Kategorien
Neueste Beiträge
Auskunftsanfragen gemäß der DSGVO
Auskunftsanfragen gemäß der DSGVO scheinen eines der weiteren viel diskutierten Themen im Reich des Datenschutzes zu sein. Zugegeben, Auskunftsanfragen betroffener Personen bergen ein hohes Maß an Bußgeld-, Abmahn- und Klagerisiken: Dies zeigt sich anhand der vielen Fälle hierzu, die öffentlich sind. Es gibt sicherlich noch viel mehr, von denen wir nicht immer etwas erfahren.
Ursprung von Auskunftsanfragen
Die DSGVO behandelt explizit das Recht einer betroffenen Person Auskunft zur Verarbeitung ihrer personenbezogenen Daten zu erhalten. Wir verweisen auf Art. 15 DSGVO.
Gründe einer Auskunftsanfrage
Der Grund und damit der Inhalt einer Anfrage kann vielseitig sein. Möglicherweise möchte die betroffene Person herausfinden, ob ein Verantwortlicher personenbezogene Daten von ihr verarbeitet. Möglicherweise hat sie ein Interesse daran, zu erfahren, inwiefern der Verantwortliche ihre personenbezogenen Daten an externe Empfänger übermittelt. Als Folge einer Kündigung verlangt die betroffene Person möglicherweise auch eine Kopie all der über sie verarbeiteten personenbezogenen Daten.
Der Inhalt der Auskunftsbeantwortung richtet sich danach, was die betroffene Person wissen möchte. Den Verantwortlichen kann eine sehr allgemein gehaltene Anfrage erreichen oder auch eine, die sich auf einen bestimmten Verarbeitungsvorgang, -bereich oder -aspekt bezieht. Eventuell möchte die betroffene Person auch einfach nur wissen, woher ein Verantwortlicher ihre E-Mail erhalten, weil sie plötzlich Werbe-E-Mails von ihm erhält, ohne diesem Verantwortlichen je ihre Einwilligung dafür erteilt zu haben. – Solch eine Beispielanfrage zeigt dann mindestens ein mögliches Defizit des Verantwortlichen auf: Erhält er die E-Mail-Adresse des Betroffenen von einem anderen Verantwortlichen, z. B. durch Adresshandel, so hat er den Betroffenen von sich aus darüber zu informieren (Art. 14 DSGVO). Eine Frage der betroffenen Person danach weist darauf hin, dass der Verantwortliche dieser Pflicht wahrscheinlich nicht nachgekommen ist. –
Nächste Schritte
Der erste und wichtigste Schritt ist wohl, die Anfrage nicht zu ignorieren. Sobald ein Verantwortlicher eine Auskunftsanfrage registriert, ist sie an den Datenschutzbeauftragten – sofern benannt – o. Ä. weiterzuleiten, falls dieser die Anfrage nicht direkt selbst erhält. Wichtig ist dabei auch, dass Betroffene sich an andere, ihnen bekannte Beschäftigte, beispielsweise ihre Kontaktperson in der Einrichtung, wenden. In solch einem Fall müssen diese Beschäftigten ebenfalls wissen, dass sie solch eine Anfrage nicht ignorieren dürfen.
Sobald die Anfrage dem Datenschutzbeauftragten/-koordinator etc. zugeht, kann er die Anfrage dann schnellstmöglich bearbeiten. Bei Unklarheiten kann er Rücksprache mit der betroffenen Person halten. Sofern nötig, kann er Schritte einleiten, um die Authentizität der anfragenden Person zu prüfen (Art. 12 Abs. 6 DSGVO). Und schon kann der Verantwortliche in Zusammenarbeit mit den relevanten Abteilungen die gewünschten Informationen dann sammeln und zur Übermittlung an die betroffene Person aufbereiten.
Fristen
Bei einer Auskunftsanfrage – wie auch bei jeder anderen Anfrage eines Betroffenen – nicht zu vergessen ist die 1-Monat-Frist. Sobald ein Verantwortlicher alle die Anfrage betreffenden Informationen zusammengetragen hat, stellt er sie dem Betroffenen zur Verfügung. Die Antwort ihrer Anfrage hat der Betroffenen innerhalb eines Monats zuzugehen. Unter Umständen kann der Verantwortliche diese Frist um weitere zwei Monate verlängern. Die Voraussetzung ist dann allerdings, dass gewichtige Gründe für die Verzögerung vorliegen. Gemäß der DSGVO sind solche Gründe, dass eine Anfrage komplex ist – dies liegt wohl im Ermessen des Verantwortlichen – oder eine hohe Anzahl an Betroffenenanfragen vorliegt. Auch über eine etwaige Fristverlängerung ist die betroffene Person zu informieren. Die Vorgaben zu dieser Frist sind in Art. 12 Abs. 3 DSGVO zu finden.
Bisherige Bußgelder
Wie viel Fehler- und damit Bußgeld-, Abmahn- und/oder Klagepotential in einer fehlerhaften oder verspäteten Auskunftsanfrage stecken kann, zeigt folgende kleine Auswahl bisheriger Bußgelder:
Ungefähr 10.939,65 € (54.345 RON) (Link auf Rumänisch)
Die Antwort auf eine Auskunftsanfrage war hier nicht nur unvollständig, der Verantwortliche – die Libra Internet Bank SA in Rumänien – antwortete zwar auf dem initialisierten elektronischen Weg, aber an eine andere E-Mail-Adresse. Des Weiteren fehlte der Hinweis auf das Beschwerderecht gemäß Art. 77 DSGVO. Zusätzlich war die Datenschutzaufsichtsbehörde der Ansicht, der Verantwortliche hätte die Möglichkeit des Informationszuganges betroffener Personen leichter gestalten müssen.
1.500 € (Link, Seite 3 unter 2018)
In Deutschland verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein Bußgeld gegen eine/n Rechtsanwältin/Rechtsanwalt. Der Grund liegt bei einer verspäteten Antwort auf eine Auskunftsanfrage. Darüber, wie verspätet die Antwort war, gibt es bisher keine Information.
40.000 € (Link)
Ein Geschäftspartner weigerte sich, der anderen Partei die Aufzeichnungen von Telefonaten untereinander zur Verfügung zu stellen, als dieser Einsicht verlangte.
750.000 € (Link auf Finnisch)
Aufgrund einer Beschwerde wurde die finnische Datenschutzaufsichtsbehörde auf ein finnisches Inkassounternehmen aufmerksam, welches mehrmals Auskunftsanfragen unbeantwortet ließ. Eine Auskunftsanfrage war Berichten zufolge beantwortet worden, allerdings unvollständig.
1.000 € (Link auf Italienisch)
Ein italienisches Unternehmen (Colosseo Srl) ließ eine Auskunftsanfrage unbeantwortet. Die betroffene Person stellte eine Anfrage, nachdem sie eine Werbe-E-Mail ohne Erteilung ihrer E-Mail-Adresse dafür erhalten hatte.
Fazit
Eine Auskunftsanfrage einer betroffenen Person nimmt sowohl zeitliche als auch personelle Ressourcen in Anspruch. Den Aufwand kann ein Verantwortlicher mitunter merklich reduzieren, wenn er weiß, wo in seiner Einrichtung er die personenbezogenen Daten aufbewahrt (digital, Papierform), er ein aktuelles Berechtigungs- und Löschkonzept hat und bei der Verarbeitung personenbezogener Daten die Vorgaben der DSGVO einhält und dies dokumentiert. Mithilfe eines Verzeichnisses von Verarbeitungstätigkeiten weiß die die Anfrage bearbeitende Person, wen in der Einrichtung sie kontaktieren muss, um notwendige Zuarbeit zu erhalten. Zusammenfassend kann der Verantwortlihe vollständig darüber informieren, zu welchen Zwecken aufgrund welcher Rechtsgrundlagen er für welche Dauer welche personenbezogenen Daten verarbeitet und inwiefern er ggf. externe Dienstleister datenschutzkonform dafür einsetzt.
Falls Sie Unterstützung und Beratung bei der Umsetzung der DSGVO in Ihrem Unternehmen, Ihrer Arztpraxis, Ihrer Behörde, Ihrem Verein, Ihrem Krankenhaus etc. benötigen, kontaktieren Sie uns gern noch heute für ein unverbindliches Angebot.