Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselung

Keine Auskunft nach Art. 15 DS-GVO „aus Datenschutzgründen“?

7. März 2019/von Datenschutzbeauftragter/tma

Einer betroffenen Person steht nach Art. 15 DSGVO das Recht zu, von einem Verantwortlichen Auskunft über die sie betreffenden personenbezogenen Daten zu verlangen, die der jeweilige Verantwortliche verarbeitet. Dieses Recht ist bedingungslos, entsprechend ist der Verantwortliche verpflichtet, die Auskunft zu erteilen.

Kann diese Pflicht jedoch eingeschränkt werden? Eine sehr interessante Frage, doch zunächst wäre es wichtig, zu klären, auf welchem Weg eine Auskunft grundsätzlich verlangt werden kann und wie ein Verantwortlicher diese erteilen kann bzw. muss.

Auf welchem Weg kann Auskunft verlangt werden?

Ein Auskunftsersuchen seitens einer betroffenen Person ist auf unterschiedliche Art und Weise denkbar. Möglich wäre z.B. eine (eher seltene) persönliche Anfrage vor Ort, eine Anfrage per Post, auf elektronischem Wege per E-Mail oder ein Kontaktformular auf der Internetseite eines Verantwortlichen oder aber auch ganz einfach telefonisch oder per Fax. Hier hat die betroffene Person also ein Wahlrecht.

Auf welchem Weg kann (muss) Auskunft erteilt werden?

Bezüglich Kanal (dem Weg) der Auskunftserteilung macht die DSGVO gar keine und bezüglich der Form nur wenige Vorgaben. Die Auskünfte sind gemäß Art. 12 Abs. 1 DSGVO wie jede andere Information grundsätzlich „in leicht zugänglicher Form“ und bei einem elektronisch gestellten Auskunftsantrag gemäß Art. 15 Abs. 3 DSGVO „in einem gängigen elektronischen Format“ zu erteilen. Mehr Aussagen werden nicht getroffen, insbesondere lässt die DSGVO vollständig offen, was ein gängiges elektronisches Format sein soll. Unserer Ansicht nach dürften alle aktuell gängigen Office-Dokumenttypen oder PDFs, aber auch CSV- oder XML-Dateien diese Anforderung erfüllen.

Wir schließen aus dieser Vorgabe, dass es dem Verordnungsgeber darum ging, die Auskunft für die betroffenen Personen so einfach wie möglich zu gestalten. Dies sollte auch bei der Wahl des Antwortkanals berücksichtigt werden. Soweit möglich, ohne dabei einen Datenschutzverstoß zu begehen, sollte stets derselbe Kanal genutzt werden, der von der betroffenen Person gewählt wurde. Ein Datenschutzverstoß wäre zum Beispiel anzunehmen, wenn eine Antwort per unverschlüsselter E-Mail erfolgen würde.

Darf die Auskunft „aus Datenschutzgründen“ verweigert werden?

Bezüglich der Umsetzung der gesetzlichen Vorgaben in der Praxis herrscht in den Unternehmen eine große Unsicherheit. Dies führte kürzlich in einem Fall einer Auskunftsanfrage an eine Klinik dazu, dass der betroffenen Person mitgeteilt wurde, dass sie die Informationen, die Sie angefordert hat, nicht per Post erhalten könne, weil es sich dabei teilweise um Gesundheitsdaten handeln würde und die Unterlagen auf dem Postwege verloren gehen könnten, was zu einer „Datenpanne“ führen würde. Zudem wäre auch eine elektronische Übermittlung ausgeschlossen, da auch dieser Weg nicht sicher wäre. Die Auskunftserteilung wurde damit, wie es oft heißt „aus Datenschutzgründen“, zunächst verweigert. Die Auskunftserteilung könne aber, so die Auffassung der Klinik, dadurch erfolgen, dass die betroffene Person eine Kopie der Daten bei einer persönlichen Vorsprache gegen Vorlage eines Ausweises bei der verantwortlichen Stelle direkt erhalten könne.

Ist das zulässig? Kann eine betroffene Person „aus Datenschutzgründen“ gezwungen werden, persönlich vorzusprechen? Darf ihr gegenüber die Auskunft verweigert werden, solange sie nicht persönlich erscheint?

Definitiv nicht, entschied der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) nach einer Beschwerde der betroffenen Person und wies darauf hin, dass die vorgetragenen „Datenschutzgründe“ nicht gegen die Auskunftserteilung sprechen würden (Tätigkeitsbericht Datenschutz 2018 – HmbBfDI, S. 95 ff.). Die Klinik wurde durch die hamburgische Aufsichtsbehörde angewiesen, Auskunft zu erteilen. Diese wurde anschließend erteilt, indem eine Kopie der Daten auf einer Datenaustauschplattform passwortgeschützt zum Download bereitgestellt wurde. Das Passwort wurde der betroffenen Person in einem verabredeten Telefonat übermittelt. Das entspricht insgesamt auch der Vorgehensweise, die nach Erwägungsgrund 63 DSGVO als eine Möglichkeit zur Informationsübermittlung an eine betroffene Person aufgezeigt wird.

Haben wir es wirklich mit der betroffenen Person zu tun?

Darf aber ein Verantwortlicher zur Identitätsfeststellung, wenn eine betroffene Person nicht persönlich vorspricht und einen Identitätsnachweis vorlegt eine Kopie eines solchen Nachweises, beispielsweise des Personalausweises, verlangen? Ist das überhaupt zulässig? Nach Auffassung des Bundesbeauftragten für Datenschutz und die Informationssicherheit (BfDI) ist diese Frage zu bejahen, um insbesondere missbräuchliche Auskunftsbegehren auszuschließen und damit die betroffene Person zu schützen. Hier sprechen „die Datenschutzgründe“ also eindeutig für eine solche Vorgehensweise. Allerdings gilt auch hier der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DS-GVO, so dass auf der Kopie die Angaben zu Name, Anschrift, Geburtsdatum und Gültigkeitsdauer zur Identitätsfeststellung ausreichend wären, so dass die anderen Angaben geschwärzt werden könnten.

Benötigen Sie Unterstützung bei der Auskunftserteilung an eine betroffene Person? Kontaktieren Sie uns, wir helfen Ihnen gerne!

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2015/03/digital.jpg 480 830 Datenschutzbeauftragter/tma /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/tma2019-03-07 15:58:152019-06-14 14:51:34Keine Auskunft nach Art. 15 DS-GVO „aus Datenschutzgründen“?
Das könnte Sie auch interessieren
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitung Abmahnungen wegen Verstößen gegen die DSGVO
bestandsaufnahme datenschutz anonymes tracking einwilligung überprüfung tom cookies einwilligung Das Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der TOM
bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsg Ulrich Kelber zum Bundesdatenschutzbeauftragten gewählt
funktionsübertragung auftragsverarbeitung Die Funktionsübertragung nach der DSGVO
betriebsrat verantwortlich stellenangebot job datenschutzbeauftragter Modernisierung des Rechts der Mitarbeitervertretungen
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglich Behördliches Bußgeldberechnungskonzept auf dem Prüfstand – Gericht kippt Millionenbußgeld

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Der richtige Umgang mit Datenpannen – Meldepflicht oder nicht? Link to: Der richtige Umgang mit Datenpannen – Meldepflicht oder nicht? Der richtige Umgang mit Datenpannen – Meldepflicht oder nicht?datenpanne meldepflicht passwörter bsi tom fido Link to: Auftragsverarbeitungsvertrag durch Nichthandeln und ohne Unterschrift? Link to: Auftragsverarbeitungsvertrag durch Nichthandeln und ohne Unterschrift? auftragsverarbeitung vertrag informationspflichten ausnahmenAuftragsverarbeitungsvertrag durch Nichthandeln und ohne Unterschrift?
Nach oben scrollen Nach oben scrollen Nach oben scrollen