Datenschutzauskunft als Verantwortlicher richtig beantworten

null

In diesem Artikel sind einige Praxistipps zur Bearbeitung von Auskunftsanfragen im Bereich des Datenschutzes nach der DSGVO zu finden.

Welches Auskunftsrecht haben Personen deren Daten verarbeitet werden?

Gemäß Artikel 15 DSGVO der EU-Grundverordnungsbestimmung hat die betroffene Person das Recht, Auskunft darüber zu erhalten, wer die Daten über ihn/sie verarbeitet, woher die Daten stammen, warum sie verarbeitet werden, ob ihm/ihr ein Recht auf Berichtigung, Löschung, Einschränkung oder Widerspruch der Daten zusteht. Darüber hinaus kann er/sie das Recht über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde und die voraussichtliche Speicherdauer der Daten, insbesondere auch, an wen sie übermittelt werden, Auskunft zu erhalten. Eine Auskunft ist dann selbstverständlich nur möglich, wenn tatsächlich die Daten der betroffenen Person gemäß Art 15 Abs 1 DSGVO verarbeitet werden. Andernfalls muss der/die Antragsteller:in darüber informiert werden, dass keine Daten vorliegen.

Wie ist der korrekte Ablauf einer Datenschutzauskunft laut DSGVO?

Es empfiehlt sich, bei der Beantwortung von Auskunftsanfragen im Allgemeinen den folgenden Ablauf einzuhalten:

  1. Eingangsbestätigung
  2. Prüfung der Identität
  3. Übermittlung der Auskunft
  4. Aufbewahrung der Auskunftsanfrage und Auskunft

Eingangsbestätigung

Die betroffene Person sollte umgehend eine Eingangsbestätigung über sein/ihr Auskunftsersuchen erhalten. Dies ist bereits eine vertrauensbildende Maßnahme, denn es zeigt der betroffenen Person, dass das Anliegen ernst genommen wird und nach den geltenden Bestimmungen bearbeitet wird.

Die Eingangsbestätigung sollte noch keine Auskünfte zu personenbezogenen Daten enthalten. Die betroffene Person sollte jedoch zusammen mit der Eingangsbestätigung darüber informiert werden, dass eine Prüfung seiner/ihrer Identität notwendig ist.

Auch sollte die betroffene Person darüber informiert werden, dass das Anliegen so schnell wie möglich bearbeitet wird, jedoch mit einer Bearbeitungsdauer von etwa zwei Wochen zu rechnen ist. Gesetzlich zulässig ist eine Wartezeit von bis zu einem Monat.

Prüfung der Identität

Sollte ein Auskunftsersuchen per E-Mail angefordert werden oder die Auskunft an eine dem Unternehmen unbekannte Anschrift übermittelt werden, so ist Vorsicht geboten. Die Auskunftsanfrage könnte auch durch eine andere unberechtigte Person gestellt worden sein, welche versucht, Informationen über den oder die Betroffene(n) zu erlangen.

Daher sollte die Auskunftsanschrift bzw. E-Mail-Adresse auch mit den eigenen Daten abgeglichen werden. Kommt es hier zu Abweichungen, empfiehlt es sich eine zusätzliche Eingangsbestätigung an die im Datensatz hinterlegte E-Mail-Adresse bzw. Anschrift zu übermitteln.

Hier wäre z. B. auch der Einsatz eines PIN-Codes per Post möglich, um die Legimitation überprüfen zu können.

Bei besonders kritischen Daten könnte auch die Übermittlung eines Ausweises oder PostIdent-Verfahrens hilfreich sein.

Bei unkritischen Daten dürfte eine derart exzessive Überprüfung jedoch unzulässig sein.

Übermittlung der Auskunft

Wurde die Identität der betroffenen Person überprüft, kann die Auskunft sie übermittelt werden. Eine vollständige Auskunft muss folgende Informationen enthalten:

  • Verarbeitungszwecke
  • Kategorien von personenbezogenen Daten
  • Empfänger:innen oder Kategorien von Empfänger:innen, welche die Daten bereits erhalten haben oder in Zukunft erhalten werden
  • geplante Speicherdauer oder die Kriterien für deren Festlegung
  • Informationen über die Herkunft der Daten (sofern nicht von der betroffenen Person erhalten)
  • Information über die Rechte auf Berichtigung, Löschung, Sperrung und Auskunft
  • Information über das Widerspruchsrechts hinsichtlich der Verarbeitung
  • gegebenenfalls Information über automatisierte Entscheidungsfindung (einschließlich Profiling)

Aufbewahrung der erteilten Auskunft

Bisher wurde noch keine Speicherdauer von Auskunftsverlangen gesetzlich definiert, es empfiehlt sich jedoch Auskunftsverlangen und die Auskunft selbst bis zum Ablauf der Verjährungsfrist von 3 Jahren aufzubewahren. Die Aufbewahrung der Anfragen und Auskünfte erfolgt hier zum Zweck der Abwehr unberechtigter Ansprüche, weshalb die Daten separat aufbewahrt werden sollten. Weiter empfiehlt sich eine "Sperrung" dieser Datensätze, welche demnach auch nur wenigen Personen innerhalb eines Unternehmens oder einer Behörde zugänglich sein sollten.

Sie möchten mehr über Datenschutz erfahren? Nehmen Sie Kontakt mit uns auf, bei einem kostenlosen Ersttermin werden wir gemeinsam Ihre Bedürfnisse analysieren.

Support Glasskube
By leaving us a Star on GitHub
Star us
Glasskube Newsletter

Sign-Up to get the latest product updates and release notes!

Unsere Lösungen für zuverlässige und skalierbare Infrastruktur

Skalieren Sie Ihre IT-Infrastruktur mühelos und betreiben Sie Ihre Anwendungen schnell und sicher mit unseren cloudbasierten Technologielösungen.

Testen Sie Glasskube kostenlos

Ihre Cloud Native Experten für zuverlässige IT-Infrastrukturlösungen und den automatisieren Betrieb von Open Source tools.