Nach Art. 15 DSGVO kann jedermann auch völlig anlasslos anfragen, welche ob und gegebenenfalls welche Daten zu seiner Person im Unternehmen verarbeitet werden und gespeichert sind. Die Auskunft ist dann in der Regel innerhalb eines Monats und auf Kosten des Verantwortlichen zu erteilen. Im Internet kursiert bereits ein »DSGVO-Albtraum-Brief«.
Frist zur Beantwortung
Nach Art. 12 Abs. 3 DSGVO muss ein Auskunftsersuchen muss nach Art, 12 Abs.3 DSGVO ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats beantwortet werden.
Umfang der Auskunft
Grundsätzlich sind auf Anfrage hin alle personenbezogenen Daten zu übermitteln. Nur dann, wenn der Datenbestand sehr groß ist (etwa bei einem sozialen Netzwerk), dürfen die Betroffenen aufgefordert werden, das Auskunftsverlangen auf bestimmte Verarbeitungsverfahren oder Datenarten zu konkretisieren.
Form der Auskunft
Die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgt. Die Auskunft muss also für einen Laien ohne weiteres nachvollziehbar sein.
Die Auskunft kann schriftlich oder elektronisch erteilt werden. Wenn der Antrag allerdings elektronisch gestellt wurde) muss in der Regel auch die Auskunftserteilung elektronisch erfolgen – außer der Antragsteller verlangt die Zusendung per Post. Wenn der Antragsteller die Auskunft mündlich verlangt, muss diese mündlich erteilt werden.
Identitätsprüfung
Bevor Daten im Rahmen eines Auskunftsersuchens herausgegeben werden, ist die Identität des Antragstellers zu prüfen, EG 64 S. 1 DSGVO. Eine solche Prüfung muss und darf aber nur bei berechtigten Zweifel erfolgen. Wenn der Nutzer eines Online-Portals oder einer App seine E-Mail verifiziert hat oder der Kunde eines Onlineshops per Kreditkarte oder Überweisung gezahlt hat, liegen solche Zweifel nicht vor. In anderen Fällen, zum Beispiel wenn die Auskunft über eine neue E-Mailadresse kommt, sollte ein Identitätsnachweis gefordert werden. Das heißt allerdings nicht, dass etwa eine vollständige Kopie des Personalausweises oder eines Führerscheins verlangt werden darf. Denn dabei würden Informationen wie etwa die Personalausweisnummer mit verlangt, die für eine Identitätsprüfung gar nicht notwendig sind. Wenn überhaupt sollte also eine Kopie des Ausweises nur mit Hinweis darauf verlangt werden, dass bis auf Namen und Adresse und nötigenfalls das Foto alle übrigen Angaben geschwärzt werden müssen.
Kopie der Daten
Herauszugeben ist nach Art. 15 Abs. 3 S. 1 DSGVO vor allem auch eine vollständige Kopie aller personenbezogenen Daten, die zum Betroffenen gespeichert wurden. Gemeint ist damit eine 1-zu-1-Kopie der vorhandenen Datenbestände. Eine vorhandene Papierakte ist zu Kopieren oder, wenn die Anfrage in elektronischer Form gestellt wird, in digitalisierter Form zur Verfügung zu stellen. Kopiert werden müssen auch E-Mails, Korrespondenz, Aufzeichnungen, Auswertungen, Datensätze aus der Telefonanlage und andere Unterlagen, die personenbezogene Daten enthalten. Da die personenbezogenen Daten des Betroffenen bei der Nutzung von Software zur Verarbeitung der Daten regelmäßig in einer Datenbank gespeichert sind, muss auch ein Auszug der Datensätze in Dateiform zur Verfügung gestellt werden.
Es empfiehlt sich daher, Verzeichnis der Verarbeitungstätigkeiten um eine Zeile zu ergänzen, in der der Speicherort angegeben wird. Ohne einen solchen Eintrag wird es für den Verantwortlichen kaum möglich sein, in einem überschaubaren Zeitraum nachzuvollziehen, welche Daten eines Betroffenen an welchen Stellen in welcher Form vorliegen.