Umsetzung der DS-GVO in NRW

Personenbezogene Daten dürfen nicht an Unbefugte weitergegeben werden

Das Recht auf Auskunft gehört zu den Betroffenenrechten nach Datenschutzgrundverordnung (DS-GVO). (Was sind Betroffenenrechte im Datenschutz? Lesen Sie dazu unseren Blog-Artikel).

Jeder Betroffene hat das Recht von Verantwortlichen eine Auskunft darüber zu erhalten, ob personenbezogene Daten von ihm verarbeitet werden. Wenn der Verantwortliche personenbezogene Daten von einem Betroffenen verarbeitet, muss er ihm auch eine Auskunft darüber erteilen, welche personenbezogene Daten verarbeitet werden.

Eine Auskunft muss dabei unter anderem mindestens folgende Angaben erhalten:

  • Welche personenbezogenen Daten werden verarbeitet? – Kategorie bzw. Art der personenbezogenen Daten
  • Für welchen Zweck werden die personenbezogenen Daten verarbeitet?
  • An wen werden die Daten rechtmäßig zur Verarbeitung weitergegeben? (Empfänger bzw. Kategorie von Empfängern)
  • Löschfristen bzw. Speicherdauer für die personenbezogenen Daten
  • Angaben zu Recht auf Widerspruch, Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Auskunft über Beschwerderecht bei der entsprechenden Aufsichtsbehörde
  • Auskunft, sollten Daten in Drittländer übermittelt werden

Frist für Auskunftserteilung beachten

Für die Erteilung der Auskunft bei einem Auskunftsersuchen durch einen Betroffenen hat der Verantwortliche einen Monat Zeit diesem nachzukommen. Es ist wichtig, dass der Verantwortliche diese Zeit nicht verstreichen lässt, da sonst empfindliche Strafen wegen eines Verstoßes gegen die DS-GVO folgen können.

Mehr über das Recht auf Auskunft lesen Sie auch hier.

ACHTUNG: Betroffenen identifizieren

Auch wenn der Verantwortliche sich an die oben kurz angeführten Vorgaben des Datenschutzes hält, gibt es einen grundlegenden Punkt, der dabei nicht vernachlässigt werden darf: Wie kann man sicherstellen, dass die personenbezogenen Daten nicht an die falsche Person weitergegeben werden?

Erfüllt ein Verantwortlicher nämlich das Recht auf Auskunft des Betroffenen nach DS-GVO, gibt dabei aber die Daten an eine falsche Person weiter (weil nicht der Betroffene, sondern ein Unbefugter die Daten abgefragt hat), liegt ein Verstoß gegen den Datenschutz vor. Die personenbezogenen Daten wurden dann ungeschützt an einen Dritten offengelegt.

Wie kann sichergestellt werden, dass keine personenbezogenen Daten an die falsche Person weitergegeben werden?

Mitarbeiter sensibilisieren

Der erste und wichtigste Schritt: Sensibilisieren Sie Ihre Mitarbeiter darauf, dass keine personenbezogenen Daten am Telefon oder über einen anderen Weg herausgegeben werden. Betroffenenanfragen sollten immer mit dem Verantwortlichen und dem (externen) Datenschutzbeauftragten bearbeitet werden.

Wie lässt sich die Identität des Betroffenen prüfen?

Ganz klassisch kann man die Identität eines Betroffenen zum Beispiel durch eine teilweise geschwärzte Kopie des Personalausweises durchführen. Dazu müsste dieser aber per Post verschickt werden.  In Zeiten der Digitalisierung ist dies aber vermutlich durchaus nicht der einfachste und schnellste Weg.

Auch wenn sich bisher noch kein digitaler Identitätsnachweis wirklich durchsetzen konnte, sollte jede Organisation sich mit der Umsetzung der Identitätsprüfung auseinandersetzen. Beispiele dafür sind die Identifizierung über Nutzerkonten über eine sichere Online-ID (mit Zwei-Faktor-Authentifizierung) oder die Online-Funktion des Personalausweises.

Wichtig dabei ist vor allem, dass die Übermittlung der Daten auf einer fundierten und abgesicherten IT basiert. Der Datenschutz setzt voraus, dass Hard- und Software einer Organisation auf einem ausreichenden Stand der Sicherheit sind. Das zeigt, wie untrennbar die IT-Sicherheit mit dem Datenschutz zusammenhängen.

Datenschutz regelmäßig überprüfen

Auch die Identifizierung bei Auskunftsersuchen ist ein wichtiger Baustein für die Umsetzung des Datenschutzes und darf nicht vernachlässigt werden. Sowohl die Betroffenenanfrage und das Auskunftsersuchen als auch die Identifizierung und der Umgang mit personenbezogenen Daten sollten dabei immer wieder auf den Prüfstand gestellt werden.

Sicherheitslücken werden so frühzeitig entdeckt und der Umgang mit den personenbezogenen Daten immer wieder überprüft. Dabei kann ein (externer) Datenschutzbeauftragter als Fachmann hinzugezogen werden, der die Situation in der Organisation regelmäßig neu bewertet.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten in KölnDüsseldorfSiegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

 

Auskunftsersuchen – Wie kann man den Betroffenen identifizieren?