Tipps

How to: Das Recht auf Auskunft nach DSGVO einhalten

Art. 15 DSGVOAuskunftsrecht der betroffenen Person

DSGVO Artikel 15 meistern: Dein Recht auf Zugang zu personenbezogenen Daten

Erfahre, wie du dich gemäß der DSGVO Artikel 15 an das Recht auf Zugang zu personenbezogenen Daten hältst. Kostenlose Informationen, Datenschutz und schnelle Antworten sind entscheidend

How to: Das Recht auf Auskunft nach DSGVO einhalten

Der Artikel 15 der DSGVO (Datenschutzgrundverordnung) spielt im Leben von vielen Menschen, die sich um ihre persönlichen Daten Gedanken machen, eine große Rolle. Der Artikel beschreibt und regelt das Auskunftsrecht der personenbezogenen Daten und Informationen, welche von Unternehmen oder anderen Institutionen verarbeitet werden. Grundsätzlich stellt das Recht auf Auskunft einen sehr wichtigen Bestandteil der DSGVO dar und regelt die Betroffenenrechte. Besonders Unternehmen werden bei der Anwendung des Artikels gefordert und somit ist es jedem Gewerbetreibenden anzuraten, sich im Vorfeld über alle Rechte und Pflichten zu informieren und alle Vorbereitungen zu treffen, um eine erste Auskunftsanfrage sicher bearbeiten zu können und die richtigen Entscheidungen zu treffen.

Unternehmen, Behörden, Institutionen und Betroffene müssen wissen, dass innerhalb der DSGVO verschiedene Betroffenheitsrechte behandelt werden und diese seit dem 25. Mai 2018 Gültigkeit besitzen. Betrachtet man diese Betroffenheitsrechte, so wird behandelt, in welcher Form private Daten gespeichert und genutzt werden dürfen. Ein wichtiger Teil dieser Rechte wird im Artikel 15 DSGVO geregelt – dieser Artikel definiert das Auskunftsrecht aller betroffenen Personen in Bezug auf die vorhandenen personenbezogenen Daten. Für Unternehmen ergibt sich die Fragestellung, ob eine Auskunftspflicht besteht und wann eine betroffene Person das Recht erhält, eine Auskunft einzufordern. Gleichzeitig ist zu klären, wie eine Auskunftsanfrage zu stellen ist und welche Kosten entstehen können.

Wie definiert sich das Auskunftsrecht?

Seit dem 25. Mai 2018 wird durch den Artikel 15 DSGVO geregelt, welche Rechte ein:e Betroffene:r in Bezug auf seine oder ihre personenbezogenen Daten einfordern kann. Dies bedeutet, dass ein Unternehmen, welches personenbezogene Daten verarbeitet, einer betroffenen Person einen Überblick verschaffen muss, welche Daten und Informationen gespeichert sind. Wichtig ist, dass die Betroffenenrechte des Artikel 15 der Datenschutzgrundverordnung nicht nur die Stammdaten einschließen, welche in den meisten Fällen aus einem Namen und einer Adresse bestehen, sondern auch die geführte Kommunikation und interne Notizen als relevant definieren. Um einer betroffenen Personen einen ganzheitlichen Überblick zu verschaffen, muss sich aus der Kommunikation ein Kontext ergeben – ist dies nicht der Fall, so müssen die vollständigen Dokumente als Kopie bereitgestellt werden.

Welche Kosten entstehen bei einer Auskunftsanfrage?

Stellt eine betroffene Person den Antrag, eine Auskunft über die vorhandenen personenbezogenen Daten zu erlangen, so ist diese Auskunft generell kostenlos zu übermitteln. Der Artikel 15 DSGVO regelt aber, dass nur die erste Kopie der verlangten Auskunftserteilung als kostenfrei anzusehen ist. Sind unbegründete oder sich oft wiederholende Anfragen zu verzeichnen, so können Kosten in Rechnung gestellt werden oder die Auskunft wird verweigert. Derartige Fälle werden in der DSGVO innerhalb von Artikel 12 Abs. 5 behandelt und definiert.

Die Auskunftserteilung und der Datenschutz

Die Betroffenenrechte des Artikel 15 DSGVO bieten Personen die Möglichkeit, Einblick in die vorhandenen personenbezogenen Daten zu nehmen, aber zu beachten ist, dass das Auskunftsrecht gleichzeitig den Datenschutzbestimmungen unterliegt. Ist eine Auskunftserteilung eingegangen, so wird in Artikel 15 DSGVO definiert, dass eine Auskunft nur dann erteilt werden muss, wenn die Freiheiten und Rechte anderer beteiligten Personen abgesichert werden. Durch diese Definition können Betriebs- und Geschäftsgeheimnisse bewahrt werden. Der Artikel 15 lässt gleichsam aber keine Verweigerung auf Auskunft zu und somit sollten Passagen geschwärzt werden, die den Datenschutz betreffen. In einigen Fällen kann das Auskunftsrecht eingeschränkt werden. Dieser Fall kann in Kraft treten, wenn eine Bedrohungslage der öffentlichen Sicherheit vorliegt. Diese Sonderfälle werden innerhalb des Bundesdatenschutzgesetzes, der Abgabenordnung und dem Sozialgesetzbuch geregelt.

Für Unternehmen stellt jede Auskunftsanfrage eine Herausforderung dar und manche Unternehmen versuchen, den Aufwand als unverhältnismäßig darzustellen. Grundsätzlich ergibt sich eine Unverhältnismäßigkeit nicht nur aus dem Aufwand. Es ist nicht davon auszugehen, dass der Umfang der angeforderten Daten zwangsläufig zu einem hohen Aufwand führt. Fakt ist, dass personenbezogene Daten, welche in einem hohen Umfang gespeichert und verarbeitet werden, meistens eine hohe Relevanz besitzen und somit das Recht auf Auskunft verstärkt gegeben ist. Aus diesem Grund werden Unternehmen, welche sich auf eine Unverhältnismäßigkeit beziehen, in den seltensten Fällen eine Aussicht auf Erfolg haben.

Welche Daten müssen in einer Auskunft nach Artikel 15 DSGVO enthalten sein?

Stellt eine Person einen Antrag auf Auskunftserteilung, so gibt es derzeit kein allgemeingültiges Formular, welches genutzt werden kann. Somit muss ein Unternehmen, die Gestaltung einer Auskunft selbstständig übernehmen. Wichtig ist hierbei, dass eine Auskunft alle Angaben enthält, welche die Betroffenenrechte berühren. Gleichzeitig muss eine übersichtliche Gestaltung der Auskunft gegeben sein:

  • Die Auskunft muss in einer präzisen Sprache erteilt werden.
  • Aus eine transparente Gestaltung ist zu achten.
  • Der Auskunft muss verständlich sein.
  • Für den Adressaten muss die Auskunft leicht zugänglich sein.

Auch der Inhalt einer Auskunft wird durch die DSGVO klar geregelt. Soll eine Auskunft erteilt werden, so müssen folgende Positionen der betroffenen Person bereitgestellt werden:

  • Die genauen Verarbeitungszwecke muss aufgeführt werden.
  • Es muss ersichtlich werden, welche Daten verarbeitet werden.
  • Die geplante Speicherdauer.
  • Die Empfänger und weitere Empfänger der personenbezogenen Informationen.
  • Die Kriterien in Bezug der Speicherdauer.
  • Alle Rechte, die eine Berichtigung, Einschränkung oder Verarbeitung beinhalten.
  • Das Widerspruchsrecht gegen eine Verarbeitung der Daten.
  • Das Recht auf eine Beschwerde bei der zuständigen Aufsichtsbehörde.
  • Klärung der Datenherkunft, wenn die Daten nicht intern erhoben wurden.
  • Alle Daten, welche über einen Dienst oder ein Gerät erfasst wurden.

Selbst wenn ein Unternehmen keine personenbezogenen Daten einer Person verarbeitet oder verarbeitet hat, muss das Unternehmen eine sogenannte Negativauskunft versenden. Betrachtet man den Artikel 5 Abs. 2 der DSGVO, besteht in diesem Fall eine Rechenschaftspflicht. Eine Auskunft sollte intern vermerkt werden. Möchte man sich über eine Auskunftserteilung oder eine Negativauskunft informieren, so sollte man die Experten von heydata kontaktieren. Eine hohe Expertise in den Bereichen DSGVO und Datenschutz unterstützt Unternehmen, auch im Bereich des Artikel 15 DSGVO, immer die richtigen Entscheidungen zu treffen.

Wie kann von einer betroffenen Person das Auskunftsrecht wahrgenommen werden?

Möchte eine Person ein Auskunftsersuchen nach Artikel 15 der Datenschutzgrundverordnung abgeben, so muss dieser Antrag nicht begründet werden und somit ist ein formloser Antrag der betroffenen Person an den Adressaten völlig ausreichend. Unternehmen müssen bei einem eingegangenen Antrag beachten, dass die gewünschten Daten nicht an unbefugte Personen versendet werden und der Datenschutz eingehalten wird. Aus diesem Grund ist es zwingend notwendig, dass der Antragsteller von einem Unternehmen zweifelsfrei identifiziert werden kann. Ist eine eindeutige Identifikation des Antragsstellers nicht möglich, so sollte der Artikel 12 Abs. 6 der DSGVO beachtet werden, der es einem Unternehmen erlaubt, in Einzelfällen eine Kopie der Ausweispapiere zu verlangen. Dem Unternehmen müssen in diesem Fall aber der Name, die Anschrift, das Geburtsdatum und die Gültigkeitsdauer des Personalausweises ausreichen. Weitere Daten kann der Antragsteller unkenntlich machen – dies kann durch eine Schwärzung der Daten erfolgen. Das Unternehmen muss beachten, dass die erhaltene Ausweiskopie unter keinen Umständen gespeichert werden darf.

In welchem Zeitrahmen muss eine Auskunftserteilung nach Artikel 15 DSGVO erfolgen?

Hat eine betroffene Person eine Auskunft nach Artikel 15 eingefordert und verlangt Informationen bezüglich der vorhandenen personenbezogenen Daten, so muss dieser Antrag unverzüglich bearbeitet werden. In Artikel 12 Abs. 3 der Datenschuttgrundverordnung ist eine Frist von einem Monat nach der erfolgten Antragstellung definiert. Liegt ein komplexer Antrag vor, so kann die geltende Frist um zwei Monate verlängert werden. Grundsätzlich muss bei einer zu erwartenden Verzögerung die betroffene Person innerhalb des ersten Monats kontaktiert werden. In diesem Fall ist eine Informationspflicht gegeben.

Besonders bei einer ersten Datenauskunft besteht oft ein großer Informationsbedarf. In diesem Fall sollte man die hohe Expertise von heydata nutzen und sich in einem persönlichen Gespräch Wege aufzeigen lassen, wie eine datenschutzkonforme Auskunftserteilung zu erstellen ist.


Über den Autor

Weitere Artikel

apple-und-openai-deu

Die Partnerschaft von Apple und OpenAI

Apples Partnerschaft mit OpenAI zur Integration von ChatGPT in Siri markiert einen bedeutenden Fortschritt in der KI und verspricht intelligentere, personalisierte Interaktionen. Allerdings bringt sie erhebliche Datenschutzherausforderungen mit sich. Apples Datenschutz-zuerst-Ansatz stellt die Benutzerkontrolle und Transparenz sicher, indem Anfragen nicht protokolliert werden und eine ausdrückliche Zustimmung erforderlich ist. Diese Integration betont die Notwendigkeit robuster Datenschutzmaßnahmen und die Einhaltung von Vorschriften. Erfahre, wie Unternehmen KI-Fortschritte nutzen und gleichzeitig Daten schützen und Vertrauen wahren können.

Mehr erfahren
datenleck-bei-urban-sports-club

Datenleck bei Urban Sports Club: Lehren für unsere digitale Sicherheit

Das Datenleck beim Urban Sports Club hat die Notwendigkeit für verbesserten Datenschutz und Datensicherheit hervorgehoben. Persönliche Daten von Mitgliedern wurden unbeabsichtigt zugänglich, woraus wichtige Lehren für die Zukunft gezogen wurden. Für Unternehmen und Nutzer gleichermaßen ist es entscheidend, durch regelmäßige Überprüfungen, sichere Datenhandhabung und bewusstes Verhalten das Risiko von Datenlecks zu minimieren. Dieser Vorfall dient als Erinnerung an die ständige Wachsamkeit und proaktive Maßnahmen im Umgang mit digitalen Daten.

Mehr erfahren
NIS2-Part-Two-DE

Wichtige Schritte und Risiken bei Nichteinhaltung der NIS2-Richtlinie

Die NIS2-Richtlinie, die ab dem 17. Oktober 2024 in Kraft tritt, schreibt strengere Cybersicherheitsanforderungen in der gesamten EU vor und zielt auf ein breiteres Spektrum von Sektoren ab. Zu den Risiken bei Nichteinhaltung gehören hohe Geldstrafen, Durchsetzungsmaßnahmen, Rufschädigung, Betriebsstörungen und sogar strafrechtliche Sanktionen für die oberste Führungsebene. Um die Anforderungen zu erfüllen, müssen Organisationen zunächst prüfen, ob sie in den Geltungsbereich der Richtlinie fallen, und dann ihre Cybersicherheitsmaßnahmen bewerten und verstärken. Dazu gehören die Verbesserung des Risikomanagements, der Zugangskontrollen, der Reaktion auf Vorfälle und der Sicherheit durch Dritte. Bei der Einhaltung geht es nicht nur um die Einhaltung von Gesetzen, sondern auch um die Verbesserung der allgemeinen Sicherheit und des Vertrauens.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen