Datenauskunftserteilung: Diese 4 Punkte sollten Unternehmen beachten
Seit dem 25. Mai 2018 ist die neue Datenschutz-Grundverordnung (kurz: DS-GVO) europaweit in Kraft getreten. Relevant ist diese für Unternehmen, welche personenbezogenen Daten speichern und weiterverarbeiten.
Durch die Änderung der Gesetzeslage ergeben sich für Unternehmen nun mehr weitere Aufgaben und Neustrukturierungen auf die es zu achten gilt.
Denn seit Mai diesen Jahres ist es Mitarbeitern, Kunden oder Website-Nutzern gestattet Auskunftsanträge zu stellen, ob und auf welche Weise Ihre personenbezogenen Daten von einem Unternehmen gespeichert und verwendet werden.
Wir sagen Ihnen, worauf Sie achten müssen, wenn Sie einen Antrag auf Datenauskunftserteilung erhalten, und wie Sie die angeforderten Daten mit dem Dateitransferdienst Whisply sicher an den Antragsteller übermitteln.
1. Das muss die Datenauskunftserteilung enthalten
Eine Datenauskunftserteilung untergliedert sich in zwei Stufen. Zum einen können Betroffene Personen nun eine Bestätigung darüber verlangen, ob personenbezogene Daten gespeichert werden.
Trifft dies zu, so müssen die Verantwortlichen die entsprechenden Daten und deren Verarbeitung dem Antragsteller zur Verfügung stellen. Sollte ein Unternehmen allerdings keinerlei Daten eines Kunden verwenden, so wird diesem das auch so mitgeteilt.
Nun: wer ist denn überhaupt zur Beantwortung eines Antrags auf Datenauskunft verpflichtet?
Grundsätzlich gilt, dass jedes Unternehmen dazu verpflichtet ist jeden Auskunftsantrag zu beantworten. Ausnahmen ergeben sich, wenn ein Konzern aus mehreren Gesellschaften besteht. Hier ist jene Gesellschaft verpflichtet Auskünfte zu stellen, welche die Daten des Antragstellers verarbeitet. Werten allerdings IT-Dienstleister im Auftrag eines anderen Unternehmens Daten aus, so sind diese (bei vertraglicher Vereinbarung) dazu verpflichtet ihren Auftraggeber zu informieren.
Folgende Informationen sind nach Art. 15 Abs. 1 DS-GVO dem Antragsteller bereitzustellen:
- Verarbeitungszwecke
- Kategorien personenbezogener Daten, die verarbeitet werden
- Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
- Falls möglich die geplante Speicherdauer oder die Kriterien für die Festlegung dieser Dauer
- Rechte auf Berichtigung oder Löschung der sie betreffenden Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eine Widerspruchrechts gegen diese Verarbeitung
- Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit– aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
2. Das muss ein Verantwortlicher bei der Verfassung einer Auskunft beachten
Ergänzend zu den rechtlichen Vorgaben der DS-GVO sind die im §57 BDSG (neu) verfassten Gesetze zum Auskunftsrecht zu beachten. Diese regeln die Bearbeitungsvorgänge eines Datenauskunftsantrags unter besonderen Voraussetzungen.
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 DS-GVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Unter Garantien versteht der Gesetzgeber:
a) Rechtlich bindende und durchsetzbare Dokumente zwischen Behörden oder öffentliche Stellen
b) Verbindliche interne Datenschutzvorschriften gemäß Artikel 47 DS-GVO
c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 DS-GVO erlassen werden
d) Von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 DS-GVO genehmigt wurden
e) Genehmigte Verhaltensregeln gemäß Artikel 40 DS-GVO oder einem Zertifizierungsmechanismus Artikel 42 DS-GVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftraggebers in dem Drittland zur Anwendung der geeigneten Garantien , einschließlich in Bezug auf die Rechte der betroffenen Person
3. Diese Fristen gilt es bei der Datenauskunftserteilung zu beachten
Nach Eingang eines Auskunftsantrags haben die Verantwortlichen einen Monat Zeit diesen zu bearbeiten und die Informationen nach Art. 12 Abs. 1 DS-GVO entweder mündlich oder schriftlich zu erteilen. Nur in komplexen Sonderfällen ist es möglich die Frist um maximal 2 Monate zu verlängern. Allerdings muss in Folge dessen der Antragsteller darüber in Kenntnis gesetzt werden aus welchen Gründen sich eine fristgerechte Bearbeitung eines Antrags verzögert.
Laut Art. 12 Abs. 5 DS-GVO werden die Informationen und zugehörige Mitteilungen und Maßnahmen unentgeltlich vom Verantwortlichen zur Verfügung gestellt. Allerdings kann der Verantwortliche bei exzessiven Anträgen derselben Person ein angemessenes Entgelt verlangen oder sich weigern aufgrund des Antrags tätig zu werden.
4. So wird die Datenauskunftserteilung an den Antragsteller übermittelt
Die Speicherung und Verarbeitung personenbezogener Daten ist derzeit ein strittiges Thema und hat für viel Misstrauen gesorgt. Nicht jeder ist sich voll im Klaren und hat keinerlei Einsicht wozu seine Daten denn überhaupt verwaltet werden. Die Datenauskunftserteilung kann nun endlich Abhilfe schaffen und jedem Einzelnen die Herkunft und Weiterverarbeitung seiner Daten erläutern.
Doch wie können diese Informationen nun so weitergeleitet werden um sicherzustellen, dass sie nur vom Antragsteller gelesen werden können und nicht zusätzlich von einer anderen Instanz? Eine geeignete Alternative zur mündlichen oder schriftlichen Verbreitung der Daten ist die Webanwendung Whisply.
Whisply ermöglicht einen sicheren Datentransfer, mit dem man ganz einfach Daten als Link mit Ende-zu-Ende Verschlüsselung direkt im Browser teilen kann. Die Dateien werden via Dropbox, OneDrive oder Google Drive übertragen und können sogar mit einem zusätzlichen PIN oder Passwortschutz ausgestattet werden. Somit haben alleine Sie und die betreffende Person Zugang zu diesen Dateien.
Wer also auf Nummer sicher gehen will und möchte, dass die gesendeten Daten auch nur für eine dazu berechtige Person verfügbar sind, ist mit Whisply bestens beraten.