Kategorien
Neueste Beiträge
Prüfung der Datenschutzaufsichtsbehörden zu Auskunftsrechten
Vor kurzem berichteten wir von einer abgeschlossenen Prüfung der Datenschutzaufsichtsbehörden mit Fokus auf die Verpflichtung eines und Stellung des Datenschutzbeauftragten bei Verantwortlichen. – Unseren Beitrag zu dieser Prüfung können Sie gern hier nachlesen. – Nun hat der Europäische Datenschutzausschuss (kurz: EDSA) den Beginn einer weiteren angekündigt. Dieses Mal liegt das Augenmerk woanders. Mehr zur Prüfung der Datenschutzaufsichtsbehörden zu Auskunftsrechten erfahren Sie im Folgenden.
Was ist das Auskunftsrecht?
Das Auskunftsrecht ist ein Recht von betroffenen Personen, deren personenbezogene Daten von einem Verantwortlichen verarbeitet werden, sich über eben diese Verarbeitung beim Verantwortlichen zu erkundigen. – Näher auf dieses Thema gehen wir unter anderem in diesem Beitrag ein. – In der DSGVO finden wir Informationen hierzu unter Art. 15.
Ziel der Prüfung
Gemäß der Pressemitteilung der Datenschutzkonferenz (kurz: DSK) – Link – wird es Ziel der Prüfung sein, herauszufinden, wie es mit der Umsetzung dieses Rechtes bei Verantwortlichen aussieht, wie gehen diese also mit solchen Auskunftsbegehren um. Anhand der Ergebnisse wollen die Datenschutzaufsichtsbehörden dann festlegen, inwiefern weitere Klarstellungen von ihrer Seite notwendig sind.
Welche deutschen Datenschutzaufsichtsbehörden nehmen teil?
Neben anderen europäischen Datenschutzaufsichtsbehörden gibt es in Deutschland für jedes Bundesland eine separate Aufsichtsbehörde. Eine Ausnahme bildet Bayern: Dort gibt es zwei; eine für Verantwortliche im privaten und eine für solche im öffentlichen Sektor. Nach aktueller Aussage nehmen von den deutschen Aufsichtsbehörden die aus Bayern (LDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, dem Saarland und Schleswig-Holstein teil. Ebenfalls involviert ist der BfDI (Bundesbeauftragte für Datenschutz und die Informationssicherheit).
Bedeutung für Verantwortliche
Sofern ein Verantwortlicher ein Schreiben der jeweils zuständigen Datenschutzaufsichtsbehörde hierzu erhalten hat oder erhält, ist entsprechend darauf zu reagieren. Möglicherweise bemerken Verantwortliche anhand des Schreibens auch schon notwendige Anpassungen bei den internen Prozessen zur Beantwortung von Auskunftsbegehren. Sollte es nach Beantwortung eines Fragebogens Beanstandungen der jeweiligen Datenschutzaufsichtsbehörde geben, wirkt es sich sicherlich positiv aus, wenn ein Verantwortlicher bei Bedarf proaktiv anhand des Fragebogens Verbesserungen vorgenommen hat.
Mögliche notwendige Anpassungen
Stellt die Datenschutzaufsichtsbehörde mögliche Defizite bei einem Verantwortlichen fest, wird sie eindeutige Vorgaben machen, was anzupassen ist. Das wäre jedenfalls die günstigste Variante. Es ist auch möglich, dass sie ein Bußgeld verhängt. Möchte ein Verantwortliche die internen Prozesse hierzu in Eigeninitiative optimieren, können folgende Bereiche relevant sein:
Interne Prozesse bei Eingang einer Auskunftsanfrage
Hat ein Verantwortlicher einen Datenschutzbeauftragten benannt, kommuniziert er dies auch nach außen, beispielsweise auf der Webseite. Somit wenden sich Betroffene idealerweise mit einem Auskunftsbegehren direkt an den Datenschutzbeauftragten. Sollte es aber doch vorkommen, dass die betroffene Person sich an einen anderen Mitarbeiter wendet, ist es wichtig, dass diese Person weiß, wie vorzugehen ist. Dabei sollte dem Mitarbeiter auch unbedingt bewusst sein, dass er die Anfrage sofort an die festgelegte Person bzw. an eine bestimmte E-Mail-Adresse weiterleiten muss, denn es gibt ja die 1-Monats-Frist (siehe Art. 12 Abs. 3 DSGVO) zur Beantwortung. Hierzu ist es auch wichtig, dass es entsprechende Richtlinien zum Umgang mit Betroffenenanfragen gibt. Einerseits können Mitarbeiter so jederzeit nachlesen, wie sie vorgehen müssen. Andererseits kommt der Verantwortliche so seiner Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO nach.
Identifikation der betroffenen Person
Um einen etwaigen Datenschutzvorfall zu vermeiden, ist es wichtig, festzustellen, dass die Person, die die Auskunftsanfrage stellt, auch die Person ist, die sie vorgibt zu sein. Es muss also Prozesse und die entsprechende Dokumentation für die Durchführung der Identifikation geben.
Beantwortung der Anfrage
Eine Auskunftsanfrage kann unterschiedlichen Inhalts sein. Möglicherweise möchte ein Betroffener wissen, wie lange seine personenbezogenen Daten bei einem Verantwortlichen verarbeitet werden. Eventuell möchte er aber auch eine Kopie all der zu ihm verarbeiteten Daten. Dementsprechend muss der Verantwortliche antworten. Um dies umsetzen zu können, muss er wissen, im Zuge welcher Prozesse personenbezogenen Daten verarbeitet werden und wo sie verarbeitet und gespeichert sind (Laufwerke, Backups, Archive o. Ä.). Dabei helfen kann das Verzeichnis von Verarbeitungstätigkeiten und auch die entsprechende Dokumentation zu den Speicherorten (digital und analog).
Inhalt des Antwortschreibens
Das Antwortschreiben muss natürlich einerseits auf die Frage der betroffenen Person eingehen und die das Auskunftsbegehren entsprechend beantworten. Andererseits ist es aber auch wichtig, dem Betroffenen die Option offenzuhalten, weiterführende Fragen zu stellen.
Übrigens: Wenn ein Verantwortlicher tatsächlich keine personenbezogenen Daten der betroffenen Person verarbeitet, muss er die Person entsprechend darüber informieren bzw. er muss angeben, dass er keine Daten, die über die eingegangene Anfrage selbst hinausgehen, verarbeitet.
Fazit
Die Ergebnisse, mit der der EDSA aufwarten wird, werden auf jeden Fall interessant sein. Sie können mit Sicherheit interessante Anhaltspunkte für etwaige Verbesserungen liefern. Allerdings ist es aber auch nicht notwendig, zu warten, bis die Datenschutzaufsichtsbehörden die Ergebnisse ausgewertet und veröffentlicht haben. Gern können Sie uns sofort für ein Erstgespräch und ein unverbindliches Angebot kontaktieren, sodass wir Sie sowohl in diesem als auch in anderen Bereichen des Datenschutzes unterstützen und beraten können.