arztpraxis aufruf anonym name betroffenenrecht auskunft 15 ds-gvo einschränkung der verarbeitung sperrung 18 dsgvo schadensersatz

Fallstricke bei der Auskunft nach Art. 15 DS-GVO

/von

Die DS-GVO definiert in den Artikeln 7 Abs. 3, 15 bis 18, 20, 21 und 77 zahlreiche Rechte für die betroffenen Personen. Einen großen Teil dieser Rechte gab es in ähnlicher Form zwar bereits unter dem Regime des alten BDSG, allerdings waren diese weiten Teilen der Betroffenen völlig unbekannt. Durch die in der DS-GVO geregelten, sehr umfangreichen Informationspflichten haben nun auch die Betroffenenrechte einen deutlich höheren Bekanntheitsgrad erlangt.

So hat sich die Zahl der bei den für die Verarbeitung Verantwortlichen eingehenden Anfragen betroffener Personen seit Mai 2018 vervielfacht. Mit steigender Anzahl von Anfragen steigt allerdings auch die Gefahr, bei der Erfüllung dieser Betroffenenrechte einen Fehler zu machen.

Die Auskunft nach Art. 15 DS-GVO

Wir möchten in diesem Artikel einmal auf das vermutlich am häufigsten geltend gemachte Betroffenenrecht eingehen: Das Recht auf Auskunft, welches in Art. 15 DS-GVO geregelt ist. Spricht man mit den Verantwortlichen merkt man schnell, dass eine gewisse Sensibilität vorhanden ist. Insbesondere ist ein enormer Respekt vor dem in Art. 83 Abs. 5 lit. b DS-GVO festgelegten möglichen Bußgeldrahmen von bis zu 20 Millionen Euro (oder 4% des weltweiten Jahresumsatzes, je nachdem, was höher ist) zu spüren. Dieser Bußgeldrahmen bezieht sich übrigens nicht nur auf die Erfüllung der Betroffenenrechte, sondern auch auf die in den Artt. 13 und 14 DS-GVO definierten Informationspflichten.

Die Datenkopie kennt nahezu jeder

Den allgemein bekannten Teil des Art. 15 DS-GVO möchten wir daher nur aus Gründen der Vollständigkeit erwähnen: Es muss darüber informiert werden, ob überhaupt Daten vorliegen (Art. 15 Abs. 1 Satz 1 DS-GVO). Sofern diese Frage mit “Ja” beantwortet werden kann, muss auch eine Datenkopie geliefert werden (Art. 15 Abs. 3 DS-GVO). Auf die Form der Erteilung der Auskunft sind wir in diesem Artikel in Teilen eingegangen.

Bis hierhin nichts Neues und nichts Besonderes. Weniger bekannt ist die Tatsache, dass in diesem Rahmen auch (Art. 15 Abs. 1 lit. a DS-GVO) über die Verarbeitungszwecke, über die Empfänger der Daten inkl. Garantien bei Drittstaaten-Übermittlungen (Art. 15 Abs. 1 lit. c DS-GVO), sowie über die Speicherdauer der Daten (Art. 15 Abs. 1 lit. d DS-GVO) informiert werden muss.

Über Rechte muss auch informiert werden

Nahezu völlig unbekannt scheint jedoch zu sein, dass auch über die Betroffenenrechte (Art. 15 Abs. 1 lit. e und f DS-GVO) informiert werden muss. Hier muss über das Bestehen sämtlicher Rechte außer dem Auskunftsrecht selbst und der Datenportabilität informiert werden. Darüber hinaus muss gegebenenfalls über das Bestehen einer automatisierten Einzelfallentscheidung inkl. Profiling informiert werden.

Und über die Herkunft auch

Sofern Daten nicht bei der betroffenen Person erhoben wurden, muss darüber hinaus auch über deren Herkunft informiert werden. Diese Anforderung führt dazu, dass gegebenenfalls auf Datenfeld-Ebene die Quelle der Daten zu speichern ist.

Insbesondere die Information über die Betroffenenrechte und die Datenherkunft werden häufig vergessen. Damit besteht für die Verantwortlichen ein Bußgeldrisiko, sofern diese Fehler bei der Auskunft beispielsweise im Rahmen einer Prüfung durch die Aufsicht auffallen.

Ein bisschen wie Artt. 13 und 14 DS-GVO

Betrachtet man die Anforderungen an die Auskunft, welche über die Datenkopie hinausgehen, zeigt sich schnell, dass diese Anforderungen denen der Artt. 13 und 14 DS-GVO sehr ähnlich sind. Problematisch könnte die Erteilung der Information zur Datenherkunft sein, da diese Daten insbesondere für die Zeit vor Anwendbarkeit der DS-GVO häufig nicht nachvollziehbar sind. Zum Zeitpunkt der Erhebung kann zwar üblicherweise die Information nach Art. 14 DS-GVO erbracht werden. Da aber die wenigsten Systeme im Zuge der DS-GVO-Einführung so erweitert wurden, dass die Datenherkunft dauerhaft mit den Daten gespeichert wird, ist eine spätere Beauskunftung hier häufig nicht mehr möglich.

Diesbezüglich besteht vermutlich hinsichtlich der bei den Verantwortlichen im Einsatz befindlichen Systeme noch ein nicht zu unterschätzender Anpassungsbedarf. Wir empfehlen die Erfüllung der Betroffenenrechte (nicht nur der Auskunft, sondern aller Rechte) zukünftig als Anforderung bereits bei Auswahl neuer Systeme als K.O. Kriterium zu berücksichtigen.

Benötigen Sie Unterstützung bei der Erfüllung von Betroffenenrechten? Stehen Sie vor der Auswahl neuer Systeme? Sprechen Sie uns an, wir unterstützen auch in Ihren Projekten!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
rechtsgrundlage lebenswichtige interessen übermittlung an anwalt rechtsverteidigung rechtsdurchsetzung bem einwilligungSerie Rechtsgrundlagen: Die lebenswichtigen Interessen nach Art. 6 Abs. 1 lit. d DSGVO
besondere kategorien 9Serie Rechtsgrundlagen: Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukAuftragsdatenverarbeitung unter der DSGVO
Datenübertragbarkeit 20 dsgvoSerie Betroffenenrechte: Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
externe mitarbeiter arbeitnehmerüberlassung aü leiharbeitnehmer auftragsdatenverarbeitung funktionsübertragungEinordnung externer Mitarbeiter
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDatenschutz-Zertifizierungen nach der DS-GVO