Lesezeit: 4 Min
Pflichten für Verantwortliche im Datenschutz
Im Datenschutz gibt es unterschiedliche Rechte von Betroffenen. Dazu zählt auch das Recht auf Auskunft oder Auskunftsrecht nach Art. 15 der Datenschutzgrundverordnung (DS-GVO). Damit Verantwortliche im Datenschutz dieses Recht ausreichend umsetzen, gilt es einiges zu beachten.
Warum gibt es das Recht auf Auskunft im Datenschutz?
Im Datenschutz geht es darum, Betroffene vor Risiken und Missbrauch vor allem durch den Schutz personenbezogener Daten zu schützen. Ein Betroffener ist dabei, einfach gesagt, eine natürliche Person, die man durch die personenbezogenen Daten identifizieren könnte. Personenbezogene Daten können alle Daten sein, die einen Rückschluss auf eine natürliche Person zulassen.
Personenbezogene Daten können Name, Geburtsdatum usw. sein, je nach Situation sind diese Daten aber auch variabel. Wenn Sie mehr über personenbezogene Daten erfahren möchten, empfehlen wir Ihnen unsere Blogartikel zum Thema.
Ein wichtiger Bestandteil des Datenschutzes ist, dass der Betroffene die Verarbeitung seiner personenbezogenen Daten nachvollziehen kann. Es muss verständlich für jeden Betroffenen möglich sein, die Datenverarbeitung seiner Daten nachzuvollziehen. Daher gibt es das sogenannte Recht auf Auskunft.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Rechtmäßigkeit muss für den Betroffenen erkennbar sein
Der Betroffene muss sich der Datenverarbeitung bewusstwerden und in der Lage sein die Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten nachzuvollziehen. Das Recht auf Auskunft gilt daher als Grundlage dafür, dass der Betroffene auch die anderen Betroffenenrechte im Datenschutz geltend machen kann.
Wie muss der Auskunftsanspruch im Datenschutz umgesetzt werden?
Es macht Sinn, sich einmal den möglichen Ablauf einer Betroffenenanfrage nach dem Auskunftsrecht zu verdeutlichen, um daraus Verantwortlichkeiten und Abläufe zu generieren.
Wenn eine Betroffenenanfrage beim Verantwortlichen eines Unternehmens oder einer Organisation eintrifft, sollte folgendes beachtet werden:
- nach dem Eingang sollte der Antrag des Betroffenen eingeordnet werden
- erstellen Sie möglichst eine Eingangsbestätigung
- die betroffene Person muss identifiziert werden, damit keine Informationen an Unbefugte gelangen
- ermitteln Sie alle relevanten personenbezogenen Daten und Prozesse in denen diese Verarbeitet werden oder wurden
- erstellen Sie möglichst eine Kopie der relevanten Daten zur Weitergabe an den Betroffenen
- bearbeiten Sie die Betroffenenanfrage umfassend
Unverzügliche Bearbeitung
Für die Bearbeitung und Auskunft haben Verantwortliche nicht unbegrenzt Zeit. Laut DS-GVO sollte die Auskunft unverzüglich, auf jeden Fall aber innerhalb eines Monats erfolgen.
Ein wichtiger Punkt bei der Bearbeitung eines Auskunftsersuchen sind die Zuständigkeiten. Egal wo der Betroffene seinen Antrag auf Auskunft gestellt hat: Grundsätzlich sind der oder die Verantwortlichen des Unternehmens oder der Organisationen dafür zuständig, dass der Anfrage ausreichend nachgekommen wird.
Geht die Anfrage bei einem Auftragsverarbeiter ein, dann muss dieser das Auskunftsersuchen an den Verantwortlichen weiterleiten.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Identität des Betroffenen prüfen
Bevor man das Auskunftsersuchen des Betroffenen prüfen kann, steht die Identifizierung des Betroffenen. Man muss zwingend nachprüfen, ob der Anfragende auch der Betroffene im Sinne des Datenschutzes ist. Das muss umgesetzt werden, um zu vermeiden, dass personenbezogene Daten oder andere Daten des Betroffenen an einen Unbefugten weitergegeben werden.
Es ist wichtig zu wissen, dass der Verantwortliche sicherstellen muss, dass die betroffene Person ausreichend identifiziert wird, aber auch festgelegt ist, dass er den Zugang zum Auskunftsersuchen aber auch entsprechend erleichtern muss. Unternehmen und Organisationen müssen daher einen Weg finden, diese beiden Ansprüche ausgewogen umzusetzen.
Wenn eine Identifizierung nicht möglich ist, muss der Verantwortliche dies dem Betroffenen mitteilen. Wenn die betroffene Person keine Angaben macht oder eine Identifizierung aus anderen Gründen nicht möglich ist, entfällt der Auskunftanspruch. Auch bei begründeten Zweifel von Seiten des Verantwortlichen an der Identität des Betroffenen, kann er weitere Informationen zur Identifizierung anfordern.
Die Identifizierung des Betroffenen stellt einen wichtigen Punkt in der Bearbeitung eines Auskunftsersuchens dar, daher sollten hier klar definierte Vorgaben gemacht werden und im Zweifel immer ein Fachmann im Datenschutz hinzugezogen werden.
Ansprüche prüfen
Neben der Prüfung der Identität des Betroffenen, muss auch geprüft werden, ob ein Anspruch über die Auskunft im Sinne des Datenschutzes besteht. Es können auch andere Arten des Anspruches vorliegen.
Wie muss eine Auskunft im Sinne des Datenschutz aussehen?
Für die Auskunft im Sinne des Datenschutz gibt es keine zwingend festgelegte Form. Trotzdem sollte sichergestellt werden, dass die Auskunft alle wichtigen Punkte und Informationen des Betroffenen umfasst, aber auch in der vom Betroffenen gewünschten Form erstellt und übermittelt wird
Wenn der Betroffene eine mündliche Auskunft fordert, kann der Verantwortliche eine schriftliche Auskunft erstellen, um beispielsweise eine Dokumentation sicherzustellen. Wenn das Auskunftsersuchen auch die Anforderung von Kopien enthält, müssen diese natürlich auch (soweit nichts dagegen spricht, zum Beispiel Schäden und Rechte für das Unternehmen oder andere Betroffene, auch weitere Empfänger) zur Verfügung gestellt werden. Alles kann in einem gängigen elektronischen Format erfolgen.
Konkrete Empfänger
Interessant wird es, wenn es um die Frage geht, ob auch eine Auskunft über konkrete Empfänger und die damit verbundenen personenbezogenen Daten eines Betroffenen erstellt werden muss. Der Betroffene hat ein Wahlrecht, ob seine Auskunft über konkrete Empfänger oder eine übergeordnete Empfängerkategorie erfolgen soll.
Möchte der Betroffene die Auskunft auch über konkrete Empfänger haben, muss dieser nachgekommen werden. Wenn dieses sogenannte Wahlrecht nicht ausgeübt wird, ist nicht abschließend geklärt, ob der Verantwortliche hier noch einmal nachfragen muss, oder ob er eine eigene Entscheidung treffen kann, nur die Empfängerkategorie mitzuteilen.
Eine Dokumentation unterschiedlicher Empfänger mach trotzdem für alle Unternehmen und Organisationen Sinn, um solche Anfragen schnell und umfangreich zu bearbeiten.
Gerade der Bereich der Empfänger von Daten birgt viele komplexe und nicht immer abschließen geklärte Fragen und sollte daher im Zweifel von einem Fachmann aus dem Bereich Datenschutz geklärt werden. Je nach Empfänger der personenbezogenen Daten und auch der Beachtung von Auftragsverarbeitern kann eine eindeutige Einordnung nicht immer klar ersichtlich sein.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.