Tipps für Arbeitgeber: Auskunftsanspruch nach Art. 15 DSGVO

Was bedeutet der Auskunftsanspruch nach DSGVO?

‍

Der Auskunftsanspruch nach Art. 15 DSGVO gibt jeder betroffenen Person – also z. B. einem Arbeitnehmer – das Recht, vom Arbeitgeber Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten über sie verarbeitet werden. Im Klartext: Ein (ehemaliger) Mitarbeiter kann von Ihnen eine Bestätigung verlangen, dass Sie Daten über ihn speichern, und detaillierte Informationen darüber erhalten, welche Daten dies sind und zu welchem Zweck. Dieses Recht gilt gegenüber öffentlichen Stellen und Unternehmen gleichermaßen und umfasst alle personenbezogenen Daten des Mitarbeiters, die im Unternehmen vorhanden sind.

‍

Wichtig zu wissen: Der Auskunftsanspruch bezieht sich nicht nur auf offensichtliche Daten wie Name, Adresse oder die Personalakte, sondern z. B. auch auf E-Mail-Korrespondenzen oder interne Vermerke, sofern darin personenbezogene Informationen über den Mitarbeiter enthalten sind. Auch ehemalige Mitarbeiter können ihr Recht auf Auskunft ausüben, solange das Unternehmen noch personenbezogene Daten von ihnen speichert. Das Auskunftsersuchen muss dabei keiner bestimmten Form genügen – es kann schriftlich, elektronisch oder sogar mündlich erfolgen, und der Mitarbeitermuss keine Begründung dafür liefern. Als Verantwortlicher (Arbeitgeber) sind Sie jedoch berechtigt, bei Zweifel an der Identität einen Nachweis zu verlangen, bevor Sie die Daten herausgeben. Insgesamt dient dieses Recht der Transparenz: Mitarbeiter sollen verstehen und nachvollziehen können, welche Daten über sie verarbeitet werden, um gegebenenfalls weitere Datenschutzrechte (Berichtigung, Löschung etc.) gezielt ausüben zu können.

‍

Viele Arbeitnehmer machen von diesem Recht Gebrauch, insbesondere in Konfliktsituationen. In der Arbeitswelt ist zu beobachten, dass der Auskunftsanspruch zunehmend auch als Druckmittel eingesetzt wird – etwa im Kontext von Kündigungsstreitigkeiten oder anderen Auseinandersetzungen. Für Arbeitgeber bedeutet das: Nehmen Sie ein Auskunftsersuchen stets ernst und reagieren Sie professionell und fristgerecht, um Eskalationen zu vermeiden. Was dabei zeitlich und inhaltlich zu beachten ist, erläutern wir im Folgenden.

‍

Welche Fristen gelten für die Beantwortung?

‍

Sobald ein Auskunftsersuchen eines Mitarbeiters bei Ihnen eingeht, tickt die Uhr. Die DSGVO schreibt vor, dass Sie den Antrag „unverzüglich, spätestens jedoch binnen eines Monats“ ab Eingang beantworten müssen. Diese Frist beginnt mit dem Tag, an dem das Auskunftsverlangen bei Ihrem Unternehmen eintrifft (egal ob per E-Mail, Post oder mündlich protokolliert). In der Regel sollten Sie also innerhalb von 30 Tagen die vollständige Auskunft erteilen.

‍

Eine Verlängerung der Frist ist nur in Ausnahmefällen möglich. Ist ein Auskunftsersuchen besonders komplex oder liegen mehrere Anträge von derselben Person vor, kann die Antwortfrist um weitere zwei Monate verlängert werden. Wichtig: Von dieser Verlängerungsmöglichkeit muss begründet Gebrauch gemacht werden. Das heißt, Sie müssen dem Mitarbeiter innerhalb der ursprünglichen Monatsfrist mitteilen, dass Sie mehr Zeit benötigen, und sachlich erklären, warum (z. B. weil die Zusammenstellung der Daten aufwändig ist).Ohne eine solche rechtzeitige Zwischenmitteilung riskieren Sie bereits einen Fristverstoß.

‍

Beachten Sie, dass fehlende interne Kapazitäten oder Urlaub keine offiziellen Verlängerungsgründe darstellen – die Anforderungen der DSGVO gelten ohne schuldhaftes Zögern. Auch eine ausstehende Identitätsprüfung oder ein sehr breit formuliertes Verlangen entbinden Sie nicht von der Pflicht, zeitnah zu reagieren. In solchen Fällen sollten Sie innerhalb der Monatsfrist zumindest um Präzisierung bitten oder den Identitätsnachweis einfordern.

Fazit: Stellen Sie sicher, dass in Ihrem Betrieb klare Verantwortlichkeiten bestehen, um ein Auskunftsersuchen sofort aufzunehmen und fristgerecht zu bearbeiten. Verspätungen können teuer werden – dazu gleichmehr.

‍

Welche Informationen müssen bereitgestellt werden?

‍

Der Umfang der Auskunft nach Art. 15 DSGVO ist sehr umfassend. Als Arbeitgeber müssen Sie dem anfragenden (ehemaligen) Mitarbeiter im Grunde alle personenbezogenen Daten offenlegen, die Sie über ihn gespeichert haben und eine Reihe von Zusatzinformationen bereitstellen. Konkret verlangt die DSGVO, dass Sie bei einer Auskunftsanfrage folgende Angaben machen (sofern zutreffend):

• Bestätigung der Datenverarbeitung: Zunächst, ob Sie personenbezogene Daten der Person verarbeiten (dies wird in der Regel der Fall sein, z. B. weil ein Arbeitsverhältnis bestand).
• Kopie der personenbezogenen Daten: Der Mitarbeiter hat Anspruch auf eine Kopie aller verarbeiteten personenbezogenen Daten. Das bedeutet, Sie müssen die     betreffenden Informationen tatsächlich herausgeben – etwa in Form von Kopien aus der Personalakte, Auszügen aus digitalen Datenbanken, E-Mail-Dokumentationen oder anderen Dateien, in denen personenbezogene Mitarbeiterdaten enthalten sind. Die Kopie sollte in einer verständlich aufbereiteten Form erfolgen (z. B. als gut lesbares PDF-Dokument). Beachten Sie, dass die erste Kopie kostenlos sein muss.
• Verarbeitungszwecke: Zu welchem Zweck verarbeiten Sie diese Daten? Zum Beispiel Personalverwaltung, Lohnabrechnung, Leistungsbewertung etc. Hier sind alle Zwecke aufzuführen.
• Datenkategorien: Welche Kategorien personenbezogener Daten werden verarbeitet? Etwa Stammdaten (Name, Adresse, Geburtsdatum), Vertragsdaten (Arbeitsvertrag, Gehalt), Leistungsdaten (Arbeitszeitaufzeichnungen, Bewertungen) oder besondere Kategorien (z. B. Gesundheitsdaten).
• Empfänger oder Empfängerkategorien: An wen wurden diese Daten weitergegeben oder werden sie künftig offengelegt? Hier müssen alle internen und externen     Empfänger benannt werden. Dazu gehören z. B. externe Dienstleister (Lohnbüro, IT-Provider), Behörden, Sozialversicherungsträger oder auch     Konzernunternehmen. Nach aktueller Rechtsprechung des EuGH reicht es oft nicht aus, nur Kategorien zu nennen – die konkreten Empfänger (Namen der Firmen     oder Stellen) sind mitzuteilen, sofern möglich.
• Speicherdauer: Wie lange werden die Daten gespeichert? Entweder die konkrete Dauer (z. B. bis 31.12.2025) oder zumindest die Kriterien für die Festlegung der     Dauer (z. B. aufgrund gesetzlicher Aufbewahrungsfristen 10 Jahre ab Beendigung des Arbeitsverhältnisses).
• Datenherkunft: Falls die personenbezogenen Daten nicht direkt beim Mitarbeiter erhoben wurden, müssen Sie angeben, aus welcher Quelle sie stammen. Im     Arbeitskontext kann das z. B. relevant sein, wenn Sie Informationen von Dritten erhalten haben (etwa Referenzen von früheren Arbeitgebern oder Daten von externen Assessments).
• Automatisierte Entscheidungen/Profiling: Falls zutreffend, müssen Sie mitteilen, ob automatisierte Entscheidungsfindungen einschließlich Profiling stattfinden, die für den Mitarbeiter rechtliche Wirkungen haben oder ihn erheblich beeinträchtigen. Wenn ja, ist zumindest in Grundzügen zu erläutern, nach welcher Logik diese Verfahren arbeiten und welche Auswirkungen sie haben.
• Hinweis auf Rechte des Betroffenen: Schließlich verlangt Art. 15 DSGVO, dass Sie den Mitarbeiter über seine weiteren Betroffenenrechte informieren. Dazu     gehören das Recht auf Berichtigung unrichtiger Daten, auf Löschung (Recht auf Vergessenwerden), auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht gegen bestimmte Verarbeitungen. Ebenso müssen Sie auf das Beschwerderecht bei der Aufsichtsbehörde hinweisen.

‍

Was darf nicht offengelegt werden?

‍

Bei aller Transparenz gibt es Grenzen: Nicht alles, was im Unternehmen gespeichert ist, darf ungefiltert herausgegeben werden. Geschäfts-und Betriebsgeheimnisse des Unternehmens oder vertrauliche Informationen über Dritte müssen geschützt bleiben. Die DSGVO selbst stellt klar, dass die Auskunft nicht so weit gehen darf, dass dadurch die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

‍

In der Praxis bedeutet das: Enthalten die Daten eines Mitarbeiters zugleich Angaben über andere Personen oder interne Bewertungen, die ein berechtigtes Geheimhaltungsinteresse darstellen, dürfen Sie diese Passagen unter Umständen schwärzen oder ausklammern. Eine pauschale Verweigerung der Auskunft mit Verweis auf Betriebsgeheimnisse ist jedoch nichtzulässig. Es ist stets eine Einzelfall-Abwägung vorzunehmen: Welche konkreten Inhalte würden preisgegeben? Steht dem ein schützenswertes Interesse entgegen? Kann eventuell eine Teil-Auskunft erteilt werden, die das schutzwürdige Geheimnis wahrt?

‍

Neben den Geschäftsgeheimnissen gibt es noch wenige weitere Ausnahmefälle. So dürfen offenkundig unbegründete oder exzessive Anfragen abgelehnt werden. Ein Beispiel wäre, wenn derselbe Mitarbeiter in kurzer Folgemehrfach dieselben Auskünfte verlangt, ohne dass sich neue Daten ergeben haben. Auch dann sollte der Arbeitgeber dies dokumentieren und begründen. Generell ist die Schwelle für eine Ablehnung jedoch hoch – die Verweigerung der Auskunft bleibt die Ausnahme und muss im Zweifel vor einer Aufsichtsbehörde oder Gerichtstand halten.

‍

Was passiert bei unvollständiger oder verspäteter Antwort?

‍

Eine verspätete, unvollständige oder verweigerte Auskunft kann für Arbeitgeber erhebliche Konsequenzen haben. Mitarbeiter, deren Auskunftsersuchen nicht ordnungsgemäß erfüllt wird, können sich an die Datenschutzaufsichtsbehörde wenden und Beschwerde einlegen. Die Behörde kann dann ein Prüfverfahren einleiten – und gegebenenfalls weitere Maßnahmen oder Sanktionen verhängen.

‍

Zum anderen steht dem Mitarbeiter bei Verstößen ein Schadensersatzanspruch nach Art. 82 DSGVO zu. Das bedeutet: War die Auskunftspflicht verletzt, kann der Arbeitgeber auf immateriellen Schadensersatz verklagt werden. Bereits die Anwalts- und Gerichtskosten zur Abwehr solcher Ansprüche können das Unternehmen belasten, von Image-Schäden ganz zu schweigen.

‍

Auch die Behörden selbst haben ein scharfes Schwert: Bußgelder. Die Verletzung von Betroffenenrechten – wozu das Auskunftsrecht zählt – kann mit empfindlichen Geldstrafen geahndet werden. Theoretisch sind nach DSGVO Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes möglich. Zwar mögen derartige Höchststrafen in KMU-Fällen unwahrscheinlich sein, aber bereits kleinere fünf- oder sechsstellige Bußgelder können sehr wehtun.

‍

Wie können sich Arbeitgeber absichern?

‍

Angesichts der Pflichten und Risiken sollten Arbeitgebervorbereitet sein, um Auskunftsverlangen effizient und rechtssicher zu bearbeiten. Folgende Maßnahmen helfen Ihnen, sich abzusichern:

‍

1. Klare interne Prozesse und Verantwortlichkeiten
2. Schnelle Reaktion und Fristenmanagement
3. Vollständige Datensammlung
4. Sorgfältige Prüfung sensibler Inhalte
5. Standardvorlagen nutzen
6. Schulung und Sensibilisierung
7. Rechtsberatung im Zweifelsfall

‍

Rechtliche Unterstützung und Beratung

‍

Trotz aller Vorsorgemaßnahmen kann die Bearbeitung von Auskunftsersuchen im Arbeitsverhältnis herausfordernd sein. Die Anforderungen der DSGVO werden durch neue Urteile ständig präzisiert und erweitert. Als Anwalt für Datenschutz im Arbeitsrecht stehe ich Ihnen gerne zur Seite, um Fallstricke zu vermeiden und Ihr Unternehmen bestmöglich abzusichern.

Benötigen Sie Unterstützung? Nehmen Sie jetzt Kontakt mit uns auf. Wir bieten Ihnen unter anderem folgende Leistungen:

• Proaktive Vorbereitung: Schaffung von Systemen für Auskunftsersuchen
• Übernahme der Kommunikation
• Rechtliche Prüfung des Auskunftsersuchens
• Unterstützung bei der inhaltlichen Ausarbeitung

Schützen Sie Ihr Unternehmen vor Datenschutzverstößen und bauen Sie zugleich Vertrauen bei Ihren Mitarbeitern auf. Kontaktieren Sie mich jetzt für eine unverbindliche Erstberatung zum Thema Auskunftsanspruch nach DSGVO. Gemeinsam finden wir die optimale Lösung für Ihr Anliegen und sorgen dafür, dass Sie im Bereich Datenschutz im Arbeitsrecht auf der sicheren Seite stehen.