Datenschutzbehörde  Datenschutz Europa privacy service
 
Auskunftsrecht gemäß Datenschutz-Grundverordnung (DSGVO)
DSGVO Art 4, 11-12, 15, 20, 26, 82-83; DSG § 24
Gemäß DSGVO haben Betroffene Auskunftsanspruch über die personenbezogenen Daten - auch wenn keine Berufung auf Datenschutzbestimmung erfolgt liegt Auskunftsanspruch vor - Auskunft ist unverzüglich zu erteilen, in jedem Fall innerhalb eines Monats - Auskunft ist in elektronischer Form zu geben - es sind auch pseudonymisierte Informationen zu beauskunften, sofern der Betroffene ausreichend mitwirkt - Branchen oder einzelne Organisationen könnten im Rahmen eines freiwilligen 'Code of Conduct' kürzere Fristen festlegen - auch Erweiterungen des Auskunftsverfahrens im Rahmen eines 'Code of Conduct' denkbar - bei fehlerhaften Auskünften drohen empfindliche Strafen und Schadenersatzforderungen

Das Auskunftsrecht ist als Betroffenenrecht im Datenschutzbereich von zentraler Bedeutung. Nur wenn Betroffene die Möglichkeit haben, sich einen Überblick über die sie betreffenden Datenströme zu verschaffen, können sie das grundlegende Recht auf informationelle Selbstbestimmung wahrnehmen. Möglichst vollständige Informationen über die von einem Verantwortlichen tatsächlich verarbeiteten Daten, deren Herkunft und die Empfänger von Übermittlungen bilden die unverzichtbare Basis für die Wahrnehmung aller weiteren Rechte wie z.B. Löschung oder Berichtigung von Daten, Einschränkung der Verarbeitung, Widerspruchsrecht usw.

Das Auskunftsrecht nach der Datenschutzgrundverordnung (DSGVO) kann als erster Schritt zu einem umfassenden Informationsfreiheitsrecht angesehen werden.


Wo ist das Auskunftsrecht geregelt?

Das Auskunftsrecht ist auf mehreren Ebenen der Rechtsordnung geregelt und insofern mehrfach abgesichert. Auf europäischer Ebene findet sich die entsprechende Regelung in Art 15 der EU-Datenschutzgrundverordnung (Verordnung (EU) 2016/679 - EU-DSGVO). Diese Verordnung kann Einzelnen unmittelbare Rechte einräumen und Pflichten auferlegen. Somit ist sie ohne Umsetzungsakt Bestandteil der österreichischen Rechtsordnung.

Die Bestimmungen der EU-Datenschutzgrundverordnung und des österreichischen Datenschutzgesetzes geben den allgemeinen Rahmen für das Auskunftsrecht vor. In Spezialgesetzen können besondere Vorschriften für die Erteilung von Auskünften vorgesehen werden. Ein Beispiel für eine solche Regelung ist der § 8 Abs 4 BilDokG, der die Vorgangsweise für die Auskunftserteilung aus der Bildungsevidenz regelt. Auch bei solchen speziellen Regelungen ist allerdings der vom Grundrecht vorgegebene Rahmen einzuhalten.


Wem steht das Recht auf Auskunft zu?

Nach der EU-Grundverordnungsbestimmung des Art 15 DSGVO hat der Betroffene das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, wozu sie verarbeitet werden, das Bestehen eines Berichtigungs-, Löschungs-, Einschränkungs- oder Widerspruchsrechts, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde und voraussichtliche Speicherdauer der Daten, insbesondere auch, an wen sie übermittelt werden. Eine Auskunft kann natürlich nur erteilt werden, wenn tatsächlich Daten des Betroffenen gemäß Art 15 Abs 1 DSGVO verarbeitet werden. Andernfalls ist der Anfragende darüber zu informieren, dass keine Daten vorliegen.


Wer ist zur Auskunft verpflichtet?

Der Adressat eines Auskunftsbegehrens ist gemäß Art 4 Z 4 DSGVO grundsätzlich der Verantwortlicher also jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche hat auch gemäß Art 12 Abs 1 DSGVO die Pflicht entsprechende technische und organisatorische Vorkehrungen zu treffen, die es ihm ermöglichen, seinen Pflichten gegenüber dem Betroffenen nachzukommen.

Gemäß Art 26 DSGVO sind Verantwortliche, die gemeinsam eine Datenverarbeitung durchführen, aufgefordert, mittels einer Zuständigkeitsvereinbarung festzustellen, wer über die Wahrnehmung des Auskunftsbegehrens nachkommt.

Aufgrund spezieller gesetzlicher Regelungen können auch andere Stellen für die Erteilung einer Auskunft zuständig sein (vgl. z.B. § 8 Abs 4 BilDokG).


Welche Daten sind zu beauskunften?

Grundsätzlich sind alle Daten, die sich einer Person zuordnen lassen zu beauskunften. Dies betrifft sowohl Daten, die der Verantwortliche identifizierend einer Person zugeordnet hat (Kundendaten, Mitarbeiterdaten, Patientendaten, ...), als auch Daten, die er zwar einer Person nicht identifizierend zugeordnet hat, jedoch mit Hilfe des Antragstellers dem Betroffenen zuordnen kann. Das sind sogenannte pseudonymisierte Daten.


In welcher Form sind die Daten zu beauskunften?

Der Verantwortliche hat zu gewährleisten, dass eine Auskunft gemäß Art 12 DSGVO in transparenter und verständlicher Form erfolgt. Die Auskunftserteilung kann schriftlich oder elektronisch erfolgen. Weiters ist eine mündliche Beauskunftung zulässig, wenn die betroffene Person dies verlangt und die Identität des Betroffenen nachgewiesen wurde

Die DSGVO sieht grundsätzlich keine zwingende Formvorschrift hinsichtlich des Auskunftsansuchens vor. Bei berechtigter Zweifel über die Identität der betroffenen Person kann der Verantwortliche gemäß Art 12 Abs 6 DSGVO weitere Informationen verlangen. Der Betroffene der ein Auskunftsbegehren an einen Verantwortlichen richtet soll seine Identität nachweisen. Dies soll verhindern, dass über den Weg eines Auskunftsbegehrens personenbezogene Daten in die Hände Unbefugter gelangen können. Die Kopie eines amtlichen Ausweises mit Unterschrift, ein Meldezettel usw. sind als Beispiele für die Anerkennung als Identitätsnachweis denkbar.

Aus Beweisgründen sollten Auskunftsbegehren immer schriftlich gestellt werden. Für eine eventuell notwendige Beschwerde sollte der Versand möglichst vollständig dokumentiert werden (z.B. Einschreiben mit Rückschein, Faxsendebestätigung)

Nicht zulässig sind zusätzliche Voraussetzungen für die Erteilung einer Auskunft, die vom Verantwortlichen aufgestellt werden und die Auskunft für den Betroffenen erschweren sollen.

Die Auskunft selbst kann, sofern der Betroffene es nicht ausdrücklich anders wünscht, in elektronischer Form erfolgen. Dabei ist ein "gängiges Format" zu verwenden. Die DSGVO definiert nicht was ein "gängiges Format" ist. Gemeint ist offensichtlich, dass es kein Format sein darf, bei dem eine kostenpflichtige Zusatzsoftware erforderlich wäre, um die Auskunft lesen zu können. Damit soll vermieden werden, dass die grundsätzliche Kostenfreiheit (siehe unten) durch kostenpflichtige Leseprogramme unterlaufen wird. Eine Auskunft als pdf wird etwa diesen Ansprüchen entsprechen (zumindest solange ein pdf-Reader kostenlos bereit gestellt wird).

Zusätzlich besteht Anspruch auf Herausgabe jener Daten in strukturierter Form, die der Betroffene selbst bereitgestellt hat. Dies sind beispielsweise bei einem eMail-Betreiber die in der Mailbox eingetragenen eMail-Adressen, bei einem Telekom-Anbeiter die gespeicherten Telefon-Kontaktdaten, bei einem Facebook-Account, die hochgeladenen Bilder und Kommentare.

Diese Daten MÜSSEN so bereit gestelltwerden, dass sie von einem anderen Unternehmen automatisiert übernommen werden können. Dieses Recht entsppricht in etwa dem derzeit - auf freiwilliger Basis - angebotenen Service mancher Banken, bei Kontowechsel von Bank A nach Bank B, alle gespeicherten Daueraufträge usw. zu übernehmen.

Mit der DSGVO wird aus diesem Service ein gesetzlicher Anspruch!


Kosten

Grundsätzlich erfolgt die Auskunftserteilung an die betroffene Person kostenlos. Für den Fall, dass der Betroffene über die kostenlos zur Verfügung gestellte Kopie hinaus weitere Kopien anordnet, kann der Verantwortliche gemäß Art 15 Abs 3 DSGVO ein angemessenes Entgelt verlangen. Weiters bei offenkundig unbegründeten oder exzessiven Anträgen eines Betroffenen kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder er weigert den Antrag in Bearbeitung zu nehmen.

Die unentgeltliche Bearbeitung von Auskunftsbegehren ist erfahrungsgemäß nicht selbstverständlich. In einem Fall wurden ein Betroffener von einem großen Mobilfunkbetreiber an eine Mehrwertnummer verwiesen, unter der er angeblich Auskunft erhalten würde. In einer Stellungnahme gab das Unternehmen später an, dass es sich dabei um ein Versehen gehandelt habe und die Auskunft kostenlos wäre. Eine derartige Vorgangsweise wäre DSGVO-widrig.


Frist

Eine Auskunft ist unverzüglich, in jedem Fall innerhalb von einem Monat nach Einlangen beim Verantwortlichen zu erteilen bzw. es ist innerhalb dieser Frist zu begründen, warum keine Auskunft erteilt wird. Wenn innerhalb dieser Frist (evtl. inkl. Postlauf) keinerlei Reaktion auf das Auskunftsbegehren erfolgt, liegt jedenfalls eine Verletzung des Auskunftsrechts vor. Bei komplexeren Anspruchsbegehren kann die Frist um zweite weitere Monate verlängert werden. Der Betroffene muss über die Fristverlängerung verständigt werden und zwar in Anführung der Gründe.


Ausnahmen vom Auskunftsrecht

Die Beauskunftung kann in sechs Fällen, die im § 43 Abs 4 Datenschutzgesetz (DSG) angeführt sind, soweit und solange aufgeschoben, eingeschränkt oder unterlassen werden:

1. zur Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden, insbesondere durch die Behinderung behördlicher oder gerichtlicher Untersuchungen, Ermittlungen oder Verfahren
2. zum Schutz der öffentlichen Sicherheit
3. zum Schutz der nationalen Sicherheit
4. zum Schutz der verfassungsmäßigen Einrichtung der Republik Österreich
5. zum Schutz der militärischen Eigensicherung oder
6. zum Schutz der Rechte und Freiheiten anderer


Müssen die Empfänger von Übermittlungen beauskunftet werden?

Die Auskunft eines Verantwortlichen muss nach der DSGVO auch allfällige Empfänger oder Empfängerkreise umfassen. Die Bekanntgabe der Übermittlungsempfänger ist eine Grundlage des Rechts auf informationelle Selbstbestimmung, weil nur so Datenströme, die sich auf eine Person beziehen, nachverfolgt und von dieser Person kontrolliert werden können.

Sind konkrete Übermittlungen erfolgt, sind die Empfänger bekannt zu geben. Ausnahmen davon wären nur in ganz speziellen Fällen (z.B. Schikaneverbot) zulässig.

Bei Bonitätsauskünften muss beauskunftet werden, woher die Daten stammen, weil ein besonderes Interesse des Betroffenen besteht seine Betroffenenrechte sowohl bei der Quelle als auch bei den Empfängern der Daten geltend zu machen. Eine Verletzung der Geheimhaltungsinteressen der Übermittlungsempfänger ist grundsätzlich nicht anzunehmen


Muss die Herkunft der Daten bekannt gegeben werden?

Nach dem Wortlaut der DSGVO Art 15 ist nur über die verfügbaren Daten Auskunft zu erteilen. Eine andere Regelung ist offensichtlich auch gar nicht möglich.

In der DSGVO sieht der Erwägungsgrund 66 vor, dass vom Verantwortliche angemessene Maßnahmen zum Schutz der Rechte der Betroffenen vorzusehen sind. Dies ist wohl so zu verstehen, dass zu mindestens grundsätzlich die Herkunft von Daten in einer Weise zu protokollieren ist, die auch eine Auskunftserteilung an die Betroffenen ermöglicht.

Bei Bonitätsauskünften muss beauskunftet werden, woher die Daten stammen, weil ein besonderes Interesse des Betroffenen besteht seine Betroffenenrechte sowohl bei der Quelle als auch bei den Empfängern der Daten geltend zu machen


Durchsetzung des Auskunftsrechts

Zur Durchsetzung des Rechts auf Auskunft - ob im privaten oder öffentlichen Bereich - ist gemäß § 24 DSG eine Beschwerde bei der Datenschutzbehörde vorgesehen.

Der Vorteil einer Beschwerde bei der Datenschutzbehörde ist, dass diese kostenfrei und ohne die Vertretung durch einen Anwalt eingebracht werden kann. Die Datenschutzbehörde führt dann ein Ermittlungsverfahren durch und erlässt schlussendlich einen Bescheid, der gegebenenfalls exekutiert werden kann.

Das Datenschutzgesetz gewährleistet, gegen Bescheide der Datenschutzbehörde und für den Fall, dass diese ihren Ermittlungspflichten nicht zeitgerecht nachkommt, eine Beschwerde an das Bundesverwaltungsgericht zu erheben.


Auskunft von Verantwortlichen im Ausland

Durch die EU-Datenschutzverordnung wurde gezielt eine EU-weite Harmonisierung der Datenschutzgesetzgebung zu erreichen. Es ist demnach davon auszugehen, dass in allen Mitgliedsstaaten der Europäischen Union ein durchsetzbares Auskunftsrecht besteht. Die Mitgliedstaaten sind begrüßt nationale Regelungen von anderen Details gemäß der DSGVO zu bestimmen.

Besonders im Hinblick auf die Möglichkeiten zur Rechtsdurchsetzung ist gemäß der DSGVO in den verschiedenen Ländern von ähnlichen Voraussetzungen auszugehen.

In Ländern, die nicht Mitglied der EU oder des EWR sind, wird die Durchsetzung von Auskunftsbegehren vielfach nur schwer möglich sein. Allerdings ist in jenen Ländern, denen von der EU-Kommission die Gleichwertigkeit mit den europäischen Regelungen bescheinigt wurde, davon auszugehen, dass auch ein Auskunftsanspruch besteht.


Bei Auskunft freiwillig kürzere Fristen einhalten

Alle bisher besprochenen Auskunftsregeln ergeben sich aus den gesetzlichen Bestimmungen der EU-Datenschutzgrundverordnung und des österreichischen Datenschutzgesetzes. Diese Auskunftsrechte können auch nicht privatrechtlich, etwa durch entsprechend formulierte AGBs ausgeschlossen werden. Derartige Formulierungen, wie "beide Vertragspartner verzichten auf das Auskunftsrecht gemäß EU-Datenschutzgrundverordnung und Datenschutzgesetz" sind rechtsunwirksam.

Es besteht jedoch für Verantwortlichen die Möglichkeit die Auskunftsfristen zugunsten des Betroffenen zu verkürzen bzw. den Auskunftsumfang freiwillig zu erweitern. Eine wichtige Erweiterung wäre etwa, bekannt zu geben welche Auswertungen mit den persönlichen Daten gemacht werden.

Derartige Erweiterungen könnten branchenweit durch gemeinsame Datenschutzstandards ("Code of Conduct") formuliert werden, oder unternehmensspezifisch durch sogenannte Privacy-Statements. Leider gibt es dazu kaum lobenswerte Beispiele oder Initiativen.


Strafen und Schadenersatz

Fehlerhafte Auskünfte können mit bis zu 20 Millionen Euro Strafe oder 4 % des weltwiten Jahresumsatzes bestraft werden, je nach dem was höher ist. Nun ist nicht zu erwarten, dass die Aufsichtsbehörde diese Strafe bei einem kleinen Versehen verhängen wird, wohl aber wenn das Auskunftsbegehren systematisch gegenüber vielen Betroffenen ignoriert wird. Verantwortliche großer Datenverarbeitungen sollten daher zeitgerecht Prozesse für eine exakte Auskunftserteilung vorbereiten.

Zusätzlich kann ein Betroffener Schadenersatz bei fehlerhafter Auskunft verlangen. Dies ist gegenüber dem DSG 2000 eine völlig neue Rechtsmöglichkeit. Ein Betroffener kann dabei recht erfolgreich argumentieren, dass eine Verzögerung in der Auskunft ihn einerseits in der Wahrnehmung weiterer Betroffenenrechte behindert, andererseits er dadurch in seinem Recht auf informationelle Selbstbestimmung beschränkt wurde und damit Grund- und Freiheitsrechte beschränkt wurden.

Die DSGVO sieht zwar keine Mindesthöhe im Schadenersatz vor, bisherige Gerichtsentscheidungen nach den alten DSG 2000 - Bestimmungen haben jedoch festgehalten, dass 750,- Euro auch bei minimalen Vergehen gerechtfertigt sind. Betroffene werden daher eine Schadenshöhe von 1.000,- Euro auch dann beanspruchen können, wenn der Eingriff in ihre Freiheitsrechte nur geringfügig ist. Ein Betrag, der im Einzelfall wohl verkraftbar ist, sind jedoch mehrere 1000 Personen betroffen, kann dieser Anspruch rasch teurer werden, als die eigentlichen Strafdrohungen.

mehr --> Auskunftsbegehren gemäß § 44 DSG (Sicherheitsbehörden, Polizei...
mehr --> Auskunftsbegehren gemäß Art 15 DSGVO (Facebook - deutsche Vers...
mehr --> Besteht gemäß DSGVO Auskunftsrecht bei pseudonymen Daten (Beis...
mehr --> Besteht gemäß DSGVO Auskunftsrecht bei pseudonymen Daten (Beis...
mehr --> Auskunftsbegehren gemäß DSGVO Art 15 - v1.0
mehr --> Datenschutz Grundlagen

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2025 Information gemäß DSGVO webmaster