Auskunftsbegehren innerhalb des Konzerns

Frage des GDD Erfa-Kreises Würzburg zu Auskunftsbegehren innerhalb eines Konzerns:

Wenn ein Betroffener Auskunft bei einer Firma verlangt und diese zu einem Konzern gehört, ist dann die jeweilige rechtlich selbständige Einheit verpflichtet, den Betroffenen hinzuweisen, dass  möglicherweise seine Daten auch bei anderen rechtlichen Einheiten der Gruppe gespeichert sein könnten. Es werden zwar keine Daten weitergegeben (es können also keine Empfänger genannt werden) in der Praxis ist aber wohl den Betroffenen  oft nicht ganz klar,  dass es mehrere rechtlich Einheiten gibt. Die Betroffenen googeln meist nach der Zentrale und richten ihre Auskunft an den dort benannten Mutterkonzern. Auf der einen Seite sind die Betroffenenrechte durch die EU-DS-GVO gestärkt, d.  h. aufgrund des „überlegenen Wissens“ könnte eine Informationspflicht bestehen, andererseits müssten die betroffenen Personen gerade aufgrund der umfassenden Transparenzpflichten in der Lage sein, ein „qualifiziertes Auskunfts-verlangen“ zu formulieren.

Antwort des BayLDA:

Die  Auskunftspflicht nach Art. 15 DS-GVO betrifft zunächst nur den Verantwortlichen im Sinne von Art. 4 Nr. 7 DS-GVO, also die angegangene Firma als juristische Person.  Ausnahmen sind bei einer gemeinsamen Verantwortlichkeit nach Art. 4 Nr. 19 und Art. 26 DS-GVO gegeben.

Allerdings soll der Verantwortliche der betroffenen Person nach Art. 12 Abs. 2 Satz 1 DS-GVO die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 erleichtern, woraus auch hergeleitet  werden kann, dass der Verantwortliche sein „überlegenes Wissen“ über die Datenverarbeitung in dem Konzern der anfragenden betroffenen Person insoweit zukommen lassen muss, damit diese ihr Auskunftsrecht gegenüber Konzernunternehmen sach- und zielgerecht ausüben kann. Eine andere Verhaltensweise könnte als Verstoß gegen Treu und Glauben nach Art. 5 Abs. 1 lit. a DS-GVO bzw.  unfaire Verfahrensweise im Sinne von Nr. 60 ErwGr. DS-GVO gewertet werden.