bitte verbunden, eine Löschung der Daten gemäß Artikel 17 der DSGVO durchzuführen.
Liegt es da nicht nahe, gleich zu löschen und zu antworten, dass die Daten nicht mehr vorhanden sind – weil bereits gelöscht?

Mal eben löschen – fertig?

Auf den ersten Blick plausibel und verlockend – aber leider nicht rechtens. Der europäische Datenschutzausschuss hat hier eine klare Linie: Der Verantwortliche muss diejenigen Daten beauskunften, die er zum Zeitpunkt des Zugangs des Auskunftsbegehrens besitzt (EDSA-Leitlinien 01/2022, Stand 18.01.2022, Rn. 37-39). Denn: Zum einen steht nicht fest, ob nicht in irgendeinem anderen Prozess Daten der Anfragerin liegen, Sie also versehentlich nur einen Teil ihrer Daten löschen. Und zum anderen müssen Sie Auskünfte wahrheitsgemäß erteilen.
Das Risiko? Anfragende könnten wegen falscher Auskunft Schadenersatz von Ihnen verlangen. Und: die Datenschutz-Aufsichtsbehörde sieht in der falschen Beauskunftung einen Verstoß gegen Betroffenenrechte, die sie mit einer Geldbuße ahnden kann. Laut DSGVO mit bis zu 20 Million € pro Fall oder 4 % des weltweit erzielten Jahreseinkommens des Vorjahres der gesamten Unternehmensgruppe. Ein nicht zu unterschätzendes Risiko.

Was sagt der Datenschutz zur Auskunftsanfrage?

Geschäftsprozesse sollten also so transparent sein, dass Sie schnell ermitteln können, wo welche Personendaten verarbeitet werden. Im Falle des Antrags auf Auskunft können Sie so relativ schnell diese Daten zusammentragen.
Wir von Team Datenschutz empfehlen immer wieder, ein gut strukturiertes Verzeichnis der Verarbeitungstätigkeiten zu führen. Darin sehen Sie im Idealfall auf einen Blick die Verarbeitungsprozesse und die jeweiligen Personenkategorien, also Daten Beschäftigter, Kundendaten, Lieferantendaten, Daten von Besuchern der Website usw.
Im Falle einer Auskunftsanfrage können Sie die jeweiligen Kategorien wie eine Checkliste abarbeiten. Wenn das Verzeichnis sauber geführt ist, können Sie davon ausgehen, alle betroffenen Daten zuverlässig ausfindig zu machen.


Die eigentlich clevere Idee, eine Betroffenenanfrage mit dem Auftrag zum Löschen gemeinsam zu bearbeiten, führt also leider zum falschen Ergebnis. Da der Anfrager ja sowieso möchte, dass die Daten gelöscht werden, und man das der Einfachheit halber einfach vorher macht, greift zu kurz. Alle Betroffenenrechte sind umfassend und korrekt zu erfüllen.

7 Tipps für eine rechtlich sichere und reibungslose Datenauskunft

1. Stellen Sie sicher, dass bei Anfragen nach Datenauskunft die jeweiligen Betroffenenrechte tatsächlich erfüllt werden können.
2. Erstellen Sie für alle Geschäftsprozesse mit Daten einer bestimmten Personenkategorie eine Checkliste, aus der die jeweils betroffenen Datenkategorien hervorgehen
3. Bereiten Sie die Prozesse zur Beauskunftung und zur Löschung personenbezogener Daten betroffener Personen so weit vor, dass die Erfüllung der Betroffenenrechte zu einem überschaubaren Prozess wird und nicht jedes Mal eine ausufernde Recherche auslöst.
4. Passen Sie bei Bedarf Abläufe im Unternehmen so an, dass Sie die verarbeiteten Daten zu den verschiedenen Personenkategorien schnell identifizieren können.
5. Da es zu einzelnen betroffenen Gruppen immer wieder Betroffenenanfragen geben kann, können Sie diese in Muster-Beauskunftungen zusammenfassen, die sich bei Eingang der Anfrage als Vorlage verwenden lässt. Bei wiederholten Anfragen kann das den Prozess erheblich beschleunigen.
6. Stellen Sie sicher, dass Betroffenenanfragen, egal welcher Kategorie, im Betrieb immer ernst genommen werden.
7. Sorgen Sie dafür, dass vor Erteilen einer Betroffenenauskunft die Identität geprüft wird. Die Auskunft über personenbezogene Daten dürfen Sie nur dem jeweils Betroffenen geben. Sonst begehen Sie möglicherweise einen Verstoß gegen die Datenschutzgrundverordnung, der wiederum Ermittlungen der Datenschutz-Aufsichtsbehörde auslösen kann.

Das ist die Kernfrage: Ist sichergestellt, dass alle Betroffenenanfragen ernst genommen werden und sachgerecht und professionell beantwortet werden?