Europäische Datenschutz-Grundverordnung: Das müssen Sie wissen

Rechtliche Aspekte sind nicht immer schön oder spannend, gewiss aber notwendig und hilfreich, gerade beim Thema Datenschutz.

Ab Mai 2018 tritt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) verbindlich in Kraft. Sie sieht – ebenso wie das „alte“ Bundesdatenschutzgesetz – ein Auskunftsrecht für betroffene Personen vor (Art. 15 EU-DSGVO). „Aber Vorsicht: In Bezug auf die Anforderungen und den Inhalt der Auskunft gehen die Bestimmungen der EU-DSGVO über die Bestimmungen des aktuellen Bundesdatenschutzgesetzes hinaus,“ weiß Rainer Berndt, Rechtsexperte der EASY SOFTWARE AG.


Inhalt des Auskunftsrechts nach Art. 15 EU-DSGVO

Wie ist die Ausgangslage? Nach Art. 15 Abs. 1 EU-DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeiten. Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und auf darüberhinausgehende Informationen zur Verarbeitung der Daten.

„Das Auskunftsrecht untergliedert sich demnach in zwei Stufen. Zunächst können betroffene Personen von dem Verantwortlichen eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden“, so Berndt. Konkret heißt das:

  1. Werden keine personenbezogenen Daten eines Antragstellers verarbeitet, ist der Antragsteller darüber zu informieren.
  2. Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten.

„Doch die Datenschutz-Grundverordnung erfordert weiteres Handeln. Zusätzlich hat der Verantwortliche nach Art. 15 Abs. 1 EU-DSGVO“, ergänzt Rainer Berndt „auch folgende Informationen bereitzustellen“:

  • die Verarbeitungszwecke,
  • die Kategorien personenbezogener Daten, die verarbeitet werden (neu),
  • die Daten-Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden,
  • soweit möglich die geplante Speicherdauer, andernfalls die Kriterien für die Festlegung der Speicherdauer (neu),
  • die Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie über ein Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 EU-DSGVO (neu),
  • das Beschwerderecht bei der Aufsichtsbehörde (neu),
  • die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden,
  • soweit zutreffend das Sicherstellen einer automatisierten Entscheidungsfindung einschließlich Profiling (angewandte Business-Logik, Tragweite, angestrebten Auswirkungen des Verfahrens).

Zudem gilt: Werden personenbezogene Daten in Drittländer übermittelt, haben betroffene Personen nach Art. 15 Abs. 2 EU-DSGVO das Recht, über die in Zusammenhang mit der Übermittlung geltenden Regelungen gemäß Art. 46 EU-DSGVO (z.B. vereinbarte Standard-Datenschutzklauseln) informiert zu werden.


Verfahren, Häufigkeit und Kosten der Auskunftserteilung

Doch es gibt noch weitere Aspekte zu beachten:

Nach Art. 15 Abs. 3 EU-DSGVO hat der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind.

Nach Art. 12 Abs. 5 EU-DSGVO hat der Verantwortliche diese Informationen grundsätzlich kostenlos zur Verfügung zu stellen. Verlangt die betroffene Person über die kostenlos zur Verfügung gestellte Kopie hinaus weitere Kopien, kann der Verantwortliche gemäß Art. 15 Abs. 3 EU-DSGVO ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen.

Außerdem kann der Verantwortliche im Falle unbegründeter oder ausufernder Anträge durch eine betroffene Person gemäß Art. 12 Abs. 5 EU-DSGVO entweder ein angemessenes Entgelt verlangen oder eine Auskunftserteilung verweigern.

„Allerdings hat der Verantwortliche auch den Nachweis dafür zu erbringen, dass der Antrag ausnahmsweise als unbegründet eingestuft wird. Nach Art. 12 Abs. 4 EU-DSGVO ist die betroffene Person über die Gründe der verweigerten Auskunftserteilung zu informieren“, weiß Berndt. Betroffene Personen können ihr Recht auf Auskunftserteilung übrigens in angemessenen Abständen wahrnehmen (Erwägungsgrund Nr. 63 zur EU-DSGVO).

 

Form und Frist der Auskunftserteilung

Auch zu Form und Frist der Auskunftserteilung liefert die Grundverordnung klare Vorgaben: Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, sind ihr die zu erteilenden Informationen gemäß Art. 12 Abs. 3 EU-DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Die Frist kann in schwierigen Fällen (z. B. hohe Systemkomplexität, fehlende Schnittstellen, heterogen vernetzte und verteilte Datenbank-Systeme) um zwei Monate verlängert werden. Über Fristverlängerungen ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang ihres Antrags zu informieren.

 

Nach Art. 12 Abs. 1 der EU-DSGVO können die Informationen schriftlich, auf elektronischem Wege oder auf Verlangen der betroffenen Person mündlich erteilt werden. Erfolgt die Auskunftserteilung mündlich, muss die Identität der betroffenen Person jedoch in anderer Form nachgewiesen werden. Wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch stellt, sind die zur Verfügung zu stellenden Informationen gemäß Art. 15 Abs. 3 EU-DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen.

In Erwägungsgrund Nr. 63 zur EU-DSGVO heißt es, dass der Verantwortliche möglichst den Fernzugang zu einem sicheren System bereitstellen sollte, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglicht. „In jedem Fall ist bei der Auskunftserteilung darauf zu achten, dass vorgeschriebene Sicherheitsanforderungen eingehalten werden“, so EASY Rechtsexperte Berndt.

 

Ausnahmen vom Auskunftsrecht

Keine Regel ohne Ausnahme, so auch hier: Der Verantwortliche muss nicht jedem Fall einem Auskunftsantrag Folge leisten. Er hat die Möglichkeit, eine Auskunft bei unbegründeten oder ausufernden Anträgen zu verweigern.

Wenn sein Unternehmen eine große Menge von Informationen über die betroffene Person verarbeitet, kann der Verantwortliche gemäß Erwägungsgrund Nr. 63 EU-DSGVO verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht.

Gemäß Art. 15 Abs. 4 EU-DSGVO kann von einer Auskunft ausnahmsweise auch dann abgesehen werden, wenn dies die Rechte und Freiheiten anderer Personen beeinträchtigt.

Darüber hinaus enthält das vor kurzem verabschiedete und ab Mai 2018 geltende neue (!) Bundesdatenschutzgesetz einige Einschränkungen und Ausnahmen zum Auskunftsrecht nach Art. 15 EU-DSGVO. Inwiefern eine Einschränkung des Art. 15 EU-DSGVO durch den nationalen Gesetzgeber möglich ist, ist aufgrund des bestehenden Anwendungsvorrangs der EU-DSGVO im konkreten Einzelfall zu entscheiden. Das gilt jedenfalls für die Bereiche, in denen Art. 15 EU-DSGVO nicht direkt einigen der zahlreichen Öffnungsklauseln der Datenschutz-Grundverordnung unterfällt.

 

Was bedeutet das für Ihr Unternehmen?

„Für Verantwortliche empfiehlt es sich, rechtzeitig organisatorische Vorkehrungen zu treffen, um Auskunftsersuchen schnell und vollständig beantworten zu können. Denn gemäß Art. 12 Abs. 1 und Art. 5 Abs. 2 EU-DSGVO haben Verantwortliche bereits vorbereitend geeignete organisatorische Maßnahmen zu treffen, um betroffenen Personen beantragte Auskünfte fristgerecht und in einer geeigneten Form zur Verfügung zu stellen“, rät Rainer Berndt.

Zudem gilt: Wenn Sie Software von EASY einsetzen, dort u. a. personenbezogene Daten vorhalten und sich auf die Zeit nach Inkrafttreten der EU-DSGVO optimal vorbereiten wollen, unterstützen wir Sie gerne bei den nötigen Maßnahmen: Anfrage gerne an Rainer Berndt, ed.ys1529784074ae@td1529784074nreB.1529784074renia1529784074R1529784074