Gemäß der Datenschutzgrundverordnung (DSGVO) müssen Kommunen den Bürgern Auskunft über die Verarbeitung und Speicherung ihrer Daten erteilen: ein aufwendiges Unterfangen mit Regeln, Formvorschriften und Fristen. Aber es gibt Möglichkeiten, den Aufwand zu reduzieren – in Ausnahmefällen bis hin zur Auskunftsverweigerung.

Wie im ersten Teil des Artikels geschildert, gilt diese Auskunftspflicht für Privatunternehmen und Behörden gleichermaßen. Ausnahmen gibt es nicht. Von einer Kommune können ihre Bürger daher folgende Auskünfte verlangen:

  • die Kategorien der personenbezogenen Daten, welche verarbeitet werden
  • die Zwecke der Verarbeitung
  • der gegenwärtige und künftigen Empfängerkreis der Daten
  • die geplante Dauer der Speicherung sowie die Kriterien für die Festlegung der Dauer
  • die bestehenden Rechte auf Löschung und Berichtigung hinsichtlich der gespeicherten Daten
  • die Herkunft der Daten
  • die Verwendung von automatisierter Entscheidungsfindung sowie deren Logik
  • der Zweck und die Übermittlung von Daten in Drittländer oder an internationale Organisationen
  • die Vorlage sämtlicher personenbezogener Daten in Kopie

Diese Auskunftsansprüche sind ein Werkzeug, mit dem die Bürger überprüfen können, ob die Vorschriften der DSGVO eingehalten werden. Mit der Benennung der gespeicherten Daten lässt sich beispielsweise feststellen, ob der Grundsatz der Datenminimierung gemäß der DSGVO befolgt wird. Mit der Auskunft über die geplante Speicherung der personenbezogenen Daten können Betroffene überprüfen, ob die vorgeschriebenen Löschfristen eingehalten werden. Bestehen keine anderweitigen Pflichten zu Datenspeicherung, beispielsweise aus steuerrechtlichen Gründen, müssen personenbezogene Daten nämlich unverzüglich gelöscht werden. Hilfestellung kann ein DSGVO-Fragebogen innerhalb der eigenen Verwaltung leisten. So lässt sich sicherstellen, dass die Vorgaben der DSGVO beachtet und eventuelle Schwächen in der Umsetzung aufgedeckt werden.

Fristen für die Auskunftserteilung

Die Zusammenstellung derart vieler Informationen bedeutet in den meisten Verwaltungen einem erheblichen Arbeits- und Zeitaufwand, muss doch zumindest der Form halber jeder einzelne Fachbereich eine Datenabfrage vornehmen und das Auskunftsersuchen beantworten. Gerade Zeit ist dabei jedoch Mangelware: Artikel 12 Abs. 3 DSGVO schreibt vor, dass die Beantwortung von Auskunftsverlangen unverzüglich, also ohne schuldhaftes Zögern, spätestens jedoch innerhalb eines Monats zu erfolgen hat. Nur in Ausnahmefällen darf diese Frist um zwei weitere Monate verlängert werden, etwa wenn eine hohe Anzahl von Anfragen vorliegt oder die Beantwortung der speziellen Anfrage sich als besonders komplex erweist. Eine Fristverlängerung kann aber nicht einfach automatisiert vollzogen werden, sondern muss dem Antragsteller begründet angezeigt werden.

Vorbereitung ist alles

Eine Ausweitung der Antwortfrist darf also nur die Ausnahme und nicht die Regel sein. Die Verwaltungen sollten sich daher auf die regelmäßige Frist von einem Monat zur Beantwortung der Anfragen vorbereiten. Die gute Nachricht  ist, dass mit einer vernünftigen Vorbereitung selbst umfangreiche Alptraumbriefe – standardisierte Auskunftsersuchen, mit denen sämtliche Auskünfte auf einmal abgefragt werden – zu meistern sind.

Zahlreiche Informationen, die im Rahmen eines vollständigen Auskunftsersuchens angegeben werden müssen, benötigen lediglich eine einmalige Vorbereitung und können anschließend für jedes Auskunftsersuchen verwendet werden. So lässt sich für die Frage nach der Weiterleitung von personenbezogenen Daten an Drittländer und internationale Organisationen eine Musterantwort formulieren, die für alle Anfragen verwendet werden kann. Gleiches dürfte für die Speicherdauer von Daten (nach Fachbereichen gegliedert) und den Einsatz einer automatisierten Entscheidungsfindung gelten. Ein Teil der Auskunftserteilung kann so in aller Ruhe vorbereitet werden.

Weiterhin empfiehlt es sich zur Vereinfachung des Verfahrens, dass nur jene Mitarbeiter Zugriff auf personenbezogene Daten haben, die auch tatsächlich mit deren Verarbeitung betraut sind. Des Weiteren sollten personenbezogene Daten auf möglichst wenigen Datenbanken gespeichert sein. Beides erleichtert das Zusammenstellen von gespeicherten Daten zu spezifischen Anfragen erheblich.

In bestimmten Fällen ist Auskunftsverweigerung erlaubt

Viele kommunale Datenschutzbeauftragte fürchten, dass schwierige gesellschaftliche Gruppen, namentlich die sogenannten Reichsbürger, den gesetzlichen Auskunftsanspruch nutzen könnten, um die Verwaltungen mit vielfachen und konzentrierten Ersuchen lahmzulegen.

Eine Auskunftserteilung kann grundsätzlich nicht verweigert werden, selbst wenn der Verdacht besteht, dass der Antrag nur gestellt wird, um die Verwaltung zu behindern. Jedoch kann gem. Art. 12 Abs. 5 DSGVO bei offensichtlich unbegründeten oder exzessiven Anfragen die Auskunft verweigert werden. Eine unbegründete Anfrage ist beispielsweise dann anzunehmen, wenn es niemals eine Verbindung zwischen dem Antragssteller und der betreffenden Verwaltung gegeben hat. Ein Anfragenexzess besteht immer dann, wenn innerhalb eines kurzen Zeitraums wiederholt Anfragen gestellt werden. Außerdem kann die auskunftspflichtige Stelle grundsätzlich immer um eine Konkretisierung der Anfrage bitten. Dies ist insbesondere für Verwaltungen wichtig, deren verschiedene Abteilungen sich mit einer Vielzahl von bürgerrelevanten Angelegenheiten beschäftigen. Verweigert der Antragsteller die Konkretisierung, so betrachten einzelne Kommunen dies bereits als Anfragenexzess, der nur dazu gedacht ist, Arbeitskraft zu binden. Ein solches Vorgehen sollte jedoch stets mit der zuständigen Aufsichtsbehörde abgesprochen werden.

Alternativ besteht in den genannten Fällen für die Verwaltung auch die Möglichkeit, ein dem Aufwand angemessenes Entgelt für die Erteilung der Auskunft zu verlangen. Gerade bei sehr umfangreichen Auskünften, in die verschiedene Fachbereiche mit einbezogen werden müssen, kann dieses Entgelt schnell einen hohen vierstelligen Betrag erreichen.

Formvorschriften für Kommunen

Für das Auskunftsverlangen der Bürger bestehen keine Formvorschriften, doch die Verwaltungen müssen bei der Erteilung von Auskünften Einiges beachten. Die Auskunftserteilung kann auf dem schriftlichen oder elektronischen Wege erfolgen. Hierbei sind alle gestellten Fragen zu beantworten, auf deren Beantwortung ein Anspruch besteht, sowie eine Kopie der personenbezogenen Daten zur Verfügung zu stellen.

Wurde das Auskunftsersuchen elektronisch eingereicht, sind die Informationen ebenfalls in einem gängigen elektronischen Format bereitzustellen, sofern der Antragssteller nicht explizit ein anderes Verfahren wünscht. Der 63. Erwägungsgrund der DSGVO gibt zudem vor, dass die elektronische Auskunftserteilung Sicherheitsanforderungen zu genügen hat. Dem lässt sich mit einer verschlüsselten Übertragung nachkommen.

Wichtig: Identität bestimmen

Nicht auf jede Anfrage sollte ohne Weiteres Auskunft erteilt werden. So ist es bei gängigen Namen wie „Rainer Müller“ wahrscheinlich, dass mehr als eine Person dieses Namens in der Kommune wohnt. Vor der Auskunftserteilung ist daher die Identität des Antragsstellers eindeutig zu bestimmen. Vorsicht ist zudem bei Anfragen per Mail geboten: Falsche E-Mail-Adressen lassen sich schnell anlegen. Wird ein Ersuchen über eine unbekannte E-Mail Adresse eingereicht, sollte ein Identitätsnachweis angefordert werden. Eine solche Vorprüfung geht nicht zu Lasten der kurzen Bearbeitungszeit des Ersuchens. Die Frist läuft erst, wenn die Identität des Auskunftsersuchenden eindeutig festgestellt werden konnte. Eine sorgfältige Überprüfung schützt vor der unberechtigten Weitergabe von personenbezogenen Daten an Dritte und entspricht damit ganz und gar dem Geist der Datenschutzgrundverordnung.

Autor: Dipl.-Jur. Niklas Mühleis, LL.M., Kanzlei Heidrich Rechtsanwälte in Hannover, www.recht-im-internet.de