Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Die Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dienen als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Das sechste Kurzpapier behandelt die Auskunftsrechte der betroffenen Personen.
UMFANG DES AUSKUNFTSRECHTS
Nach Art. 15 Abs. 1 DS-GVO steht der betroffenen Person ein abgestuftes Auskunftsrecht zu.
Zum einen kann die betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Auch eine Negativauskunft ist erforderlich, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat.
Zum anderen kann die betroffene Person ganz konkret Auskunft darüber verlangen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden (z. B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde).
Weiterhin sind bei der Datenauskunft vom Verantwortlichen nach Art. 15 Abs. 1 DS-GVO vor allem noch folgende Informationen mitzuteilen:
• Verarbeitungszwecke,
• Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.),
• Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
• geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
• Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung,
• Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
• Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde,
• Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Ver-fahren.
Im Falle der Datenübermittlung in Drittländer ist über die insoweit gegebenen Garantien gemäß Art. 46 DS-GVO zu informieren (z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, d. h. BCR). Keine Drittländer sind die EU-Mitgliedsstaaten und die Vertragsstaaten des EWR.
FORM DER AUSKUNFTSERTEILUNG
Die Auskunftserteilung an die betroffene Person kann nach Art. 12 Abs. 1 Sätze 2 und 3 DS-GVO je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen. Der Verantwortliche stellt eine Kopie der Daten zur Verfügung (Art. 15 Abs. 3 Satz 1 DS-GVO). Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DS-GVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z. B. im PDF-Format). Als datenschutzfreundlichste Gestaltung wird in Erwägungsgrund (ErwGr.) 63 Satz 4 ein vom Verantwortlichen eingerichteter Fernzugriff der betroffenen Person auf ihre eigenen Daten bezeichnet. Alle Kommunikationswege müssen ange-messene Sicherheitsanforderungen erfüllen.
FRIST FÜR DIE AUSKUNFTSERTEILUNG
Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DS-GVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats; nur in begründeten Ausnahmefällen kann die Monatsfrist überschritten werden, worüber die betroffene Person zu informieren ist (Art. 12 Abs. 3 Satz 3 DS-GVO). Der Verantwortliche muss (vorbereitend) geeignete organisatorische Maßnahmen treffen, damit die betroffene Person eine beantragte Auskunft zeitnah und in verständlicher Form erhalten kann (Art. 12 Abs. 1 Satz 1 und Art. 5 Abs. 2 DS-GVO).
KOSTEN DER AUSKUNFTSERTEILUNG
Die Auskunftserteilung an die betroffene Person (z. B. als Kopie) muss durch den Verantwortlichen regelmäßig unentgeltlich erfolgen, Art. 12 Abs. 5 Satz 1 DS-GVO. Für weitere Kopien kann er ein angemessenes Entgelt fordern. Außerdem kann bei offenkundig unbegründeten oder exzessiven Anträgen ein angemessenes Entgelt für die Auskunft verlangt werden (Art. 12 Abs. 5 Satz 2, ErwGr. 63).
IDENTITÄTSPRÜFUNG
Es muss sichergestellt werden, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten. Hat der Verantwortliche begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so kann er nach Art. 12 Abs. 6 DS-GVO zusätzliche Informationen zur Bestätigung der Identität nachfordern (z. B. eine Post-adresse bei elektronischem Auskunftsantrag).
GRENZEN DES AUSKUNFTSRECHTS
Bei einer großen Menge von gespeicherten Informationen über die betroffene Person kann der Verantwortliche verlangen, dass präzisiert wird, auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht (ErwGr. 63 Satz 7). Das kann z. B. bei Banken oder Versicherungen mit umfangreichen Vertragsbeziehungen zu der betroffenen Person der Fall sein.
Offenkundig unbegründete oder exzessive Anträge einer betroffenen Person können zur Ablehnung oder zu einer Kostenerstattungspflicht führen (Art. 12 Abs. 5 S. 2 DS-GVO). Die betroffene Person muss jedoch (und zwar kostenfrei) ihr Recht in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (ErwGr. 63). Eine Ablehnung oder Kostenerstattung kommt daher nur in Ausnahmefällen in Betracht. Der Verantwortliche trägt die Beweislast für das Vorliegen eines unbegründeten oder exzessiven Antrags (Art. 12 Abs. 5 Satz 3 DS-GVO). Er muss der betroffenen Person in der Regel die Gründe für die Verweigerung der Aus-kunft mitteilen und sie über Rechtsschutzmöglichkeiten informieren (Art. 12 Abs. 4 DS-GVO).
Schwierigkeiten beim Beantworten eines Auskunftsersuchens? Mit dem Generator unter https://www.juraforum.de/musterauskunft-generator/ lässt sich ein Auskunftsersuchen datenschutzkonform beantworten.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz