9.1 Das Auskunftsrecht — Betroffenenanfragen (SAR)

Das Auskunftsrecht ist eines der zentralen Rechte, die Ihnen die Datenschutz-Grundverordnung (DSGVO) gewährt. Verankert in Art. 15 DSGVO, haben Sie das Recht zu erfahren, ob und welche personenbezogenen Daten ein Unternehmen oder eine Behörde über Sie verarbeitet — und unter welchen Bedingungen dies geschieht.

Was muss Ihnen mitgeteilt werden?

Wenn Sie eine Betroffenenanfrage (englisch: Subject Access Request, kurz SAR) stellen, ist die verantwortliche Stelle verpflichtet, Ihnen folgende Informationen zu liefern:

• Datenkategorien: Welche Arten von personenbezogenen Daten werden verarbeitet (z. B. Name, E-Mail, Standortdaten, Kaufhistorie)?
• Verarbeitungszwecke: Warum werden diese Daten genutzt (z. B. Vertragserfüllung, Marketing, Betrugsprävention)?
• Empfänger oder Empfängerkategorien: An wen werden Ihre Daten weitergegeben (z. B. Partnerunternehmen, Werbedienstleister)?
• Speicherdauer: Wie lange werden die Daten aufbewahrt oder nach welchen Kriterien wird dies bestimmt?
• Datenherkunft: Woher stammen die Daten, sofern sie nicht direkt von Ihnen erhoben wurden (z. B. von Datenmaklern oder öffentlichen Quellen)?
• Ihre weiteren Rechte: Hinweis auf das Recht auf Berichtigung, Löschung, Einschränkung und Widerspruch sowie das Beschwerderecht bei einer Aufsichtsbehörde.

Wie stellen Sie eine Betroffenenanfrage?

Eine SAR ist formlos möglich — Sie können sie per E-Mail, per Brief oder über Online-Formulare des Unternehmens einreichen. Empfehlenswert ist die schriftliche Form, damit Sie einen Nachweis haben. Richten Sie Ihr Schreiben an den Datenschutzbeauftragten (DSB) des Unternehmens — dessen Kontaktdaten müssen in der Datenschutzerklärung angegeben sein.

Zur Legitimation muss das Unternehmen Ihre Identität feststellen können. Es darf jedoch nur verhältnismäßige Nachweise verlangen — ein Scan Ihres Personalausweises ist in der Regel nicht erforderlich; Name, E-Mail-Adresse und Kundennummer reichen meist aus.

Die verantwortliche Stelle hat einen Monat Zeit zu antworten. Bei komplexen Anfragen kann die Frist auf drei Monate verlängert werden — das Unternehmen muss Sie aber innerhalb des ersten Monats darüber informieren.

Was tun bei ausbleibender Antwort oder unzulässigen Gebühren?

SARs sind grundsätzlich kostenlos. Nur bei offensichtlich unbegründeten oder exzessiven Anfragen darf ein angemessenes Entgelt verlangt werden. Bleibt die Antwort aus oder werden Ihnen unzulässige Gebühren berechnet, haben Sie zwei Möglichkeiten: Erinnerungsschreiben an das Unternehmen senden oder direkt Beschwerde bei der zuständigen Datenschutzbehörde einreichen (in Deutschland: BfDI oder Landesdatenschutzbehörde).

Praxisbeispiel: SAR an Google, Facebook und Datenmakler

Google bietet unter myaccount.google.com/data-and-privacy einen «Daten exportieren»-Dienst (Google Takeout) an, über den Sie eine vollständige Kopie Ihrer Daten herunterladen können. Facebook (Meta) stellt unter Einstellungen > Deine Facebook-Informationen ähnliche Exportfunktionen bereit. Bei Datenmaklern (Unternehmen, die Personenprofile kaufen und verkaufen) ist eine SAR besonders wertvoll, da viele Nutzer nicht wissen, dass diese Firmen überhaupt Daten über sie besitzen. Senden Sie in diesem Fall Ihr Anfrageschreiben per E-Mail an den DSB des Datenmaklers — Musteranschreiben finden Sie in Modul 13 dieses Kurses sowie beim britischen Information Commissioner's Office (ICO) unter ico.org.uk.