Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

Datenauskunftserteilung nach DSGVO - darauf müssen Unternehmen achten
Jobs Icons Marketing

Jonas Braun | Cyber Security Writer

Datenauskunftserteilung: Diese 4 Punkte sollten Unternehmen beachten

Seit dem 25. Mai 2018 ist die neue Datenschutz-Grundverordnung (kurz: DS-GVO) europaweit in Kraft getreten. Relevant ist diese für Unternehmen, welche personenbezogenen Daten speichern und weiterverarbeiten.

Durch die Änderung der Gesetzeslage ergeben sich für Unternehmen nun mehr weitere Aufgaben und Neustrukturierungen auf die es zu achten gilt.

Denn seit Mai diesen Jahres ist es Mitarbeitern, Kunden oder Website-Nutzern gestattet Auskunftsanträge zu stellen, ob und auf welche Weise Ihre personenbezogenen Daten von einem Unternehmen gespeichert und verwendet werden.

Wir sagen Ihnen, worauf Sie achten müssen, wenn Sie einen Antrag auf Datenauskunftserteilung erhalten, und wie Sie die angeforderten Daten mit dem Dateitransferdienst Whisply sicher an den Antragsteller übermitteln.

1. Das muss die Datenauskunftserteilung enthalten

Eine Datenauskunftserteilung untergliedert sich in zwei Stufen. Zum einen können Betroffene Personen nun eine Bestätigung darüber verlangen, ob personenbezogene Daten gespeichert werden.
Trifft dies zu, so müssen die Verantwortlichen die entsprechenden Daten und deren Verarbeitung dem Antragsteller zur Verfügung stellen. Sollte ein Unternehmen allerdings keinerlei Daten eines Kunden verwenden, so wird diesem das auch so mitgeteilt.

Nun: wer ist denn überhaupt zur Beantwortung eines Antrags auf Datenauskunft verpflichtet?
Grundsätzlich gilt, dass jedes Unternehmen dazu verpflichtet ist jeden Auskunftsantrag zu beantworten. Ausnahmen ergeben sich, wenn ein Konzern aus mehreren Gesellschaften besteht. Hier ist jene Gesellschaft verpflichtet Auskünfte zu stellen, welche die Daten des Antragstellers verarbeitet. Werten allerdings IT-Dienstleister im Auftrag eines anderen Unternehmens Daten aus, so sind diese (bei vertraglicher Vereinbarung) dazu verpflichtet ihren Auftraggeber zu informieren.

Folgende Informationen sind nach Art. 15 Abs. 1 DS-GVO dem Antragsteller bereitzustellen:

  1. Verarbeitungszwecke
  2. Kategorien personenbezogener Daten, die verarbeitet werden
  3. Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  4. Falls möglich die geplante Speicherdauer oder die Kriterien für die Festlegung dieser Dauer
  5. Rechte auf Berichtigung oder Löschung der sie betreffenden Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eine Widerspruchrechts gegen diese Verarbeitung
  6. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  7. Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit– aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

2. Das muss ein Verantwortlicher bei der Verfassung einer Auskunft beachten

Ergänzend zu den rechtlichen Vorgaben der DS-GVO sind die im §57 BDSG (neu) verfassten Gesetze zum Auskunftsrecht zu beachten. Diese regeln die Bearbeitungsvorgänge eines Datenauskunftsantrags unter besonderen Voraussetzungen.
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 DS-GVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Unter Garantien versteht der Gesetzgeber:

a) Rechtlich bindende und durchsetzbare Dokumente zwischen Behörden oder öffentliche Stellen
b) Verbindliche interne Datenschutzvorschriften gemäß Artikel 47 DS-GVO
c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 DS-GVO erlassen werden
d) Von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 DS-GVO genehmigt wurden
e) Genehmigte Verhaltensregeln gemäß Artikel 40 DS-GVO oder einem Zertifizierungsmechanismus Artikel 42 DS-GVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftraggebers in dem Drittland zur Anwendung der geeigneten Garantien , einschließlich in Bezug auf die Rechte der betroffenen Person

3. Diese Fristen gilt es bei der Datenauskunftserteilung zu beachten

Nach Eingang eines Auskunftsantrags haben die Verantwortlichen einen Monat Zeit diesen zu bearbeiten und die Informationen nach Art. 12 Abs. 1 DS-GVO entweder mündlich oder schriftlich zu erteilen. Nur in komplexen Sonderfällen ist es möglich die Frist um maximal 2 Monate zu verlängern. Allerdings muss in Folge dessen der Antragsteller darüber in Kenntnis gesetzt werden aus welchen Gründen sich eine fristgerechte Bearbeitung eines Antrags verzögert.

Laut Art. 12 Abs. 5 DS-GVO werden die Informationen und zugehörige Mitteilungen und Maßnahmen unentgeltlich vom Verantwortlichen zur Verfügung gestellt. Allerdings kann der Verantwortliche bei exzessiven Anträgen derselben Person ein angemessenes Entgelt verlangen oder sich weigern aufgrund des Antrags tätig zu werden.

4. So wird die Datenauskunftserteilung an den Antragsteller übermittelt

Die Speicherung und Verarbeitung personenbezogener Daten ist derzeit ein strittiges Thema und hat für viel Misstrauen gesorgt. Nicht jeder ist sich voll im Klaren und hat keinerlei Einsicht wozu seine Daten denn überhaupt verwaltet werden. Die Datenauskunftserteilung kann nun endlich Abhilfe schaffen und jedem Einzelnen die Herkunft und Weiterverarbeitung seiner Daten erläutern.

Doch wie können diese Informationen nun so weitergeleitet werden um sicherzustellen, dass sie nur vom Antragsteller gelesen werden können und nicht zusätzlich von einer anderen Instanz? Eine geeignete Alternative zur mündlichen oder schriftlichen Verbreitung der Daten ist die Webanwendung Whisply.

Whisply ermöglicht einen sicheren Datentransfer, mit dem man ganz einfach Daten als Link mit Ende-zu-Ende Verschlüsselung direkt im Browser teilen kann. Die Dateien werden via Dropbox, OneDrive oder Google Drive übertragen und können sogar mit einem zusätzlichen PIN oder Passwortschutz ausgestattet werden. Somit haben alleine Sie und die betreffende Person Zugang zu diesen Dateien.

Wer also auf Nummer sicher gehen will und möchte, dass die gesendeten Daten auch nur für eine dazu berechtige Person verfügbar sind, ist mit Whisply bestens beraten.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.