Vorgehensweise bei Erhalt eines Auskunftsersuchens
Bei Erhalt eines Auskunftsersuchens empfehlen wir folgende Vorgehensweise:
Schritt 1: Identifizierung der auskunftsersuchenden Person
Prüfe zunächst, ob du die auskunftsersuchende Person anhand der gemachten Angaben eindeutig identifizieren kannst. Falls weitere Angaben für eine eindeutige Identifizierung notwendig sind oder begründete Zweifel an der Identität des Antragstellers bestehen (insb. bei elektronischen Auskunftsersuchen), sollten vor Auskunftserteilung die zur Identifizierung erforderlichen Informationen angefordert werden. Zu diesem Zweck können u. a. der vollständige Name, die Anschrift und das Geburtsdatum abgefragt werden.
Verwenden dazu gerne unser Musterschreiben "Auskunft — weitere Angaben zur Identifizierung erforderlich"
Schritt 2: Prüfung, ob personenbezogene Daten der auskunftsersuchenden Person verarbeitet werden
Prüfe dann anhand der Angaben des Auskunftsersuchenden, wie bspw. der E-Mail-Adresse und des Namens, umfassend und gründlich, ob und welche personenbezogenen Daten des Betroffenen du gespeichert hast. Beachte dabei sämtliche Systeme im Unternehmen, mit denen personenbezogene Daten gespeichert werden, insbesondere deine Newsletterverteiler. Bei größeren Unternehmen kann es auch vorkommen, dass ehemalige Mitarbeiter eine Auskunft anfordern. Solltest du in den Datenbanken deiner Kunden also keine Daten des Betroffenen finden, kann ein Blick in Mitarbeiterdatenbanken ebenfalls sinnvoll sein.
Schritt 3: Beantwortung der Auskunft
Inhalt der Auskunftserteilung bei stattfindender Datenverarbeitung
Werden personenbezogene Daten des Auskunftsersuchenden in deinem Unternehmen gespeichert, erteile zunächst Auskunft über diese Daten, indem du eine Kopie der Daten zur Verfügung stellst. Dabei genügt nach allgemeiner Auffassung eine Kopie der Übersicht sämtlicher gespeicherten, personenbezogenen Daten. Nicht gemeint ist eine Kopie aller zur betroffenen Person gespeicherter Dokumente. Diese Kopie der Daten kann unmittelbar im Auskunftsschreiben oder in einem gesonderten, gleichzeitig mit dem Auskunftsschreiben zu übermittelnden Dokument zur Verfügung gestellt werden. Teile dem Kunden zusätzlich zur Kopie bitte folgende Informationen mit:
- die Kategorien personenbezogener Daten, die verarbeitet werden (ergibt sich regelmäßig aus der Kopie der Daten)
- die Zwecke, zu denen die Verarbeitung der Daten erfolgt
- sämtliche Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden bzw. werden
- alle stattgefundenen oder geplanten Datenübermittlungen in Drittstaaten außerhalb der EU sowie das Bestehen geeigneter Garantien nach Art. 46 DSGVO für diese Übermittlungen
- die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder — falls dies nicht möglich ist — die Kriterien für die Festlegung dieser Dauer
Beispiele:
Für Daten, die im Zusammenhang mit Bestellungen im Online-Shop erhoben wurden, ist regelmäßig eine Speicherung bis zum Ablauf gesetzlicher Verjährungsfristen (also für 3 Jahre nach Vertragsschluss) gerechtfertigt. Es können aber auch Gründe bestehen, die eine längere Speicherung rechtfertigen, z. B. wenn du eine 5-jährige Garantie auf die Produkte gewährst. Bei Daten, die bspw. zur Eröffnung eines Kundenkontos erhoben wurden, hängt die Speicherdauer davon ab, inwieweit davon auszugehen ist, dass der Kunde sein Kundenkonto noch nutzen wird. Es empfiehlt sich also, die Speicherdauer in Abhängigkeit der letzten Aktivität des Kunden festzulegen.
- das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling gemäß Artikel 22 Abs. 1, 4 DSGVO und in diesen Fällen Informationen über die involvierte Logik und die Tragweite und die angestrebten Auswirkungen dieser Verarbeitung für die betroffene Person;
Profiling meint speziell jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der die Daten verwendet werden, um bestimmte persönliche Aspekte, insbesondere bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person zu analysieren, zu bewerten oder vorherzusagen (z. B. automatisierte Prognose über Erfolgsaussichten personalisierter Werbekampagnen, Beurteilung der Geeignetheit von Bewerbern für Stellenangebote auf Job-Portalen, Einstufung als "Risiko"-Kunde anhand festgelegter Faktoren bei Versicherungen). Sofern solche Verfahren angewendet werden, ist der Betroffene über die der Entscheidungsfindung zugrunde liegende Logik sowie über die möglichen Auswirkungen für die betroffene Person zu informieren.
- wurden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen der Betroffenenrechte nach Art. 16 bis 21 DSGVO;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.
Verwende dazu gerne unser Musterschreiben "Auskunft"
Inhalt der Auskunftserteilung, wenn keine Datenverarbeitung stattfindet
Verarbeitest du keine personenbezogenen Daten des Betroffenen oder wurden diese unumkehrbar anonymisiert, muss dem Betroffenen auch hierüber entsprechend Auskunft (sog. Negativauskunft) erteilt werden. Eine solche Negativauskunft ist auch zu erteilen, wenn die personenbezogenen Daten des Betroffenen für die weitere Verarbeitung gesperrt und allein zur Erfüllung gesetzlicher Aufbewahrungsfristen gespeichert werden.
Verwende dazu gerne unser Musterschreiben "Negativauskunft".
Form der Auskunftserteilung
Wurde das Auskunftsersuchen auf elektronischem Weg gestellt (z. B. per E-Mail), ist die Auskunft in einem gängigen elektronischen Format zu erteilen, vgl. Art. 15 Abs. 3 S. 3 DSGVO). Du kannst die Auskunft in dem Fall beispielsweise als PDF-, PNG- oder TXZ-Datei per E-Mail an den Betroffenen übermitteln. Die elektronische Übermittlung kann alternativ mittels eines passwortgeschützten Fernzugangs zu einem sicheren System, über den der betroffenen Person direkter Zugang zu ihren personenbezogenen Daten ermöglicht wird, erfolgen. Die Auskunft ist schriftlich per Postsendung zu erteilen, wenn der Betroffene dies wünscht oder der Antrag auf diesem Weg gestellt wurde. Zu Dokumentations- und Beweiszwecken empfehlen wir den Versand z. B. per Einwurf-Einschreiben.
Frist der Auskunftserteilung
Auskunftserteilungen müssen unverzüglich erfolgen, spätestens aber innerhalb eines Monats nach Eingang des Auskunftsersuchens der betroffenen Person zur Verfügung gestellt werden. In Ausnahmefällen kann die Monatsfrist überschritten werden. Die Frist kann um weitere zwei Monate verlängert werden, sofern dies vor dem Hintergrund der Komplexität und Anzahl von Anträgen erforderlich ist. Darüber muss die betroffene Person, unter Angabe der für die Verzögerung verantwortlichen Gründe, einen Monat nach Eingang des Antrags unterrichtet werden.
Mustervorlagen zum Auskunftverlangen
Im Folgenden siehst du eine Vorschau unserer Mustervorlagen. Die ausführlichen Dokumente inklusive umfangreicher Ausfüllhinweise kannst du hier im HB Marketplace kaufen. Die Dokumente sind auch zum Ausfüllen am Computer vorbereitet.
Muster "Auskunft — weitere Angaben zur Identifizierung erforderlich"
..................................
..................................
..................................
..................................
..................................
Betreff: Ihr Auskunftsersuchen vom ..................................
Sehr geehrter Herr / Sehr geehrte Frau ....................................................................,
vielen Dank für Ihr Auskunftsersuchen vom ............................... .
Wir haben dieses geprüft und festgestellt, dass wir Sie anhand der mitgeteilten Angaben nicht zweifelsfrei identifizieren können. Eine Beantwortung Ihres Auskunftsersuchens ist uns ohne weitere Informationen zu Ihrer Person deshalb nicht möglich.
Um Ihr Auskunftsersuchen beantworten zu können, bitten wir Sie daher, uns die folgenden Informationen zu Ihrer Person mitzuteilen:
Im Einzelfall haben uns die Kunden hier folgendes mitgeteilt:
...
Vollständige Mustervorlage im Marketplace herunterladen
Muster "Auskunft"
..................................
..................................
..................................
..................................
..................................
Betreff: Ihr Auskunftsersuchen vom ..................................
Sehr geehrter Herr / Sehr geehrte Frau ....................................................................,
vielen Dank für Ihr Auskunftsersuchen vom ..............................., welches uns am ............................... ist.
Mit dem Auskunftsersuchen haben Sie uns gebeten, Ihnen Auskunft darüber zu erteilen, welche Daten wir von Ihnen zu welchem Zweck verarbeiten.
1. Daten, die wir von Ihnen verarbeiten (*Zutreffendes bitte ankreuzen):
Wir verarbeiten folgende personenbezogene Daten:
☐ Name | .................................................................... |
☐ Anschrift | .................................................................... |
☐ Telefon | .................................................................... |
☐ E-Mail-Adresse | .................................................................... |
☐ Telefonnummer | .................................................................... |
☐ Faxnummer | .................................................................... |
☐ Zahlungsdaten | .................................................................... |
☐ Geburtsdatum | .................................................................... |
☐ .................................. | .................................................................... |
☐ .................................. | .................................................................... |
☐ .................................. | .................................................................... |
2. Zwecke der Verarbeitung (*Zutreffendes bitte ankreuzen):
Wir verarbeiten diese Daten
☐ | zur Erfüllung des mit Ihnen am .................................. geschlossenen Vertrages über .................................................................... |
☐ | um Ihnen postalische/elektronische/telefonische* Werbung zukommen zu lassen |
☐ | .................................................................... |
☐ | .................................................................... |
☐ | .................................................................... |
3. Kategorien von Empfängern der Daten (*Zutreffendes bitte ankreuzen):
Die Daten wurden bzw. werden von uns an folgende Kategorien von Empfängern übermittelt (abschließende Auflistung notwendig):
☐ | Hostingdienstleister |
☐ | Versandunternehmen |
☐ | Zahlungsdienstleister |
☐ | Bonitätsauskunfteien |
☐ | Anbieter eines Warenwirtschaftssystems |
☐ | Lieferanten |
☐ | Newsletterempfänger |
☐ | Shopsystembetreiber |
☐ | .................................................................... |
☐ | .................................................................... |
☐ | .................................................................... |
☐ | Eine Übermittlung der Daten von uns an Dritte ist nicht erfolgt und nicht geplant. |
4. Datenübermittlung in Drittstaaten (*Zutreffendes bitte ankreuzen):
☐ Eine Übermittlung Ihrer Daten an Empfänger in Drittstaaten außerhalb der Europäischen Union erfolgt nicht.
☐ Ihre Daten werden an folgende Empfänger in Drittstaaten außerhalb der Europäischen Union übermittelt:
............................................................................................................................................................................................................
5. Speicherdauer (*Zutreffendes bitte ankreuzen):
☐ | Die geplante Speicherdauer für Ihre personenbezogenen Daten beträgt für: ........................................................................................................................................ ........................................................................................................................................ ........................................................................................................................................ Die personenbezogenen Daten, für die keine konkrete Speicherdauer angegeben werden kann, werden für den Zeitraum gespeichert, für den sie zur Erfüllung der oben genannten Zwecke benötigt und werden nach Zweckerreichung und Ablauf gesetzlicher Verjährungsfristen gelöscht oder für die weitere Verarbeitung gesperrt. |
☐ | Ihre personenbezogenen Daten werden für den Zeitraum gespeichert, für den sie zur Erfüllung der oben genannten Zwecke benötigt und werden nach Zweckerreichung und Ablauf gesetzlicher Verjährungsfristen gelöscht oder für die weitere Verarbeitung gesperrt. |
...
Muster "Negativ-Auskunft"
..................................
..................................
..................................
..................................
..................................
Betreff: Ihr Auskunftsersuchen vom ..................................
Sehr geehrter Herr / Sehr geehrte Frau ....................................................................,
vielen Dank für Ihr Auskunftsersuchen vom ..............................., welches uns am ............................... zugegangen ist.
Wir haben dieses geprüft und bestätigen Ihnen hiermit, dass wir keine Sie betreffenden personenbezogenen Daten verarbeiten.
...
Mustervorlagen zum Löschungsverlangen
Hinweis: Im Folgenden siehst du eine Vorschau unserer Mustervorlagen. Die ausführlichen Dokumente inklusive umfangreicher Ausfüllhinweise kannst du hier im HB Marketplace kaufen. Die Dokumente sind auch zum Ausfüllen am Computer vorbereitet.
Muster "Antwortschreiben - Alle Daten können gelöscht werden"
..................................
..................................
..................................
..................................
..................................
Betreff: Ihr Löschungsersuchen vom ..................................
Sehr geehrter Herr / Sehr geehrte Frau ....................................................................,
Ihr Löschungsersuchen vom ..............................., ist uns am ............................... zugegangen.
Wir bestätigen Ihnen hiermit, dass wir sämtliche personenbezogenen Daten, die Ihnen zugeordnet werden konnten, wunschgemäß gelöscht haben.
Die Empfänger, denen gegenüber wir Ihre personenbezogenen Daten offengelegt haben, haben wir über Ihr Löschungsersuchen informiert. Dieses Schreiben und Ihre darin enthaltenen personenbezogenen Daten speichern wir allein zu Nachweisgründen bis zum Ablauf gesetzlicher Verjährungsfristen für 3 Jahre. Anschließend werden wird diese Daten ebenfalls unverzüglich und unaufgefordert löschen.
...
Muster "Antwortschreiben — Nicht alle Daten können gelöscht werden"
..................................
..................................
..................................
..................................
..................................
Betreff: Ihr Löschungsersuchen vom ..................................
Sehr geehrter Herr / Sehr geehrte Frau ....................................................................,
Ihr Löschungsersuchen vom ..............................., ist uns am ............................... zugegangen.
Wir bestätigen Ihnen hiermit, dass wir Ihre personenbezogenen Daten, soweit dies möglich war, gelöscht haben.
Die nachfolgend gelisteten / genannten Daten können unsererseits (noch) nicht gelöscht werden, weil wir bezüglich dieser Daten an gesetzliche Aufbewahrungsfristen gebunden sind:
........................................................................................................................................
........................................................................................................................................
........................................................................................................................................
........................................................................................................................................
Diese Daten wurden für die weitere Verarbeitung gesperrt und werden unsererseits ausschließlich zur Erfüllung der nachstehend gesetzlichen, insbesondere steuer- und handelsrechtlichen Aufbewahrungsfristen gespeichert. Diese Aufbewahrungsfristen ergeben sich beispielhaft aus § 257 HGB, § 14b UStG und § 147 AO und verpflichten uns zur Aufbewahrung der Daten für 6 bzw. 10 Jahre.
Eine Verarbeitung der Daten unsererseits, die über diese Speicherung hinausgeht, erfolgt nicht mehr. Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden wir diese Daten unverzüglich und unaufgefordert löschen.
Die nachfolgend gelisteten / genannten personenbezogenen Daten können unsererseits nicht gelöscht werden, weil deren Verarbeitung im Zusammenhang mit dem am ......... mit Ihnen über .................. geschlossenen Vertrages weiterhin erforderlich ist:
........................................................................................................................................
........................................................................................................................................
........................................................................................................................................
........................................................................................................................................
........................................................................................................................................
...