Das Auskunftsrecht nach der DSGVO

Nach Art. 15 DSGVO steht der von der Verarbeitung personenbezogener Daten betroffenen Person ein Auskunftsrecht zu. Dieses Recht ist keine Neuerfindung des europäischen Gesetzgebers sondern hat in dieser Art bereits im BDSG a. F. Bestand gehabt.  Für nicht-öffentliche Stellen war es in § 34 BDSG a. F. geregelt und für öffentliche Stellen in § 19 BDSG a. F. Bisher wurde von diesem Auskunftsrecht jedoch nur wenig Gebrauch gemacht. Mit der DSGVO rücken die Betroffenenrechte jetzt allerdings mehr in den Fokus. Deshalb lohnt sich ein Blick auf das Auskunftsrecht.

Sinn und Zweck des Auskunftsrechts

Das Auskunftsrecht soll eine faire und transparente Verarbeitung gewährleisten und dem Betroffenen einen Überblick über das Ob und Wie der Datenverarbeitung geben. Der Betroffene soll sich darüber informieren können welche Daten von ihm verarbeitet werden und zu welchem Zweck. Das Auskunftsrecht stellt damit die Basis für die Ausübung der weiteren Betroffenenrechte dar. Denn nur wer weiß, ob und welche Daten von ihm verarbeitet werden, kann beispielsweise sein Recht auf Einschränkung der Verarbeitung oder Löschung der Daten geltend machen.

Welche Informationen muss der Verantwortliche zur Verfügung stellen?

Da das Auskunftsrecht zweistufig aufgebaut ist, erfolgt auf einer ersten Stufe die Auskunft darüber ob überhaupt personenbezogene Daten der betroffenen Person verarbeitet werden. Auf einer zweiten Stufe erfolgt dann die Erteilung der restlichen Informationen, welche wären:

  • die Zwecke, zu denen die Verarbeitung stattfindet
  • die Datenkategorien; dies soll besonders bei umfangreichen Verarbeitungen vieler personenbezogener Daten eine Grundorientierung geben
  • die Empfänger oder Kategorien von Empfängern denen die Daten offengelegt werden oder noch offengelegt werden sollen
  • die geplante Dauer der Speicherung der Daten
  • Hinweis und Information über die Betroffenenrechte und das Beschwerderecht
  • Information über die Herkunft der Daten, wenn sie nicht direkt beim Betroffenen erhoben wurden
  • Automatisierte Entscheidungsfindung und Profiling ; umfasst auch Informationen über Methoden und Kriterien, sowie Auswertungsergebnisse und Entscheidungen, die daraus resultieren
  • geeignete Garantien bei Datenübermittlung in ein Drittland

Der Betroffene wird allerdings in den meisten Fällen gleich beide Stufen auf einmal nehmen, indem er nicht nur fragt ob überhaupt Daten von ihm verarbeitet werden, sondern auch welche, wozu und weshalb.

Wie sollte das Auskunftsrecht organisatorisch ausgestaltet werden?

Zunächst sollte die Identität des Antragstellers klar sein. Bei begründeten Zweifeln können vom Verantwortlichen noch zusätzliche Informationen angefordert werden. Der Antrag bedarf keiner besonderen Form und auch zum Inhalt sind vom Gesetzgeber keine Vorgaben gemacht.

Für Verantwortliche gilt bei der Bearbeitung des Antrags das Bearbeitungs- und das Beschleunigungsgebot aus Art. 12 Abs. 3 und 4 DSGVO. Das heißt die Anfrage muss innerhalb eines Monats (bei Ausnahmen unter Berücksichtigung der Anzahl der Anträge und der Komplexität der Verarbeitung Fristverlängerung um 2 Monate) beantwortet werden. Über eine Fristverlängerung muss der Betroffene jedoch innerhalb der Monatsfrist informiert werden. Außerdem ist die Anfrage unentgeltlich zu beantworten. Ausgenommen davon sind Missbrauchsfälle und sehr häufige Anfragen.

Bei der Form der Auskunftserteilung ist von Verantwortlichen besonders zu beachten, dass der Betroffene eine elektronische Auskunft verlangen kann, wenn er seinen Antrag elektronisch gestellt hat. Eine mündliche Auskunft kann auch verlangt werden. Ansonsten sind keine weiteren Angaben dazu gemacht, in welcher Form die Auskunft zu erteilen ist. Grundsätzlich ist demnach auch eine schriftliche Auskunft möglich (solange der Betroffene nicht elektronisch angefragt hat). Aus Erwägungsgrund 63 zur DSGVO geht hervor, dass die Auskunftserteilung auch über ein entsprechendes elektronisches Auskunftssystem erfolgen kann. Bei besonders umfangreichen und komplexen Datenverarbeitungen kann die Einführung eines solchen Systems durchaus sinnvoll sein.

Genaue Angaben zur Darstellung der Auskunft sind ebenfalls nicht gemacht. Es gilt lediglich das Genauigkeits- und Verständlichkeitsgebot gem. Art. 12 Abs. 1 S. 1 DSGVO. Das heißt, es sollen nicht nur die groben Datensätze an den Betroffenen weitergegeben werden, sondern die Auskunft soll, in für den Betroffenen verständlicher Weise über die Verarbeitung aufklären. Grundsätzlich gilt, dass es die Auskunft dem Betroffenen ermöglichen muss, seine Betroffenenrechte auszuüben.

Auf jeden Fall sollte jeder Verantwortliche eine entsprechende Vorgehensweise bei Auskunftsanfragen definiert haben. Es sollte einen Prozess geben bei dem vorgegeben ist, auf welche Weise eine Auskunft zu erteilen ist und woher und wie die Informationen dafür kommen sollen.

Auch wenn unter dem alten BDSG kaum Auskunftsersuchen durch Betroffene getätigt worden sind, ist dieses Thema nicht zu vernachlässigen. Eine Vorbereitung auf Auskunftsanfragen sollte von jedem Verantwortlichen getroffen werden. Denn es bleibt abzuwarten wie sehr die Gesellschaft durch die Einführung der DS-GVO für das Thema Datenschutz und die Geltendmachung von Betroffenenrechten sensibilisiert ist. Dementsprechend könnten sich auch Auskunftsanfragen häufen. Kommt man der Auskunftspflicht schließlich nicht nach, stellt dies einen Datenschutzverstoß dar und kann eine Geldbuße nach sich ziehen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in