Die Negativauskunft nach der DSGVO – Der Teufel steckt im Detail. So machen Sie es richtig. Die Rechtsanwälte der Herfurtner Rechtsanwaltsgesellschaft mbH stehen Ihnen gerne mit Rat zur Verfügung.
Die Negativauskunft, ein ganz eigener Fallstrick!
Nach der DSGVO haben Personen grundsätzlich die Möglichkeit sich bei Ihnen drüber zu erkundigen, ob Sie Informationen von dieser Person verarbeiten.
Beispielhaft meldet sich Herr Mustermann bei Ihnen per Email und bittet Sie um Erteilung einer entsprechenden Auskunft.
Nun stellen Sie fest, dass Sie keinerlei Informationen zu Herrn Mustermann in Ihrem System gespeichert haben. Und schon befinden wir uns in der sog. Negativauskunft – Genügt hier ein einfacher Satz als Antwort?
Die Negativauskunft – So sollte sie nicht aussehen
Im ersten Schritt ist Herrn Mustermann natürlich mitzuteilen, dass man keine Daten über Ihn im System gespeichert hat und eine Verarbeitung personenbezogener Daten nicht stattfindet.
Eine entsprechende „falsche“ Negativauskunft könnte dann etwa wie folgt formuliert sein:,
Sehr geehrte Frau Musterstadt,
wir nehmen Bezug auf Ihre Anfrage vom xx.xx.xxxx und teilen Ihnen mit, dass wir keinerlei personenbezogenen Daten von Ihnen hier gespeichert haben.
Mit freundlichen Grüßen
Herr Mustermann
Eine solche Antwort genügt den Vorgaben der DSGVO jedoch nicht. Aus anwaltlicher Vorsicht raten wir Ihnen, Ihre Antwort umfassender zu gestalten.
Negativauskunft – Richtig formuliert
Wie so oft, steckt auch hier der Teufel im Detail.
Die Problematik in der sog. Negativauskunft liegt darin, dass Sie bereits mit der Bearbeitung der Anfrage entsprechende personenbezogene Daten verarbeiten.
Beispielsweise lassen Sie den Namen des Anfragenden durch Ihr System laufen. Mit Blick auf Art. 5 Abs. 2 DSGVO (die sog. Rechenschaftspflicht) speichern Sie natürlich auch die Anfrage und die Beantwortung der Anfrage. Vergessen Sie bitte nicht sich selbst abzusichern. So können Sie schnell handeln, sollten die Behörden dann doch mal an die Tür klopfen.
Wie hat nun jedoch eine entsprechende Auskunft auszusehen, sofern bis zur Anfrage des Betroffenen keinerlei Daten verarbeitet wurden:
Sehr geehrte Frau Musterstadt,
wir nehmen Bezug auf Ihre Anfrage vom xx.xx.xxxx und teilen Ihnen mit, dass wir keinerlei personenbezogene Daten von Ihnen verarbeiten. Hiervon ausgenommen sind jene Daten, die wir im Zusammenhang mit Ihrem Auskunftsersuchen erhalten haben.
Unsere Hinweise zum Datenschutz finden Sie hier (Link einsetzen)
Abschließend weisen wir Sie darauf hin, dass wir Ihr Auskunftsersuchen und unsere Auskunft für Zwecke des Nachweises der ordnungsgemäßen Auskunft für einen Zeitraum von drei Jahren speichern.
Mit freundlichen Grüßen
Herr Mustermann
Sofern ich Ihnen im oben genannten Text (Link einsetzen) steht, so können Sie hier grundsätzlich bequem auf Ihre Datenschutzerklärung verweisen. Denn bei jeder Verarbeitung von Daten ist die Person über Ihre Rechte zu informieren. Sollten Sie also eine schriftliche Auskunft erteilen, dann senden Sie bitte auch gleich Ihre Aufklärung über das Thema Datenschutz in Hause mit.
Wieso so kompliziert?
Der Teufel der Negativauskunft steckt im Detail des Gesetzes.
Im Einzelnen:
1. Art. 4 Nr. 1 DSGVO
Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Personen beziehen; als identifizierbare wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Bereits bei der Übermittlung des Namen durch den Auskunftersuchenden erhalten Sie somit personenbezogene Daten.
2. Art. 4 Nr. 2 DSGVO
Nach Art. 4 Nr. 2 DSGVO ist Verarbeitung jede mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Mit der Bearbeitung der Anfrage werden Sie die Ihnen übermittelten Daten dieser Person Abfragen, Erheben und Speichern. Darüber hinaus werden Sie die Daten speichern. Eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO liegt somit vor. Auch im Rahmen der sog. Negativauskunft.
3. Art. 13 DSGVO
Sofern nun durch Sie eine Erhebung von Daten stattfindet ist natürlich auch Art. 13 DSGVO, der Ihnen als Verantwortlichen entsprechende Mitteilungspflichten auferlegt. Im obigen Muster haben wir Ihnen eine sog. Link-Lösung nahegelegt. Über diesen Link können Sie direkt auf Ihre Datenschutzerklärungen verweisen, in welchen Sie bereits die entsprechenden Mitteilungspflichten auferlegt haben. Ist eine solche nicht vorhanden, so sind die entsprechenden Mitteilungspflichten in das Antwortschreiben mit aufzunehmen.
Wie lange sollte Sie eine erteilte Auskunft speichern?
Die Auskunft sollte für drei Jahre gespeichert werden. Dies vor dem Hintergrund, dass Ansprüche wegen einer nicht ordnungsgemäß erteilten Auskunft in drei Jahren verjähren.
Die Frist beginnt dabei mit dem Zugang Ihrer Antwort gegenüber der betroffenen Person zu laufen.
Weitere ausführliche Informationen zum Thema Auskunft nach der DSGVO finden Sie hier.
Fazit und abschließende Worte
Die Negativauskunft hat ihre Tücken. Aus anwaltlicher Vorsicht rate ich Ihnen daher dringend davon ab, die Auskunft entsprechend kurz und einfach zu erteilen.