Der richtige Umgang mit Auskunftsersuchen von Arbeitnehmern
Über das Recht auf Auskunft, welches zu den Betroffenenrechten im Datenschutz gehört, haben wir bereits öfter in unserem Datenschutzblog für NRW berichtet. Für den Betroffenen ist das Recht auf Auskunft, welches mit einem Auskunftsersuchen einhergeht, ein wichtiger Baustein, um den Umgang mit den eigenen personenbezogenen Daten prüfen zu können. Es gilt als Grundlage für jedes weitere Betroffenenrecht, denn nur wer weiß, welche personenbezogenen Daten verarbeitet werden, der kann auch von weiteren Rechten Gebrauch machen.
Für den Verantwortlichen im Datenschutz bedeutet das Recht auf Auskunft auch, dass er verpflichtet ist, diese Auskunft zu gewähren. Bei einem Arbeitsverhältnis kann der Auskunftsanspruch im Datenschutz aber auch Grenzen unterliegen.
Art. 15 DS-GVO Auskunftsrecht
Jeder Betroffene, dessen personenbezogene Daten von einer Organisation verarbeitet werden, hat das Recht auf Auskunft darüber:
- welche personenbezogenen Daten verarbeitet werden
- in welcher Form die personenbezogenen Daten verarbeitet werden
- wer die personenbezogenen Daten verarbeitet
- ob personenbezogene Daten zur Verarbeitung weitergegeben werden usw.
Dies muss auf Antrag des Betroffenen geschehen, welcher keiner besonderen Form bedarf und keine Begründung beinhalten muss. Mehr zum Recht auf Auskunft lesen Sie in unserem
BLOG-TIPP: BETROFFENENRECHTE – WAS BESAGT DAS RECHT AUF AUSKUNFT?
Transparenz durch Recht auf Auskunft
Das Recht auf Auskunft soll vor allem Transparenz der Verarbeitung von personenbezogenen Daten für den Betroffenen herstellen. Der Betroffene soll die Möglichkeit haben, genau zu wissen, welche seiner personenbezogenen Daten in welchem Kontext verarbeitet werden. Auf dieser Grundlage kann der Betroffene dann auch weitere Betroffenenrechte geltend machen.
Aber auch für den Verantwortlichen kann es sinnvoll sein, Verarbeitungsprozesse und die Verwendung von personenbezogenen Daten bis hin zur Sicherstellung der Löschung durch Löschkonzepte aufgrund des Auskunftsrechts zu erarbeiten.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Besonderheiten bei Arbeitnehmern
In einem Beschäftigungsverhältnis ist der Arbeitgeber der Verantwortliche im Datenschutz und muss so dem Arbeitnehmer als Betroffenen Auskunft über die verarbeiteten personenbezogenen Daten erteilen.
Wenn in diesem Zusammenhang ein Auskunftsersuchen gestellt wird, dann gilt es unter Umständen einiges zu beachten. Zum einen kann die Menge an personenbezogenen Daten, die in einem Beschäftigungsverhältnis verarbeitet werden, den Verantwortlichen vor Herausforderungen stellen. Zum anderen kann durch die gesetzliche Zeitvorgabe der zeitliche Druck auf den Arbeitgeber steigen.
Es bedarf daher einer guten Vorbereitung und Organisation, um Betroffenenanfragen im Beschäftigungsverhältnis ausreichend gerecht zu werden. Eine entsprechende Vorbereitung für solche Anfragen macht daher durchaus schon im Voraus Sinn.
Auskunftspflicht darf nicht verletzt werden
Es ist wichtig, das Betroffenenanfragen, egal welcher Betroffene die Anfrage stellt und um welche Art von Anfrage es sich handelt, nach den gesetzlichen Vorgaben bearbeitet werden. Wer zum Beispiel ein Auskunftsersuchen eines Betroffenen nicht ausreichend und in der vorgegebenen Zeit (sofort – spätestens nach einem Monat) beantwortet, der riskiert ein Bußgeld.
Dabei ist es egal, in welchem Verhältnis Verantwortlicher und Betroffener zueinander stehen. Auch wenn keine Daten verarbeitet wurden, muss dies dem Betroffenen mitgeteilt werden und auch bei einem Beschäftigungsverhältnis muss eine Auskunft erteilt werden.
Fehler vermeiden
Um sicher zu stellen, dass alle Angaben vollständig und richtig gemacht und weitergegeben werden, sollte der Verantwortliche möglichst systematisch vorgehen. Vor allem im Angestelltenverhältnis oder nach der Beendigung eines Arbeitsverhältnisses, weiß der betroffene Arbeitnehmer vermutlich schon in weiten Zügen darüber Bescheid, wo seine personenbezogenen Daten verarbeitet wurden.
Mögliche Punkte, die bei einer systematischen Abarbeitung einer Anfrage beachtet werden müssen, können sein:
- Eingang der Anfrage dokumentieren (um Frist zu gewährleisten und ggf. nachzuweisen)
- Wenn möglich, für jeden Mitarbeiter eine entsprechende Dokumentation der personenbezogenen Daten erstellen, sowie deren Verarbeitungsprozesse dokumentieren
- Identitätsprüfung – ist der Anfragesteller auch der Betroffene
- Bei einer großen Menge an Zwecken, bei denen Beschäftigtendaten verarbeitet werden, kann der Verantwortliche unter Umständen eine Präzisierung der Anfrage verlangen
- Prüfung, ob eine Grenze des Auskunftsrechts vorliegt – z.B. bei einer Verarbeitung von Daten über einen sehr langen Zeitraum
- Ausschlussgründe prüfen (z.B., wenn der Betroffene nicht selbst den Antrag stellt – offenkundig unbegründeter Antrag oder exzessiver Antrag, wenn nicht erkennbar ist, dass die geforderte Leistung zur Umsetzung des Datenschutzes beitragen kann)
Geheimhaltung und Ausschlussgründe
Wenn sich der Verantwortliche auf das Interesse an Geheimhaltung berufen kann, bedeutet das, dass Informationen offengelegt würden, die geheim gehalten werden müssten. In diesem Fall muss immer eine individuelle Entscheidung getroffen werden, welches Interesse überwiegt.
Sowohl die Berufung auf die Geheimhaltung als auch andere Ausschlussgründe sollten immer ausreichend von einem Fachmann, wie zum Beispiel durch einen (externen) Datenschutzbeauftragten, beurteilt werden. Eine vorschnelle Ablehnung einer Auskunft kann im Zweifel auch zu Bußgeldern führen und sollte immer eine Ausnahme bleiben. Wichtig ist dabei auch, dass die Auskunftsverweigerung immer fundierte Gründe vorweist und dem Betroffenen entsprechend mitgeteilt wird.
Recht auf Auskunft geht über Informationspflichten hinaus
Das Recht auf Auskunft ist – vor allem bei Beschäftigungsverhältnissen – sehr umfangreich und muss entsprechend bearbeitet werden. Dabei gehen die Informationen über die der Informationspflichten für Betroffene hinaus.
Trotzdem sollte der Verantwortliche gerade Anfragen der eigenen Mitarbeiter oder ehemaligen Beschäftigten sehr genau und verantwortlich bearbeiten. Um hierbei sicher agieren zu können und alle möglichen und nötigen Angaben zu machen, sollte der (externe) Datenschutzbeauftragte bei der Erstellung der Unterlagen hinzugezogen werden.
Gerade kleine Organisationen können die Menge der zu beachtenden Punkte und die Fallstricke, die entstehen können, ohne einen Fachmann oft nicht vollumfänglich beurteilen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.