Nutzen Sie Ihre Auskunftsrechte!

Fragen Sie Behörden und Unternehmen, was diese über Sie wissen. Schließlich entscheiden sie anhand Ihrer Daten, welche Kredite, Produkte, Dienstleistungen und Tarife sie Ihnen anbieten.

Bereits seit Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) europaweit. Artikel 15 garantiert Ihnen das Recht, Auskunft darüber zu erhalten, welche Daten über Sie gespeichert wurden. Dieses Auskunftsrecht ist die Grundlage für weitere Rechte: auf Berichtigung falscher Daten, auf Löschung und auf Einschränkung der Verarbeitung.

Wenn Sie sehen, was da alles über Sie gespeichert ist, fällt Ihnen der Wechsel zu einem datenschutzfreundlicheren Dienst womöglich leichter. Da Ihre Daten gewöhnlich in einem standardisierten, maschinenlesbaren Format bereitgestellt werden, können Sie sie dann auf einer anderen Plattform automatisch importieren und dort weiternutzen, wenn die neue Plattform dies anbietet. Ein weiterer Vorteil: Wenn Sie sich die Daten geben lassen, haben wenigstens Sie sie noch, falls der Dienst pleite ist und die Server abschaltet.

Digitalcourage-Newsletter abonnieren und auf dem Laufenden bleiben.

Das Auskunftsrecht nutzen

Ein Auskunftsersuchen können Sie an alle europäischen Firmen, Institutionen, Behörden oder auch Ihre Arbeitgeberin stellen. Sie können Auskunft darüber verlangen, ob Informationen über Sie verarbeitet werden, welche Daten zu welchem Zweck verarbeitet werden, woher diese Daten stammen, an wen sie weitergegeben werden, ob und wie lange die Daten gespeichert werden und ob die Daten für automatisierte Entscheidungsfindung benutzt werden. Falls keine Daten über Sie vorliegen, erfahren Sie auch das, durch eine sog. Negativauskunft. Neben der Auskunft selbst können Sie auch eine Kopie der gespeicherten personenbezogenen Daten anfordern.
Mittlerweile bieten einige große Konzerne Onlineformulare an, über die man eine Kopie der eigenen Daten abrufen kann. Falls Sie zum Beispiel ein Google-Konto haben, können Sie unter dem Stichwort „Takeout“ ein Archiv Ihrer bei Google gespeicherten Daten herunterladen. Auch Twitter, Ebay, Tumblr und viele andere Dienste bieten das an. Bei diesen Datenexporten ist allerdings nicht garantiert, dass es sich um eine vollständige Kopie im Sinne der DSGVO handelt. Es kann sich daher lohnen, eine Kopie explizit nach Artikel 15 anzufordern.

Auch Auskunfteien gegenüber haben Sie das Recht, Auskunft über Ihre Daten sowie eine Kopie zu erhalten. Die Schufa stellt zum Beispiel ein Onlineformular zur Verfügung, mit dem Sie einmal im Jahr eine kostenlose Selbstauskunft einholen können. Das Unternehmen versucht an dieser Stelle allerdings mitzuverdienen: Wenn Sie die Auskunft kostenfrei anfordern, wird Ihnen das Mindestmaß an Informationen mitgeteilt, das laut DSGVO in solch einer Auskunft enthalten sein muss. Möchten Sie Ihren Bonitätsscore jedoch permanent im Blick behalten, geht dies bei der Schufa nur kostenpflichtig.

Einen Musterbrief für Anfragen explizit an Schulen finden Sie in unserem Blog: Den Text können Sie für andere Behörden und für Unternehmen anpassen.

Die Auskunft muss unverzüglich erteilt werden. „Unverzüglich“ ist nicht näher definiert, doch die normale Frist von einem Monat darf nur mit schriftlicher Begründung auf drei Monate verlängert werden. Krankheit der Datenschutzbeauftragten oder zu wenig Personal gilt nicht als triftiger Grund. Die Frist von einem Monat sollten Sie in Ihrem Auskunftsersuchen ausdrücklich angeben. Damit Sie sich darauf beziehen können, falls es doch länger dauert und Sie sich bei Ihrer Aufsichtsbehörde beschweren wollen.

Natürlich muss die angefragte Stelle sicher sein, dass sie die Daten an die richtige Person herausgibt. Bei einem Onlineaccount zeigen Sie, dass er Ihnen gehört, zum Beispiel indem Sie die Anfrage mit derselben E-Mail-Adresse abschicken, mit der der Account erstellt wurde. Es kann aber auch passieren, dass Sie aufgefordert werden, einen Ausweis vorzulegen. In diesem Fall verraten Sie unter Umständen mehr Informationen, als bei der angefragten Stelle überhaupt über Sie gespeichert sind.

Das Medium, über das Sie die Auskunft beantragen, entscheidet (wenn nicht anders angegeben) über den Weg, den die Antwort nimmt: Fragen Sie per E-Mail, erhalten Sie die Antwort per E-Mail, fragen Sie per Brief, erreicht die Antwort Sie ebenfalls mit der Post.

Lassen Sie sich keinesfalls damit abwimmeln, die Ermittlung der über Sie gespeicherten Daten stelle einen unzumutbaren Arbeitsaufwand dar. Es gibt zwar (undefinierte) Grenzen der Zumutbarkeit, doch der Spielraum ist groß. So haben Gerichte geurteilt, dass es zumutbar sei, Hunderte von E-Mails nach personenbezogenen Daten zu durchsuchen und vor dem Weiterleiten fremde Daten penibel zu schwärzen. Unternehmen und Behörden dürfen Sie allerdings bitten, Ihre Anfrage einzugrenzen. Stellen Sie Ihre Anfrage nach Art. 15 DSGVO zum Beispiel bei der Stadt, in der Sie leben, werden Sie vielleicht gebeten, sich auf ein bestimmtes Amt zu beschränken (Sozialamt, Standesamt, Bauamt ...). Die Pflicht zur Eingrenzung besteht aber nicht. Wenn Sie Ihre Anfrage nicht eingrenzen wollen oder können, muss die verantwortliche Stelle Ihrem Wunsch nachkommen.

Etwas kniffelig wird die Sache, wenn Unternehmen Algorithmen als Betriebsgeheimnis ansehen. Aber auch hier ist die DSGVO auf Seiten der Betroffenen: Ein Betriebsgeheimnis darf nicht dazu führen, dass jegliche Auskunft verweigert wird. In solchen Fällen müssen trotzdem so viele Informationen herausgegeben werden, wie das möglich ist, ohne die Funktionsweise der Algorithmen preiszugeben. Personenbezogene Daten, die nur noch wegen gesetzlicher Aufbewahrungsfristen gespeichert werden (z. B. Daten aus der Geschäftskommunikation wie Zahlungsverkehr, Verträgen und Absprachen) oder nur zu Archiv- und Protokollzwecken, fallen grundsätzlich nicht unter das Auskunftsrecht.

Auskunfts-Generatoren

Wenn Sie Ihr Recht auf Auskunft wahrnehmen wollen, können Sie sich beim Formulieren unterstützen lassen. Bei Auskunftsersuchen an Polizei, Verfassungsschutz, Länder, internationale Stellen und private Scoringagenturen (Schufa, Creditreform, Arvato Infoscore) hilft der Generator datenschmutz.de. Technisch und inhaltlich betreut wird das Projekt von der Roten Hilfe Heidelberg. Die Benutzung ist sehr einfach:

„(…) füllt einfach die Felder unten aus, wählt die Stellen, an die ihr Anfragen stellen wollt und klickt auf "Generieren". Ihr solltet dann ein PDF zurückkriegen, das ihr nur noch ausdrucken und unterschreiben müsst. Wenn euer Drucker halbwegs ok ist, dürften die Briefe zur Verwendung mit Fensterumschlägen taugen.“ (Quelle: datenschmutz.de)

Der gemeinnützige Verein Datenanfragen.de e. V. betreibt ebenfalls ein Tool für DSGVO-konforme Auskunftsersuchen an Unternehmen und Behörden. Der für ein oder mehrere Adressaten generierte Text kann direkt per E-Mail abgeschickt werden.
Sollten Sie auf Ihre Anfrage keine oder eine abschlägige Antwort erhalten, senden Sie eine zweite Anfrage, mit Kopie an die zuständige Datenschutzbehörde Ihres Bundeslandes.

Grenzen des Auskunftsrechts

Artikel 15 der DSGVO verbrieft ein umfassendes Auskunftsrecht. Doch noch immer kommt es vor, dass eine Auskunft zunächst unvollständig ist und erst nach mehrmaliger Nachfrage alle Daten herausgegeben werden. Erschwerend kommt hinzu, dass man nicht unbedingt weiß, welche Daten überhaupt vorliegen und somit herausgegeben werden müssten. Außerdem umfasst das Auskunftsrecht nicht die Informationen, die Unternehmen über uns zusammenstellen, indem sie sie aus unseren Daten ableiten.

Das Recht auf Auskunft gilt nicht uneingeschränkt. Sollten Sie jeden Monat oder gar jede Woche Datenauskunft verlangen, könnte Ihr Ersuchen abgelehnt oder kostenpflichtig werden. Wie oft Sie Auskunft einholen dürfen, ist nicht genau vorgeschrieben. Wenn Sie einem Unternehmen gegenüber regelmäßig viele personenbezogene Daten preisgeben und die fehlerhafte Erfassung oder Analyse Ihrer Daten großen Schaden anrichten würde, ist eine Abfrage in kurzen Abständen legitim. Andererseits müssen sich die verantwortlichen Stellen vor unverhältnismäßig vielen Anfragen schützen können, die ihnen womöglich gezielt schaden sollen. Richtgröße: Eine Auskunft pro Jahr ist definitiv im Rahmen.

Digitalcourage setzt sich für Ihre Privatsphäre und Ihre Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder einer Fördermitgliedschaft.

Änderungen:

  • 20.03.2023: Text grundlegend überarbeitet

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie aufmerksam!

Wir aktualisieren unsere Texte in unregelmäßigen Abständen. Prüfen Sie das Datum der letzten Überarbeitung unter „Letztes Update“. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Bilder:
Infoschild: Magnus Akselvoll auf Flickr (CC BY 2.0)