Besserer Datenschutz durch ...

Negativauskunft bei Betroffenenanfragen: Vorsicht vor dem Eigentor

Selbst Jahre nach Einführung der Datenschutz-Grundverordnung (DSGVO) versetzen Auskunftsersuchen viele Unternehmen kurzzeitig in eine Schockstarre. Schließlich handelt es sich hierbei um eines der weitreichendsten Rechte der betroffenen Personen. Das Auskunftsrecht nach Art. 15 DSGVO ermöglicht es den Anfragenden, umfassende Informationen darüber zu erhalten, ob und in welchem Umfang ihre personenbezogenen Daten verarbeitet werden. Darüber hinaus beinhaltet das Recht gegebenenfalls auch eine Kopie der verarbeiteten Daten.

Doch was passiert, wenn keine personenbezogenen Daten der anfragenden Person verarbeitet werden? Eigentlich könnte man die Auskunft in einem solchen Fall recht schnell beantworten: “Wir verarbeiten keine personenbezogenen Daten von Ihnen”. Allerdings lauert hier eine potenzielle Falle, die oft übersehen wird: Was ist mit den Daten aus der Anfrage selbst?

Muster

Negativauskunft bei Betroffenenanfragen

Unser Muster für eine Negativauskunft bietet alle relevanten Informationen zur schnellen Bearbeitung von Anfragen.

Jetzt kostenlos herunterladen

Grundsätze bei Betroffenenanfragen

Bevor wir tiefer in das Thema Negativauskunft einsteigen, sollten wir uns ein paar Grundsätze bei Betroffenenanfragen ins Gedächtnis rufen: Eine Betroffenenanfrage gemäß Art. 15 DSGVO erfordert mehrere grundlegende Schritte, um korrekt und fristgerecht zu antworten.

Zuerst muss stets die Identität der anfragenden Person verifiziert werden. Es muss sichergestellt werden, dass die Person, die die Anfrage stellt, tatsächlich die betroffene Person ist. Dies ist besonders wichtig, um den unberechtigten Zugriff auf personenbezogene Daten durch Dritte zu verhindern. Eine unsachgemäße Identitätsprüfung könnte zu Datenschutzverstößen führen. Weitere Details hierzu finden sich in unserem separaten Artikel über die Identitätsprüfung bei Betroffenenanfragen.

Danach muss das Unternehmen sicherstellen, dass die Anfrage fristgerecht beantwortet wird. Nach Art. 12 Abs. 3 DSGVO ist die Antwort „unverzüglich, in jedem Fall aber binnen eines Monats“ zu erteilen. In Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden, allerdings nur unter Angabe triftiger Gründe. Unternehmen sollten diese Verlängerungsmöglichkeit jedoch nicht übermäßig in Anspruch nehmen. Das Arbeitsgericht Duisburg hat in einem Urteil vom 03. November 2023 klargestellt (AZ 5 Ca 877/23), dass selbst eine Antwort binnen 19 Tagen in bestimmten Fällen als zu spät gelten kann, wenn die Auskunft leicht zu erbringen gewesen wäre. Es ist daher ratsam, Betroffenenanfragen so schnell wie möglich zu bearbeiten, um unangenehme Konsequenzen zu vermeiden.

Was ist eine Negativauskunft?

Eine Negativauskunft ist die Antwort auf eine Auskunftsanfrage, in der mitgeteilt wird, dass keine personenbezogenen Daten der anfragenden Person verarbeitet werden. Auch wenn keine Daten vorhanden sind, hat der Betroffene ein Recht auf diese Information. Es reicht nicht, die Anfrage zu ignorieren oder keine Antwort zu geben. Eine Negativauskunft dient der Transparenz und dem Nachweis, dass das Unternehmen den Anforderungen der DSGVO nachkommt.

Wann ist eine Negativauskunft erforderlich?

Eine Negativauskunft ist erforderlich, wenn ein Unternehmen nach einer gründlichen Prüfung feststellt, dass keine personenbezogenen Daten der betroffenen Person verarbeitet werden. Dies kann in folgenden Situationen der Fall sein:

  • Der Betroffene war nie Kunde oder Nutzer des Unternehmens.
  • Es gibt keine Aufzeichnungen über Interaktionen mit der anfragenden Person.
  • Die gespeicherten Daten wurden bereits gelöscht.

Die scheinbare Einfachheit einer Negativauskunft

In der Praxis kommt es häufig vor, dass Unternehmen keinerlei personenbezogene Daten des Betroffenen verarbeiten. An diesem Punkt könnte man davon ausgehen, dass die Antwort trivial ist. Doch hier ist Vorsicht geboten: Denn bereits die Anfrage selbst – sei es per E-Mail oder über ein Formular – enthält in der Regel personenbezogene Daten, wie etwa den Namen, die E-Mail-Adresse oder andere Identifikationsmerkmale. Diese Verarbeitung muss in der Auskunft ebenfalls berücksichtigt werden.

NOVIDATA Updates

Newsletter Datenschutz & IT-Sicherheit

Mit unserem Newsletter erhälst du aktuelle Informationen zu den Themen Datenschutz & IT-Sicherheit regelmäßig bequem in dein Postfach!

Jetzt anmelden

Was gehört in eine Negativauskunft?

Wenn das Unternehmen keine personenbezogenen Daten des Anfragenden verarbeitet, außer den Informationen, die es durch die Anfrage selbst erhalten hat, sollte die Negativauskunft dennoch präzise und vollständig sein. Neben der Klarstellung, dass keine weiteren Daten verarbeitet werden, sollte explizit darauf hingewiesen werden, dass die Daten aus der Anfrage verarbeitet wurden und wie damit verfahren wird.

Wie lange sollten die Angaben aus der Auskunft sowie die Antwort gespeichert werden?

Daten, die im Rahmen einer Auskunftsanfrage nach Art. 15 DSGVO verarbeitet werden, sollten in der Regel für einen Zeitraum von drei Jahren aufbewahrt werden. Dieser Zeitraum orientiert sich an der gesetzlichen Verjährungsfrist nach § 195 BGB, innerhalb derer potenzielle Ansprüche aus datenschutzrechtlichen Verstößen geltend gemacht werden können. Das bedeutet, dass Unternehmen die Daten der Anfrage bis zu drei Jahre lang speichern, um Nachweise über die Erfüllung ihrer Auskunftspflicht zu sichern und sich vor möglichen rechtlichen Forderungen zu schützen. Nach Ablauf dieser Frist sollten die Daten gelöscht werden, sofern keine weiteren rechtlichen Aufbewahrungspflichten bestehen.

Wie sieht es mit dem Recht auf Kopie der Daten im Falle einer Negativauskunft?

Wenn ein Betroffener im Rahmen einer Negativauskunft eine Kopie seiner personenbezogenen Daten fordert, ist dies nur dann möglich, wenn tatsächlich personenbezogene Daten des Betroffenen verarbeitet werden. Bei einer Negativauskunft, in der mitgeteilt wird, dass keine personenbezogenen Daten über den Betroffenen vorliegen, entfällt die Pflicht zur Bereitstellung einer Kopie, da schlichtweg keine Daten existieren, die kopiert oder weitergegeben werden könnten.

Auf einen Blick

Bestandteile der Negativauskunft

Eine Negativauskunft nach Art. 15 DSGVO sollte klar und präzise aufgebaut sein und folgende wesentliche Bestandteile enthalten: Eine eindeutige Klarstellung, dass keine personenbezogenen Daten des Betroffenen verarbeitet werden, Hinweise auf die Betroffenenrechte (z. B. Recht auf Berichtigung oder Löschung), sowie Informationen zur Frist der Datenlöschung, sofern die Anfrage selbst personenbezogene Daten enthält. Zudem sollte die Möglichkeit einer Beschwerde bei der zuständigen Aufsichtsbehörde erwähnt werden:

  • Information, dass abgesehen von den Informationen aus dem Auskunftsersuchen keine personenbezogenen Daten verarbeitet werden
  • Informationen über die Zwecke der Verarbeitung

Darüber hinaus müssen ggf. zusätzliche Informationen bereitgestellt werden, über:

  • Kategorien personenbezogener Daten, die verarbeitet werden
  • Empfänger bzw. Kategorien von Empfängern
  • Geplante Speicherdauer
  • Herkunft der Daten
  • Automatisierte Entscheidungsfindung einschließlich Profiling
  • Datenübermittlung in Drittländer

Ganz besonders wichtig ist der Hinweis auf sämtliche Rechte der betroffenen Person:

  • Das Recht auf Auskunft (Art. 15 DSGVO),
  • Das Recht auf Berichtigung (Art. 16 DSGVO),
  • Das Recht auf Löschung (Art. 17 DSGVO),
  • Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Das Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
  • Das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) sowie Das Recht auf Widerruf einer Einwilligung (Art. 7 DSGVO).

Muster Negativauskunft kostenlos herunterladen

Falls du ein Muster für eine Negativauskunft erstellen möchtest, stellen wir dir gerne ein kostenloses Muster zur Verfügung. Dieses kannst du einfach herunterladen und an die Anforderungen deines Unternehmens anpassen. Es enthält alle notwendigen rechtlichen Bestandteile und Formulierungen, um den Anforderungen der DSGVO zu entsprechen.

Inhalt wird geladen ...