So reagieren Arbeitgeber rechtskonform auf Auskunftsanfragen ehemaliger Mitarbeiter

Auskunftsanfragen unterliegen keinen bestimmten Formvorschriften. Arbeitnehmer können frei entscheiden, auf welchem Weg sie ihren Antrag einreichen. Arbeitgeber dürfen für die Bearbeitung der Anfrage weder ein Entgelt verlangen noch eine Begründung einfordern.

Nach Eingang der Anfrage ist der Arbeitgeber verpflichtet, die Identität des Antragstellers zu überprüfen, um sicherzustellen, dass personenbezogene Daten nicht an unbefugte Dritte herausgegeben werden.

In diesem Kontext sind telefonische Anfragen nicht unproblematisch, da nicht in jedem Fall die Identität der anfragenden Person zweifelsfrei festgestellt werden kann. Nur wenn die Telefonnummer eindeutig dem ehemaligen Arbeitnehmer zugeordnet werden kann, darf auf eine telefonische Anfrage geantwortet werden. Andernfalls ist ein geeigneter Identitätsnachweis erforderlich, z.B. durch Nachfrage über die dem Arbeitgeber bekannten Kontaktdaten. Geht eine Anfrage per E-Mail ein, sollte der Arbeitgeber darauf ebenfalls per E-Mail antworten, sofern die E-Mail-Adresse bekannt ist und eindeutig der betroffenen Person zugeordnet werden kann.

Der Arbeitgeber hat keinen Rechtsanspruch auf eine bestimmte Übermittlungsart der Betroffenenanfrage. Soweit ihm eine Identifikation des Arbeitnehmers praktisch möglich ist, muss diese beantwortet werden.

Fordert ein Rechtsanwalt Auskunft im Namen eines Arbeitnehmers an, ist in der Regel eine Originalvollmacht erforderlich. Laut Rechtsprechung [1] beginnt die Frist zur Auskunftserteilung erst mit Vorlage einer solchen Urkunde. Zudem muss die Vollmacht explizit die datenschutzrechtlichen Betroffenenrechte umfassen. Eine Vollmacht, die sich lediglich auf arbeitsrechtliche Angelegenheiten bezieht, ist nicht ausreichend, da sie datenschutzrechtliche Anfragen nicht zwingend einschließt.

Fehlt der erforderliche Identitäts- oder Vollmachtsnachweis, sollte der Arbeitgeber den Eingang der Anfrage bestätigen und die Vorlage der entsprechenden Unterlagen nachfordern, anstatt die Anfrage zu ignorieren.

Nach Artikel 12 Abs. 3 DSGVO müssen die angeforderten Informationen grundsätzlich unverzüglich, spätestens jedoch einen Monat nach Eingang der Anfrage bereitgestellt werden. Arbeitgeber sollten die Monatsfrist nicht ohne triftigen Grund ausreizen, da dies von Gerichten als schuldhaftes Zögern angesehen werden kann. In der Regel dürfte eine Beantwortung innerhalb von sieben Tagen noch als unverzüglich gelten, wobei eine Überschreitung einer Frist von neun Tagen individuell begründet werden sollte. [2]

Wenn der Arbeitgeber einen klaren Prozess zur Beantwortung von Betroffenenanfragen sowie ein sorgfältig gepflegtes und vollständiges Verzeichnis der Verarbeitungstätigkeiten (VVT) vorhält, lassen sich die Fristen in der Regel gut einhalten.

Das Nichtvorhandensein dieser Strukturen stellt kein Argument dar, um die Frist zu verlängern, da Unternehmen grundsätzlich verpflichtet sind, diese vorzuhalten. Hierbei sollte auch der Datenschutzbeauftragte (DSB), sofern vorhanden, einbezogen werden.

In Ausnahmefällen kann die Frist gemäß Artikel 12 Abs. 3 Satz 2 DSGVO um bis zu zwei Monate verlängert werden, etwa bei sehr umfangreichen oder komplexen Anfragen. Krankheits- oder urlaubsbedingte Abwesenheit des zuständigen Personals rechtfertigen jedoch keine Fristverlängerung.

Sollte eine vollständige Bearbeitung innerhalb der Frist nicht möglich sein, ist der Betroffene rechtzeitig zu informieren. Ihm sollte dann möglichst eine Teilauskunft erteilt werden. Dabei muss deutlich gemacht werden, dass es sich um eine vorläufige Antwort handelt und weitere Informationen nachgeliefert werden.

Kommt der Arbeitgeber einem Auskunftsersuchen nicht nach, ist er gemäß Art. 12 Abs. 4 DSGVO verpflichtet, den Betroffenen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, über die Gründe der Verzögerung sowie über das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen oder einen gerichtlichen Rechtsbehelf einzulegen, zu informieren.

Artikel 15 DSGVO gewährt Betroffenen einen Anspruch auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Dies umfasst insbesondere:

• Die Zwecke der Verarbeitung
• Die Kategorien personenbezogener Daten
• Die Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben wurden oder werden
• Die geplante Speicherdauer oder die Kriterien für deren Festlegung
• Datenübermittlungen in Drittländer sowie die dafür bestehenden Garantien
• Herkunft der Daten, sofern diese nicht bei der betroffenen Person erhoben wurden
• Automatisierte Entscheidungsfindung, einschließlich Profiling
• Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• Das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch gegen die Verarbeitung personenbezogener Daten.

Darüber hinaus haben Betroffene das Recht auf eine Kopie der verarbeiteten Daten. Erfasst sind dabei nicht nur Stammdaten wie etwa Name, Adresse, Geburtsdatum und Bankverbindungsdaten oder Accountdaten genutzter Unternehmens-Software, sondern beispielsweise auch gestellte Urlaubsanträge, Fehltage, Dienstpläne, Gehaltsabrechnungen und sonstige Informationen, aus denen sich Rückschlüsse auf den Betroffenen ziehen lassen. Zudem erfasst der Anspruch auch Informationen aus interner Kommunikation, sofern diese personenbezogene Daten des Betroffenen enthalten.

Geschäftsgeheimnisse oder personenbezogene Daten Dritter dürfen nur herausgegeben werden, wenn dies rechtlich zulässig ist. Andernfalls sind entsprechende Stellen zu schwärzen, wobei der Aussagegehalt der Daten erhalten bleiben muss. Ist eine derartige Schwärzung nicht möglich, muss abgewogen werden, ob die schutzwürdigen Interessen des Dritten oder die des Anspruchsstellers überwiegen. Werden Informationen geschwärzt, ist dies bei Auskunftserteilung dem Betroffenen zu begründen.

Die DSGVO schreibt keine bestimmte Form für die Auskunftserteilung vor. Sie kann schriftlich, elektronisch oder in Ausnahmefällen mündlich erfolgen (Art. 12 DSGVO). Wurde der Antrag elektronisch (bspw. per Mail) gestellt, so ist nach Möglichkeit auf demselben Wege zu antworten. Die Auskunft muss präzise, transparent und verständlich formuliert sein.

Ein aktuelles und vollständiges VVT ermöglicht es, die für die Beantwortung der Auskunft erforderlichen Informationen strukturiert zu entnehmen. Bei umfangreichen Verarbeitungstätigkeiten empfiehlt sich eine tabellarische Darstellung, ergänzt durch ein Schreiben und gegebenenfalls Anlagen. Das Schreiben beinhaltet dann alle Informationen, die sich nicht für eine tabellarische Darstellung eignen oder diese ergänzen. Als Anlagen können z. B. Auszüge aus Software-Tools beigefügt werden, die relevante Daten enthalten.

Soweit noch kein VVT vorhanden ist, muss zunächst ermittelt werden, an welchen Stellen im Unternehmen Daten des ehemaligen Mitarbeiters verarbeitet werden. Dabei empfiehlt es sich, alle relevanten Abteilungen einzubeziehen, insbesondere die Personalabteilung sowie die direkten Vorgesetzten. Ziel sollte es dabei sein, die Anfrage so umfassend und vollständig wie möglich zu beantworten.

Gemäß Art. 15 Abs. 3 DSGVO haben Betroffene das Recht, eine Kopie ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten. Die Kosten hierfür trägt der Arbeitgeber. Fordert der Arbeitnehmer mehrere Kopien desselben Datensatzes an, kann der Arbeitgeber für jede weitere Kopie ein angemessenes Entgelt verlangen. Der Anspruch auf Kopie entspricht inhaltlich dem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO; daher können nur Kopien der Daten verlangt werden, für die ein Auskunftsanspruch besteht.

Ob eine Kopie herauszugeben ist, hängt vom konkreten Auskunftsersuchen ab. Keinesfalls sind bei jeder Anfrage Kopien aller verarbeiteten Daten herauszugeben. Vielmehr kommt es darauf an, ob der Betroffene tatsächlich eine Kopie verlangt, was durch Auslegung der Anfrage und gegebenenfalls durch Nachfrage beim Betroffenen zu ermitteln ist. Allerdings kann auch, wenn keine Kopie verlangt wird, die Anfrage in Form einer Kopie beantwortet werden, sofern sich aus der Kopie die erforderlichen Daten ergeben.

Der Bundesgerichtshof (BGH) hat entschieden, dass die Bereitstellung von Kopien von Dokumentauszügen, vollständigen Dokumenten oder Datenbankteilen erforderlich sein kann, wenn dies für das Verständnis der personenbezogenen Daten notwendig ist. Enthält ein gesamtes Dokument personenbezogene Daten (z. B. eine E-Mail des Arbeitnehmers), ist in der Regel eine vollständige Kopie bereitzustellen. Hingegen sind Schreiben, E-Mails oder Notizen des Arbeitgebers nicht automatisch in Gänze als personenbezogene Daten des Betroffenen einzustufen, selbst wenn sie solche Informationen enthalten. Hier ist sorgfältig zu prüfen, ob eine Kopie für eine vollständige Auskunft notwendig ist. [3]

In einem früheren Urteil hat das Bundesarbeitsgericht (BAG) klargestellt, dass Personen nicht automatisch einen Anspruch auf Kopien aller E-Mails haben, die ihre personenbezogenen Daten enthalten. Stattdessen müssen sie ihr Auskunftsbegehren präzisieren und darlegen, welche spezifischen Informationen sie benötigen. [4]

Es ist wichtig, den Arbeitnehmer nicht mit einer Flut von Kopien zu überhäufen, um die Rechte Dritter zu schützen und die Auskunft transparent und verständlich zu halten. Daher sollte der Betroffene gegebenenfalls aufgefordert werden, sein Anliegen zu präzisieren, um den Umfang der Auskunft sinnvoll einzugrenzen.

Ein begründetes Auskunftsersuchen darf grundsätzlich nicht verweigert werden. Allerdings bestehen inhaltliche Einschränkungen, insbesondere hinsichtlich personenbezogener Daten Dritter sowie bei betroffenen Betriebs- und Geschäftsgeheimnissen. In solchen Fällen sind die betreffenden Informationen – sofern möglich – unkenntlich zu machen.

Verarbeitet der Arbeitgeber keine personenbezogenen Daten des Arbeitnehmers mehr oder wurden diese bereits vollständig anonymisiert, ist eine sogenannte Negativauskunft zu erteilen, die den Betroffenen hierüber informiert.

Ist die Identität des Antragstellers nicht eindeutig feststellbar, darf die Auskunft vorerst nicht erteilt werden. In diesem Fall sollte der Arbeitgeber den Betroffenen zur Vorlage geeigneter Identifikationsdokumente auffordern.

Wenn der Betroffene nach Ansicht des Arbeitgebers bereits über die betreffenden Daten verfügt, ist dennoch hierüber Auskunft zu erteilen. Wurde bereits über bestimmte Daten Auskunft gegeben, so ist auch bei einer erneuten Anfrage darüber zu informieren. Für weitere Kopien kann dann jedoch gemäß Art. 15 Abs. 3 S. 2 DSGVO ein angemessenes Entgelt verlangt werden.

Wiederholte Anfragen sind nicht unbegrenzt zulässig. Gemäß Art. 12 Abs. 5 S. 2 DSGVO kann der Verantwortliche bei offensichtlich unbegründeten oder exzessiven Anträgen – insbesondere im Fall häufiger Wiederholungen – entweder ein angemessenes Entgelt verlangen oder die Auskunft sogar verweigern. Dabei sind an das Merkmal der „häufigen Wiederholung“ hohe Maßstäbe anzulegen. Im Falle der Verweigerung ist der Betroffene gemäß Art. 12 Abs. 4 DSGVO über die Gründe der Verweigerung sowie über die Möglichkeit der Beschwerde oder der Einlegung eines Rechtsbehelfs zu informieren.

1. Strukturierte Prozesse einführen: Verantwortlichkeiten für die Bearbeitung von Anfragen sollten klar definiert sein.
2. Fristen im Blick behalten: Anfragen müssen rechtzeitig beantwortet werden, um Bußgelder oder Schadensersatzforderungen zu vermeiden.
3. Datenschutzbeauftragte einbeziehen: Interne oder externe Datenschutzbeauftragte können sicherstellen, dass Anfragen rechtssicher bearbeitet werden.
4. Verzeichnis der Verarbeitungstätigkeiten führen: Ein gut gepflegtes Verzeichnis erleichtert die Bearbeitung von Auskunftsanfragen erheblich.

Mit einer durchdachten Herangehensweise können Betroffenenanfragen effizient und rechtssicher bearbeitet sowie Risiken in arbeitsgerichtlichen Streitigkeiten minimiert werden.

[1]: AG Berlin-Mitte, Urteil vom 29.07.2019 (Az. 7 C 185/18); OLG Stuttgart, Urteil vom 31.03.2021 (Az. 9 U 34/21).
[2]: Vgl. EuGH, Urteil vom 14.6.2016 (C-263/14); vgl. ArbG Duisburg, Urteil vom 23.3.2023 (Az. 3 Ca 44/23); vgl. BAG, Urteil vom 27.2.2020 (2 AZR 390/19); Brandt/Goffart, NZA 2024, 240 (241); a.A. Barrein/Fuhlrott NZA 2024, 443 (444).
[3]: BGH, Urteil vom 5.5.2024 (VI ZR 330/21).
[4]: BAG, Urteil vom 27.04.2021 (2 AZR 342/20).