In diesem Artikel sind einige Praxistipps zur Bearbeitung von Auskunftsanfragen im Bereich des Datenschutzes nach der DSGVO zu finden.
Gemäß Artikel 15 DSGVO der EU-Grundverordnungsbestimmung hat die betroffene Person das Recht, Auskunft darüber zu erhalten, wer die Daten über ihn/sie verarbeitet, woher die Daten stammen, warum sie verarbeitet werden, ob ihm/ihr ein Recht auf Berichtigung, Löschung, Einschränkung oder Widerspruch der Daten zusteht. Darüber hinaus kann er/sie das Recht über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde und die voraussichtliche Speicherdauer der Daten, insbesondere auch, an wen sie übermittelt werden, Auskunft zu erhalten. Eine Auskunft ist dann selbstverständlich nur möglich, wenn tatsächlich die Daten der betroffenen Person gemäß Art 15 Abs 1 DSGVO verarbeitet werden. Andernfalls muss der/die Antragsteller:in darüber informiert werden, dass keine Daten vorliegen.
Es empfiehlt sich, bei der Beantwortung von Auskunftsanfragen im Allgemeinen den folgenden Ablauf einzuhalten:
Die betroffene Person sollte umgehend eine Eingangsbestätigung über sein/ihr Auskunftsersuchen erhalten. Dies ist bereits eine vertrauensbildende Maßnahme, denn es zeigt der betroffenen Person, dass das Anliegen ernst genommen wird und nach den geltenden Bestimmungen bearbeitet wird.
Die Eingangsbestätigung sollte noch keine Auskünfte zu personenbezogenen Daten enthalten. Die betroffene Person sollte jedoch zusammen mit der Eingangsbestätigung darüber informiert werden, dass eine Prüfung seiner/ihrer Identität notwendig ist.
Auch sollte die betroffene Person darüber informiert werden, dass das Anliegen so schnell wie möglich bearbeitet wird, jedoch mit einer Bearbeitungsdauer von etwa zwei Wochen zu rechnen ist. Gesetzlich zulässig ist eine Wartezeit von bis zu einem Monat.
Sollte ein Auskunftsersuchen per E-Mail angefordert werden oder die Auskunft an eine dem Unternehmen unbekannte Anschrift übermittelt werden, so ist Vorsicht geboten. Die Auskunftsanfrage könnte auch durch eine andere unberechtigte Person gestellt worden sein, welche versucht, Informationen über den oder die Betroffene(n) zu erlangen.
Daher sollte die Auskunftsanschrift bzw. E-Mail-Adresse auch mit den eigenen Daten abgeglichen werden. Kommt es hier zu Abweichungen, empfiehlt es sich eine zusätzliche Eingangsbestätigung an die im Datensatz hinterlegte E-Mail-Adresse bzw. Anschrift zu übermitteln.
Hier wäre z. B. auch der Einsatz eines PIN-Codes per Post möglich, um die Legimitation überprüfen zu können.
Bei besonders kritischen Daten könnte auch die Übermittlung eines Ausweises oder PostIdent-Verfahrens hilfreich sein.
Bei unkritischen Daten dürfte eine derart exzessive Überprüfung jedoch unzulässig sein.
Wurde die Identität der betroffenen Person überprüft, kann die Auskunft sie übermittelt werden. Eine vollständige Auskunft muss folgende Informationen enthalten:
Bisher wurde noch keine Speicherdauer von Auskunftsverlangen gesetzlich definiert, es empfiehlt sich jedoch Auskunftsverlangen und die Auskunft selbst bis zum Ablauf der Verjährungsfrist von 3 Jahren aufzubewahren. Die Aufbewahrung der Anfragen und Auskünfte erfolgt hier zum Zweck der Abwehr unberechtigter Ansprüche, weshalb die Daten separat aufbewahrt werden sollten. Weiter empfiehlt sich eine "Sperrung" dieser Datensätze, welche demnach auch nur wenigen Personen innerhalb eines Unternehmens oder einer Behörde zugänglich sein sollten.
Sie möchten mehr über Datenschutz erfahren? Nehmen Sie Kontakt mit uns auf, bei einem kostenlosen Ersttermin werden wir gemeinsam Ihre Bedürfnisse analysieren.
Skalieren Sie Ihre IT-Infrastruktur mühelos und betreiben Sie Ihre Anwendungen schnell und sicher mit unseren cloudbasierten Technologielösungen.
Ihre Cloud Native Experten für zuverlässe IT-Infrastrukturlösungen und den automatisieren Betrieb von Open Source tools.