Dienstag, 16. Oktober 2018

Datenschutz-Auskunftsersuchen eines Betroffenen nach Artikel 15 EU-DSGVO

Die EU-DSGVO gibt natürlichen Personen, deren Daten irgendwo gespeichert sind, enorm viele Rechte. Eines der wichtigsten ist dabei das „Auskunftsrecht der betroffenen Person“. Wer es ausüben will, muss einige Spielregeln kennen. Und Unternehmen sollten sich gründlich darauf vorbereiten.


Denn der interne Aufwand für Unternehmen kann bei korrekten Anfragen enorm sein. Die EU-DSGVO nimmt darauf letztlich keinerlei Rücksicht.

Datenschutz-Auskunftsersuchen eines Betroffenen nach Artikel 15 EU-DSGVO

Ob ein Antragsteller mit der Antwort inhaltlich etwas anfangen kann, ist wiederum sein Problem....


Auskunftsrecht als „Recht der Rechte“


Das Auskunftsrecht gilt als das wichtigste Recht, das die EU-DSGVO gewährt. Ein wesentlicher Grund dafür: Nur wer weiß, wo Daten über ihn gespeichert sind, kann weitere Rechte geltend machen, etwa das Recht auf die Berichtigung von falschen Daten.

Zwei Stufen des Rechts


Genau genommen unterscheidet die EU-DSGVO in ihrem Artikel 15 zwei Stufen des Auskunftsrechts:
  • Stufe 1: Die betroffene Person kann Auskunft darüber verlangen, ob ein Unternehmen oder eine Behörde überhaupt über Daten verfügt, die sie betreffen. Die Antwort auf diese Frage ist im Ergebnis einfach: Ist das der Fall, lautet die Antwort „ja“ (Fall der Positivauskunft). Ist das nicht der Fall, lautet die Antwort „nein“ (Fall der Negativauskunft). 
  • Stufe 2: Falls Daten vorhanden sind, besteht ein Anspruch der betroffenen Person, diese Daten zu erhalten. Außerdem muss sie eine ganze Reihe von Informationen zu den Daten bekommen. Dazu gehört etwa die Angabe des Zwecks, zu dem die Daten verarbeitet werden.

Berechtigte Sorge der Unternehmen vor dem Aufwand


Das umfassende Auskunftsrecht ist sicher eine große Errungenschaft des Datenschutzrechts. Dennoch sind viele Unternehmen davon nicht nur begeistert. Sie haben keineswegs etwas zu verbergen, wie manche Kritiker glauben. Vielmehr fürchten sie den Aufwand, den solche Anfragen verursachen. Er ergibt sich aus mehreren Aspekten:
  • Zunächst einmal muss überall im Unternehmen gesucht werden, ob Daten über die anfragende Person vorhanden sind. Hinweise darauf, wo wahrscheinlich etwas zu finden ist, erleichtern die Suche. Beispiel: Die anfragende Person gibt an, dass sie mehrfach als Zeitarbeiter im Unternehmen gearbeitet hat. Ausdrücklich verpflichtet ist sie zu solchen Angaben allerdings nicht. Sinnvoll sind sie trotzdem. Sie können eine Antwort wesentlich beschleunigen.
  • Der Auskunftsanspruch betrifft auch Daten auf Papier. Dies kann den Aufwand bei der Suche vervielfachen. Die EU-DSGVO nimmt auf die Besonderheiten von Daten auf Papier letztlich keine Rücksicht mehr.
  • Der Auskunftsanspruch ist zeitlich nicht begrenzt. Er erstreckt sich auf alle Daten, die vorhanden sind – auch auf solche, die schon viele Jahre unangetastet im Firmenkeller liegen.
  • Der Auskunftsanspruch besteht auch dann, wenn es um sehr große Datenmengen geht, etwa um mehrere tausend Seiten.

Recht auf eine kostenlose Kopie


Sind die Daten gefunden, hat die anfragende Person Anspruch auf eine kostenlose Kopie. Besonders bei umfangreichen Papierunterlagen kann dies für das Unternehmen ins Geld gehen. „Eine“ Kopie ist dabei wörtlich zu nehmen. Wer eine zweite Kopie will, etwa weil er die erste Kopie verloren hat, muss dafür zahlen.

Notwendige Vernichtungsaktionen


Viele Firmen haben die EU-DSGVO zum Anlass genommen, entbehrliche Unterlagen zu vernichten. Solche Aktionen sind bei Mitarbeitern nicht immer beliebt, aber wichtig. Wenn die gesetzlichen Aufbewahrungsfristen (beispielsweise aus dem Steuerrecht) abgelaufen sind, steht einer Vernichtung von Unterlagen nichts entgegen.

Grenzen bei Geschäftsgeheimnissen


Der Auskunftsanspruch geht zwar weit. Grenzen hat er aber trotzdem. So ist ausdrücklich festgelegt, dass „das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen“ darf. Dies wirkt abstrakt, hat aber sehr konkrete Auswirkungen. In den Erwägungsgründen der EU-DSGVO ist als Beispiel genannt, dass der Auskunftsanspruch Geschäftsgeheimnisse nicht beeinträchtigen darf. Der Auskunftsanspruch darf sie also nicht aushebeln.

Kein Anspruch auf eine verständliche Auskunft


Wer Auskunft verlangt, erhält die Daten übrigens so, wie sie vorliegen. Ob er inhaltlich mit ihnen etwas anfangen kann, ist sein Problem. Denn einen Anspruch auf Erläuterung des Inhalts von Daten sieht die EU-DSGVO nicht vor. Dies wird vor allem im Bereich der Medizin wichtig. In der EU-DSGVO heißt es ausdrücklich, dass sich der Auskunftsanspruch auch auf Daten in Patientenakten bezieht. Die Verständlichkeit der dort verwendeten Fachbegriffe und Kürzel ist damit in keiner Weise garantiert. Es ist Sache des Antragstellers, wie er damit klarkommt.

Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!


Die Umsetzung der EU-DSGVO hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch jetzt noch sind bei Weitem nicht alle Unternehmen mit der Umsetzung fertig, wie der Digitalverband erklärt. Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden.

Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.

Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen

Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.