Ein Unternehmen hat gemäß Art. 15 DSGVO auf Anfrage umfassend Auskunft über die gespeicherten Daten zu erteilen. Betroffene Personen müssen dieses Verlangen nicht begründen und das Verlangen kann grundsätzlich in jeder denkbaren Form geltend gemacht werden, wobei für den Verantwortlichen jedoch eine Identitätsprüfung der auskunftbegehrenden Person möglich sein muss
Geht ein Auskunftsersuchen beim Arbeitgeber ein, hat dieser (in der Regel) innerhalb eines Monats die angeforderten Daten auszuhändigen. Das LAG Baden-Württemberg vertritt die Ansicht, dass eine verspätete Auskunftserteilung auf ein Verlangen nach Art. 15 DSGVO sld solche keinen immatieriellen Schaden darstellt. Ein bloßer Verstoß gegen die DSGVO genügt nicht, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu begründen. Zudem sei ein Antrag auf eine Auskunftserteilung mit dem Wortlaut "über sämtliche personenbezogenen Daten" zu weit gefasst und genüge nicht dem Bestimmtheitserfordernis des § 252 Abs. 2 Nr. 2 ZPO. In begründeten Ausnahmefällen kann diese Monatsfrist überschritten werden, worüber der Mitarbeiter allerdings zu informieren ist. Der Arbeitgeber hat (dies bereitet vielen Arbeitgebern große Probleme) zudem eine Kopie der Daten zur Verfügung zu stellen.
Art. 15 Abs. 1 DSGVO schreibt dem Arbeitgeber genau vor, welche Informationen neben der eigentlich angeforderten Auskunft über verarbeitete personenbezogene Daten dem Mitarbeiter mitzuteilen sind. Hierzu gehören: Verarbeitungszwecke; Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.); Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden (z. B. die Muttergesellschaft in den USA); die geplante Speicherdauer, falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer; Belehrung über die Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, sowie über das Widerspruchsrecht gegen die Verarbeitung nach Art. 21 DSGVO und das Beschwerderecht bei der Aufsichtsbehörde. Darüber hinaus ist auch über die Herkunft der Daten zu informieren, soweit diese nicht bei der betroffenen Person selbst erhoben wurden (dies kann vor allem IT-Protokolldaten betreffen).
Vor allem in Großkonzernen hat der Mitarbeiter oft ein Interesse zu erfahren, welche Daten von wem im Konzern und vor allem wo verarbeitet werden – es ist daher auch über Datenübermittlung in Drittländer (alle Länder außerhalb der EU/des EWR) zu informieren, sowie darüber, welche Garantien gemäß Art. 46 DSGVO getroffen wurden (z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, d. h. BCR).
Umfassende Auskunft erteilen
Es sind im Rahmen des Auskunftsersuchens grundsätzlich sämtliche Daten zu berücksichtigen, die bei Eingang der Anfrage in den Händen des Arbeitgebers lagen, im Grundsatz auch die E-Mail-Kommunikation. Daten sollten in keinem Fall gelöscht werden, um die Auskunft zu verringern oder abzuwehren – dies kann gegebenenfalls strafrechtlich verfolgt werden. Es ist für Arbeitgeber ratsam, rechtzeitig im eigenen Interesse organisatorische Vorkehrungen für zügige und korrekte Auskunftserteilungen zu treffen und, je nach Größe des Unternehmens, Standardprozesse zu etablieren. Hilfreiche Informationen stellen das Bayerische Landesamt für Datenschutzaufsicht und die DSK zur Verfügung.
Häufig begehren Beschäftigte Auskunft zu allen zu ihrer Person vorhandenen Daten. Wenn der Verantwortliche eine große Menge an Informationen über den Betroffenen verarbeitet, kann er in diesen Fällen eine Präzisierung verlangen, zu welchen Informationen oder Verarbeitungsvorgängen die betroffene Person Auskunft verlangt.