Datenschutz-GrundverordnungDie Datenschutz-Grundverordnung gibt künftig den Betroffenen sehr weitreichende Auskunftsrechte. Da die DSGVO derzeit viel und weitläufig diskutiert wird ist abzusehen, dass nach dem 25. Mai 2018 viele Betroffene mal probehalber Auskunftsersuchen hinsichtlich ihrer gespeicherter Daten stellen werden. Es wird sich daher auszahlen, bereits im Vorfeld dazu Vorbereitungen zu treffen und die Prozesse so auszurichten, dass möglichst wenig Arbeit anfällt. Dieser Artikel versucht, diesbezüglich nützliche Tipps zu geben.

Jede betroffene Person kann bei jedem Datenverarbeiter (Verantwortlichen) anfragen, ob über sie personenbezogene Daten gespeichert sind, und wenn dies der Fall ist, müssen die gespeicherten Daten aufgelistet und weiters folgende Informationen gegeben werden:

  • Zu welchen Zwecken werden die Daten verarbeitet?
  • Welche Kategorien personenbezogener Daten werden verarbeitet?
  • Gegenüber welchen Empfängern oder Kategorien von Empfängern wurden und werden künftig die Daten offengelegt? Welche dieser Empfänger befinden sich in Drittländern oder sind internationale Organisationen? Welche Garantien gibt es, dass diese Empfänger in Drittländern bzw. internationale Organisationen sich ebenfalls an geeignete Datenschutzvorgaben halten werden?
  • Für welche Dauer werden die Daten gespeichert bzw. wie wird die Speicherdauer ermittelt?
  • Woher kamen die Daten (so sie nicht direkt persönlich erhoben wurden)?
  • Werden die Daten für Profiling verwendet?
  • Die Betroffene ist über ihre Rechte aufzuklären. Es besteht ein Recht auf Berichtigung der Daten, auf Löschen der Daten bzw. auf Einschränkung der Verarbeitung der Daten und auf einen Widerspruch gegen weitere Verarbeitung. Weiters besteht ein Beschwerderecht gegenüber der zuständigen Aufsichtsbehörde.

Dies sind jedoch weitgehend auch die Informationen, die im Verzeichnis der Datenverarbeitungstätigkeiten festzuschreiben sind. Es macht daher Sinn, das Verarbeitungsverzeichnis so zu gestalten, dass man den Auszug daraus als Textbaustein für so eine Anfragebeantwortung verwenden kann. Erstellt man für jede Datenverarbeitungstätigkeit eine eigene PDF-Datei, so kann man diese bei einer Anfragebeantwortung einfach anhängen.

Zu beachten ist auch, dass die Betroffene ihre Daten auch in einem maschinenlesbaren Format verlangen kann. Um sich eine Korrespondenz zu ersparen kann man daher die personenbezogenen Daten neben der lesbaren Form gleich auch in maschinenlesbarer Form zuschicken.Ausweis-Symbolfoto

Ein wichtiger Punkt bei der Beauskunftung der Daten ist die Identitätsfeststellung. Personenbezogene Daten dürfen nur an die betroffene Person als “Eigentümerin” der Daten ausgehändigt werden, keinesfalls an Dritte. Sich jedes Mal eine Ausweiskopie zusenden zu lassen ist relativ aufwändig. Auch ist nicht geklärt, ob die Ausweiskopie als Nachweis für die Rechtmäßigkeit des Vorgangs zu archivieren ist oder vom Prinzip der Datensprasamkeit ausgehend nach der Auskunftserteilung gelöscht werden muss. Daher sollte man diesen Fall nach Möglichkeit vermeiden.

Dies ist dann relativ leicht möglich, wenn in den Daten eine E-Mail- oder Post-Adresse hinterlegt ist. Spielen wir die Möglichkeiten durch:

Es ist eine E-Mail-Adresse hinterlegt.

Kommt die Auskunftsanfrage von der hinterlegten E-Mail-Adresse, so kann man problemlos direkt darauf antworten.

Kommt die Auskunftsanfrage via E-Mail von einer anderen E-Mail-Adresse (oder per Post), so sendet man die beauskunfteten Informationen an die hinterlegte E-Mail-Adresse (mit Hinweis auf die Anfrage; “Wir haben eine Anfrage zu Ihren Daten von einer anderen E-Mail-Adresse aus erhalten. Aus Datenschutzgründen senden wir die Daten an die hinterlegte Adresse. Bitte teilen Sie uns umgehend mitt, falls diese Anfrage nciht von Ihnen stammt.”) und teilt dies an die anfragende E-Mail-Adresse (bzw. per Brief) mit, ohne aber weitere Informationen herauszugeben (“Wir haben aus Datenschutzgründen die Informationen an die in den Daten hinterlegte E-Mail-Adresse gesendet.”). Wird jetzt behauptet dass die hinterlegte E-Mail-Adresse nicht mehr erreichbar ist, so muss man auf eine Identitätsfeststellung per Ausweiskopie übergehen.

Es ist keine E-Mail-Adresse, sondern nur eine Post-Adresse hinterlegt.

Stimmen Absendername und Anschrift mit den hinterlegten Daten überein, so kann die Auskunft per Post an die Post-Adresse gesendet werden.

Wird man hingegen aufgefordert, die Auskunft an eine andere Adresse als die hinterlegte Adresse zu senden, so ist wiederum eine Identitätsfeststellung per Ausweiskopie notwendig.

Identitätsfeststellung per Ausweiskopie

Wenn weder E-Mail noch Postadresse in den Daten hinterlegt sind oder die obigen Methoden fehlgeschlagen sind, so bleibt nur, den Anfragenden aufzufordern, eine Ausweiskopie beizubringen, egal ob die Anfrage per E-Mail oder postalisch erfolgte. Wenn in der Folge keine Zweifel an der Echtheit der Ausweiskopie bestehen so kann die Auskunft erfolgen. Bei Zweifeln an der Echtheit (wenn zB die Qualität zu schlecht ist) sollte man sicherheitshalber eine weitere Kopie verlangen. Kann diese nicht beigebracht werden bzw. wird wieder die erste Kopie vorgelegt so ist von einem Betrugsversuch auszugehen. In diesem Fall kann man noch anbieten, die Auskunft persönlich nach Ausweisleistung in der eigenen Firma zu geben.

Soweit in aller Kürze eine Übersicht über dieses doch komplexe Thema. Wir freuen uns über Ihre Fragen und Anregungen, entweder als Kommentare unter dem Artikel oder gerne auch in unserem Forum zum Thema DSGVO.

Follow me

Roland Giersig

Vizepräsident bei Digital Society
Roland Giersig ist Physiker, studiert Rechtswissenschaften, ist Sicherheitsexperte und Inhaber und Geschäftsführer der Firma SafeSec. Seine Anliegen sind besonders die Transparenz der öffentlichen Verwaltung und die Einhaltung der Grundrechte im digitalen Raum.
Follow me