Jetzt kostenlos registrieren für Ihren DSGVO Check!

Kostenlos. Abmeldung jederzeit möglich. Mehr Info

Auskunftsverlangen nach der DSGVO

Auskunftserteilung ist für Unternehmen kein Neuland. Bereits bisher waren Unternehmen verpflichtet auf Auskunftsanfragen zu reagieren. Mit der DSGVO haben sich die Anforderungen an das Auskunftsverlangen aber teilweise geändert.

Wem Sie Auskunft erteilen müssen, wie Sie dem Auskunftsverlangen nachkommen und welche Fristen dabei zu beachten sind, erfahren Sie in folgendem Beitrag.

Jeder hat Auskunftsrecht über seine Daten

Unternehmen müssen darauf eingestellt sein, dass jeder an sie herantreten kann und Auskunft über die über ihn gespeicherten Daten sowie eine Kopie seiner Daten verlangen kann. Außerdem kann eine Kopie der Daten verlangt werden. Darüber hinaus kann die Person auch verlangen, dass ihre Daten gelöscht werden. Da je nach Konstellation gar nicht klar ist, ob das Unternehmen überhaupt Daten über eine Person gespeichert hat, ist das erste Anliegen der Person dies herauszufinden. Einer Person, über die gar keine Daten gespeichert wurden, muss dies auch so mitgeteilt werden.

Identitätsprüfung

Wenn Daten über eine Person gespeichert wurden, müssen Sie sicherstellen, dass es sich auch wirklich um die auskunftsersuchende Person handelt und die Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Haben Sie begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so können Sie zusätzliche Informationen zur Bestätigung der Identität nachfordern (z. B. eine Postadresse bei elektronischem Auskunftsantrag).

Umfang des Auskunftsrechts

Nachdem geklärt wurde, dass personenbezogene Daten über den Auskunftsersuchenden gespeichert wurden, kann dieser ganz konkret Auskunft darüber verlangen, um welche Daten es sich dabei handelt (z.B. Name, Vorname, Anschrift, Geburtsdatum, Bestelldaten usw.).

Die Auflistung aller Informationen, die ihm mitzuteilen sind, findet sich in Art. 15 DSGVO:

  • Verarbeitungszweck (z.B. E-Mail Adresse, um Newsletter zu versenden)

TIPP: Den Zweck der Verarbeitung können Sie dem Verarbeitungsverzeichnis entnehmen. Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist seit 25. Mai 2018 verpflichtet, ein Verarbeitungsverzeichnis zu führen, in welchen u.a. auch der Zweck zu dem die Daten gespeichert wurden, dokumentiert werden muss.

Wir bieten Unterstützung beim Erstellen des Verarbeitungsverzeichnisses. Nähere Informationen finden Sie hier:

https://protected-compliance.com/pakete

 

  • Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Mitarbeiterdaten, Kundendaten usw.),
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
  • Informationen über die Rechte der Betroffenen (Recht auf Widerspruch, Berichtigung, Löschung oder Einschränkung der Verarbeitung)
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden und
  • Sollten Sie Daten zur automatisierten Entscheidungsfindung inkl. Profiling nutzen, müsste über die involvierte Logik, Tragweite und Auswirkungen dieses Verfahrens aufgeklärt werden.
  • im Falle der Datenübermittlung in Drittländer ist über die insoweit gegebenen Garantien gemäß Art. 46 DSGVO zu informieren (z. B. Datenschutzabkommen wie US-EU- Privacy-Shield oder verbindliche interne Datenschutzvorschriften). Keine Drittländer sind die EU-Mitgliedsstaaten und die Vertragsstaaten des EWR.

 

Form der Auskunftserteilung 

Die Auskunft kann schriftlich, elektronisch oder- auf Wunsch der betroffenen Person- mündlich erfolgen. Alle Kommunikationswege müssen angemessene Sicherheitsanforderungen erfüllen. Dem Auskunftsversuchenden muss eine Kopie aller über ihn gespeicherten Daten geschickt werden.  Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft in einem gängigen elektronischen Format zur Verfügung zu stellen (z. B. im PDF-Format). Die erste Datenkopie muss unentgeltlich erteilt werden, für weitere Kopien kann ein angemessenes Entgelt verlangt werden, wobei diese nur die entstehenden Verwaltungskosten decken darf. Außerdem kann bei offenkundig unbegründeten oder exzessiven Anträgen ein angemessenes Entgelt für die Auskunft verlangt werden, was jedoch nur in seltenen Extremfällen möglich sein dürfte.

Frist für die Auskunftserteilung      

Die Auskunftserteilung hat unverzüglich, spätestens aber innerhalb eines Monats zu erfolgen. Nur in begründeten Ausnahmefällen kann die Monatsfrist überschritten werden, worüber der Auskunftsersuchende innerhalb eines Monats zu informieren ist. Die Frist läuft ab Zugang der Auskunftsanfrage. Es ist in eigenem Interesse ratsam, rechtzeitig technische und organisatorische Vorkehrungen für zügige und korrekte Auskunftserteilungen zu treffen.

Rechtsfolgen bei Verstoß

Bei unterlassenen oder nicht vollständigen Auskunftserteilungen an den Auskunftsersuchenden drohen hohe Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes.

Fazit

Seit 25. Mai 2018 kann jeder kann an ein Unternehmen herantreten und Auskunft über seine gespeicherten Daten sowie eine Kopie oder die Löschung seiner Daten verlangen. Im Unternehmen sollten daher ausreichende Vorkehrungen getroffen werden, um die Auskunftsanfrage innerhalb schnellstmöglich beantworten zu können, um keine hohen Bußgelder zu riskieren.


Über den Autor

Bernadette Mohme ist Volljuristin und berät die rechtlichen Entwicklungen in allen für den eCommerce und dem Datenschutz relevanten Bereichen. Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur rechtskonformen Umsetzung von Vorschriften.

Ihre Nachricht an Bernadette Mohme



Themen:

DSGVO
Die Datenschutz Grundverordnung kommt
Stichtag 25. Mai 2018

92% haben die DSGVO noch nicht umgesetzt. Ihnen drohen teure Abmahnungen, Bußgelder bis zu 20 Mio. Euro und Ärger mit Ihren Kunden.

Handeln Sie jetzt!

Fragen? Ihr Ansprechpartner

Bernadette Mohme

Volljuristin

Tel.: 0800 600 40 50
info@protected-compliance.com