Datenschutz und Anfragen betroffener Personen

Datenschutz und Anfragen betroffener Personen

Zu einem funktionierenden Datenschutzmanagement in einer Einrichtung gehört es nicht nur, die datenschutzrechtlich notwendigen Dokumente zu erstellen, sondern darüber hinaus auch einen Prozess im Fall von Anfragen betroffener Personen zu etablieren. Bei Einsicht in die Tätigkeitsberichte der Datenschutzaufsichtsbehörden und auch bei Verfolgung von Urteilen entsteht wiederholt der Eindruck, dass Verantwortliche genau für solche Fälle keine (ausreichenden) Vorkehrungen treffen.

Recht auf Auskunft

Mit dem Recht auf Auskunft betroffener Personen, also der Personen, deren Daten ein Verantwortlicher verarbeitet, befasst sich Art. 15 DSGVO.

Recht auf „Positiv- oder Negativauskunft“

So gibt schon Art. 15 Abs. 1 S. 1 DSGVO einen ersten Hinweis darauf, was ein Verantwortlicher zu beachten hat, wenn er eine Anfrage einer betroffenen Person erhält. Demnach hat die betroffene Person das Recht, zu erfahren, ob ihre personenbezogenen Daten verarbeitet werden. Dies bedeutet für Verantwortliche, dass er der betroffenen Person nicht nur eine Rückmeldung geben muss, wenn er ihre Daten verarbeitet. Es ist auch Auskunft darüber zu geben, wenn ein Verantwortlicher keine Daten von ihr verarbeitet.

Recht auf Auskunft über Verarbeitung

Art. 15 Abs. 1 Hs. 2 lit. a – h) DSGVO weist darauf hin, dass eine betroffene Person ein Recht auf folgende Informationen hat:

1)    die Zwecke der Verarbeitung (Art. 15 Abs. 1 lit. a) DSGVO,

2)    die Kategorien der von ihr verarbeiteten personenbezogenen Daten (Art. 15 Abs. 1 lit. b) DSGVO),

3)    die Empfänger ihrer Daten, insbesondere auch Empfänger in Drittländern oder internationale Einrichtungen (Art. 15 Abs. 1 lit. c) DSGVO); sofern der Verantwortliche diese Daten in ein Drittland oder an eine internationale Einrichtung übermittelt, muss er über die für die Verarbeitung angemessenen getroffenen Sicherheitsvorkehrungen gemäß Art. 46 DSGVO informieren (Art. 15 Abs. 2 DSGVO). Des Weiteren hat er der betroffenen Personen Auskunft zur

4)    Speicherdauer bzw. Aufbewahrungsfrist für ihre personenbezogenen Daten zu geben (Art. 15 Abs. 1 lit. d) DSGVO) sowie

5)    auf ihr Recht auf Berichtigung, Löschung, Einschränkung der und Widerspruch zur Verarbeitung ihrer personenbezogenen Daten (Art. 15 Abs. 1 lit. e) DSGVO) und

6)    sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 15 Abs. 1 lit. f) DSGVO), hinzuweisen. Zusätzlich hat der Verantwortliche Auskunft über

7)    die Herkunft ihrer personenbezogenen Daten, sofern nicht er die Daten erhoben hat (Art. 15 Abs. 1 lit. g) DSGVO), zu geben.

8)    Sofern Entscheidungen automatisiert getroffen werden oder Profiling zum Einsatz kommt, hat der Verantwortliche darauf hinzuweisen und weiterführende Informationen zur Verfügung zu stellen (Art. 15 Abs. 1 lit. h) DSGVO).

Art der Auskunft

Art.  15 Abs. 3 S. 3 DSGVO verglichen mit Art. 12 Abs. 1 s. 2 DSGVO gibt einen Hinweis darauf, in welchem Format die Auskunft zu erteilen ist. Dabei stellt sich heraus, dass dies generell schriftlich erfolgen kann. Der Verantwortliche kann die Informationen natürlich auch in elektronischer oder sogar mündlicher Form bereitstellen, falls die betroffene Person dies wünscht, ggf. in der Form, in der der Betroffene mit seinem Auskunftsbegehren an den Verantwortlichen herangetreten ist.

Wer sich Art. 15 Abs. 3 S. 1 DSGVO ansieht, liest, dass der Verantwortliche dem Betroffenen eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen hat. Wörtlich genommen könne man dabei annehmen, dass die betroffene Person tatsächlich eine Kopie erhält. So wäre es dabei keinesfalls inkorrekt, die verarbeiteten personenbezogenen Daten in der Form darzustellen, wie es der Verantwortliche sieht. Konkret bedeutet dies, dass der Verantwortliche bspw. Screenshots der personenbezogenen Daten des Betroffenen erstellen könnte, wie er es in den eingesetzten Programmen sieht. Somit könne er auch sicherstellen, eine korrekte Kopie der Daten zu liefern. (Dabei entsteht für den Betroffenen auch die Möglichkeit, ggf. eine Berichtigung eventuell inkorrekt vorliegender Daten zu veranlassen.)

Gründe für die Verweigerung der Erteilung der verlangten Auskunft

Art. 12 Abs. 5 DSGVO zeigt u. a. auf, wann ein Verantwortlicher auf eine Auskunftserteilung verzichten kann. Solch ein Fall tritt beispielsweis ein, wenn – nachweisbar – zu erkennen ist, dass ein Betroffener ein offenbar unbegründetes Auskunftsbegehren stellt oder unbegründet häufig von diesem Recht Gebrauch macht.

Besteht die Möglichkeit, dass bei der Auskunftserteilung personenbezogene Daten anderer Personen offengelegt werden könnten, ist sicherzustellen, dass diese nicht offenbart werden. Sie sind entsprechend unkenntlich zu machen (siehe hierzu auch für weitere Informationen „Datenschutzkonformes digitales Schwärzen von Dokumenten“). Wird dies nicht korrekt umgesetzt, kommt es zu einem Datenschutzvorfall.

Sofern es einem Verantwortlichen nicht möglich ist, eindeutig festzustellen, dass es sich bei der Person, die die Auskunft verlangt, auch tatsächlich um die betroffene Person handelt, ist ein Identitätsnachweis zu verlangen. Kann die anfragende Person nicht glaubwürdig nachweisen, tatsächlich die legitime Person zu sein, darf der Verantwortliche eine Auskunft verweigern.

Fazit

Um den datenschutzrechtlichen Pflichten nachkommen zu können, ist es wichtig, dass ein Unternehmen Prozesse zur Beantwortung von Anfragen betroffener Personen implementiert hat. Nicht jeder Beschäftigter des Unternehmens sollte in der Lage sein, solche beantworten zu können. Allerdings sollte jeder Beschäftigte wissen, was in solch einem Fall zu tun ist bzw. wer für die Bearbeitung der Anfrage verantwortlich ist.

Wir können Sie bei der Implementierung solcher Vorgänge und dazugehöriger Richtlinien und anderer datenschutzrechtlich relevanter Dokumente unterstützen. Findet dies keine Beachtung, drohen insbesondere Bußgelder und Schadenersatzansprüche.

Kontaktieren Sie uns für ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.