Auskunftsrecht des Betroffenen gemäß Artikel 15 DSGVO

Sobald ein Verantwortlicher personenbezogene Daten einer betroffenen Person verarbeitet, hat diese das Recht, eine Bestätigung darüber zu verlangen. Ist dies der Fall, so kann die betroffene Person auf eine Auskunft über bestimmte Informationen der verarbeiteten personenbezogenen Daten bestehen. Zu diesen Informationen zähen

  • die Zwecke der Verarbeitung,
  • die Kategorien der verarbeiteten personenbezogenen Daten,
  • die Empfänger oder Kategorien von Empfängern, welche die personenbezogenen Daten erhalten bzw. erhalten haben,
  • Angaben über geeigneten Garantien (Standarddatenschutzklauseln, …) gemäß Art. 46 DSGVO bei Übermittlung der personenbezogenen Daten an ein Drittland,
  • die geplante Speicherdauer der Daten oder falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer,
  • das Bestehen des Rechts auf Berichtigung, Löschung und Einschränkung der Verarbeitung sowie das Widerspruchsrecht,
  • das Bestehen des Beschwerderechts bei der Aufsichtsbehörde,
  • alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei dem Betroffenen selbst erhoben wurden, und
  • das Bestehen einer automatisierten Entscheidungsfindung (einschließlich Profiling gemäß Art. 22 DSGVO) sowie die Tragweite und angestrebten Auswirkungen der Verarbeitung für den Betroffenen.

Voraussichtlich finden die EU-Standardvertragsklauseln, solange diese nicht von der EU-Kommission geändert, ersetzt oder aufgehoben werden, weiterhin Verwendung und dienen somit als Standarddatenschutzklauseln (Art. 46 Abs. 5 DSGVO).

Wie ist die Auskunft zu erteilen?

Der Verantwortliche hat dem Betroffenen eine Kopie seiner verarbeiteten personenbezogenen Daten zur Verfügung zu stellen. Die erste Kopie ist dem Betroffenen kostenfrei zur Verfügung zu stellen. Zudem dürfen in angemessenen Zeitabständen weitere kostenfreie Kopien verlangt werden. Darüber hinaus kann der Verantwortliche bei offenkundig unbegründeten (insbesondere bei häufiger Wiederholung) oder exzessiven Anträgen auf Auskunft ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangen oder sogar die Auskunft verweigern (Art. 12 Abs. 5 DSGVO, Erw.Gr. 63 DSGVO). Wie genau ein „angemessener Zeitabstand“ aussieht wird sich ab dem 25. Mai 2018 zeigen, da dieser Begriff nicht explizit definiert ist. Gleiches gilt für ein „angemessenes Entgelt auf Grundlage der Verwaltungskosten“.

Sofern der Betroffene den Antrag auf Auskunft elektronisch stellt, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern die betroffene Person nichts anders angibt.

Verarbeitet der Verantwortliche eine große Menge an Daten und Informationen über den Betroffenen, so kann dieser verlangen, dass die betroffene Person präzisere Angaben darüber macht, welche Daten für sie relevant sind und über welche personenbezogenen Daten Auskunft erteilt werden soll (Erw.Gr. 63 DSGVO).

Wann ist die Auskunft zu erteilen?

Erfolgt ein Antrag auf Auskunft einer betroffenen Person, so hat der Verantwortliche die Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Bei sehr komplexen Anfragen oder einer nicht zu bewältigenden Gesamtanzahl von Anträgen, kann diese Frist um weitere zwei Monate verlängert werden. Jedoch ist in einem solchen Fall der Betroffene innerhalb des ersten Monats über die Fristverlängerung sowie deren Gründe zu unterrichten.

Identifizierung der Auskunft suchenden Person

Nimmt eine betroffene Person das Recht auf Auskunft wahr, so hat der Verantwortliche alle vertretbaren Mittel zu nutzen, um die Identität der auskunftsuchenden Person zu überprüfen und festzustellen. Vor allem im Rahmen von Onlinediensten und Fällen von Onlinekennungen ist die Identitätsprüfung von großer Bedeutung (Erw.Gr. 64). Welche Mittel genau unter „alle vertretbaren Mittel“ fallen, bleibt abzuwarten.

Eine Möglichkeit zur Identifizierung von Betroffenen ist die Legitimation mittels Personalausweis. Jedoch muss hier beachtet werden, dass bei Onlinediensten die zugesandten Fotos der Ausweise angemessen versendet und gespeichert bzw. aufbewahrt werden.

Hat der Verantwortliche begründete Zweifel an der Identität der auskunftfordernden Person, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität erforderlich sind (Art. 12 Abs. 6 DSGVO). Sollte der Verantwortliche nachweislich nicht in der Lage sein den Betroffenen zu identifizieren, so darf diesem die angeforderte Auskunft nicht erteilt werden, sofern er keine zusätzlichen Informationen zur Identifizierung bereitstellt (Art. 11 Abs. 2).

Auskunftsrecht im neuen Bundesdatenschutzgesetz (BDSG-neu)

Im neuen Bundesdatenschutzgesetz (BDSG-neu) wird in § 34 die Pflicht der Anwendung des Auskunftsrechts noch weiter erläutert. Leider fehlt zur Gültigkeit die passende Öffnungsklausel in der Datenschutz-Grundverordnung. Jedoch kann es gut sein, dass dieser § 34 BDSG-neu bei Interpretation und Auslegung des Auskunftsrechts zur Hilfe genommen wird. Relevant sind zwei Fälle, in denen dem Auskunftsrecht nicht nachgekommen werden muss.

  • Wenn die personenbezogenen Daten nur dann gespeichert werden, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder
  • wenn die personenbezogenen Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet wurden.

Somit würde z. B. die Auskunftsplicht bei personenbezogenen Daten, die sich ausschließlich in Backups befinden, nicht bestehen.

Fazit

Jeder Betroffene soll sich über die Verarbeitung seiner personenbezogenen Daten bewusst sein und deren Rechtmäßigkeit prüfen können. Dieses Recht soll problemlos in Anspruch genommen werden können. Damit es für alle Betroffenen möglich ist dieses Recht wahrzunehmen, dürfen, wenn diese Auskunft jeweils in angemessenen Zeitabständen angefordert wird, keine Kosten für die betroffene Person anfallen. Somit ist es jedem Betroffenen möglich, seine personenbezogenen Daten einzusehen.
Für die Verantwortlichen, die Datenverarbeiter, wird die exakte und korrekte Ausführung des Auskunftsrechts mit viel Aufwand verbunden sein. Jedoch drohen auch hier bei Nichteinhaltung Geldbußen von bis zu 20.000.000 € oder 4% des weltweiten Jahresumsatzes. Es ist Vorsicht geboten, da nicht nur die Aufsichtsbehörden, sondern auch betroffene Personen gegen Verstöße angehen und ggf. Schadenersatzansprüche geltend machen können (Art. 82 DSGVO). Wir empfehlen Ihnen, einen Prozess so zu integrieren, dass Sie den Anfragen auf das Auskunftsrecht wie gewünscht nachkommen können und diese unverzüglich, innerhalb von einem Monat, bearbeitet werden.

Sie benötigen Hilfe und Unterstützung bei der Integrierung des Prozesses sowie der Umsetzung des Auskunftsrechts?

Wir beraten Sie gern!

Rufen Sie uns an oder kontaktieren uns über das Kontaktformular, um einen ersten Kennenlern- und Beratungstermin zu vereinbaren. Gern können Sie auch über die sozialen Netzwerke oder per E-Mail mit uns Kontakt aufnehmen.

Ihr Name

Ihre E-Mail-Adresse (Pflichtfeld)

Betreff

Ihre Nachricht

Von |2018-03-26T18:15:03+00:00März 26th, 2018|Allgemein|0 Kommentare

Hinterlassen Sie einen Kommentar