Datenauskunftserteilung nach DSGVO - darauf müssen Unternehmen achten
Jobs Icons Marketing

Jonas Braun | Cyber Security Writer

@

Datenauskunftserteilung: Diese 4 Punkte sollten Unternehmen beachten

Seit dem 25. Mai 2018 ist die neue Datenschutz-Grundverordnung (kurz: DS-GVO) europaweit in Kraft getreten. Relevant ist diese für Unternehmen, welche personenbezogenen Daten speichern und weiterverarbeiten.

Durch die Änderung der Gesetzeslage ergeben sich für Unternehmen nun mehr weitere Aufgaben und Neustrukturierungen auf die es zu achten gilt.

Denn seit Mai diesen Jahres ist es Mitarbeitern, Kunden oder Website-Nutzern gestattet Auskunftsanträge zu stellen, ob und auf welche Weise Ihre personenbezogenen Daten von einem Unternehmen gespeichert und verwendet werden.

Wir sagen Ihnen, worauf Sie achten müssen, wenn Sie einen Antrag auf Datenauskunftserteilung erhalten, und wie Sie die angeforderten Daten mit dem Dateitransferdienst Whisply sicher an den Antragsteller übermitteln.

1. Das muss die Datenauskunftserteilung enthalten

Eine Datenauskunftserteilung untergliedert sich in zwei Stufen. Zum einen können Betroffene Personen nun eine Bestätigung darüber verlangen, ob personenbezogene Daten gespeichert werden.
Trifft dies zu, so müssen die Verantwortlichen die entsprechenden Daten und deren Verarbeitung dem Antragsteller zur Verfügung stellen. Sollte ein Unternehmen allerdings keinerlei Daten eines Kunden verwenden, so wird diesem das auch so mitgeteilt.

Nun: wer ist denn überhaupt zur Beantwortung eines Antrags auf Datenauskunft verpflichtet?
Grundsätzlich gilt, dass jedes Unternehmen dazu verpflichtet ist jeden Auskunftsantrag zu beantworten. Ausnahmen ergeben sich, wenn ein Konzern aus mehreren Gesellschaften besteht. Hier ist jene Gesellschaft verpflichtet Auskünfte zu stellen, welche die Daten des Antragstellers verarbeitet. Werten allerdings IT-Dienstleister im Auftrag eines anderen Unternehmens Daten aus, so sind diese (bei vertraglicher Vereinbarung) dazu verpflichtet ihren Auftraggeber zu informieren.

Folgende Informationen sind nach Art. 15 Abs. 1 DS-GVO dem Antragsteller bereitzustellen:

  1. Verarbeitungszwecke
  2. Kategorien personenbezogener Daten, die verarbeitet werden
  3. Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  4. Falls möglich die geplante Speicherdauer oder die Kriterien für die Festlegung dieser Dauer
  5. Rechte auf Berichtigung oder Löschung der sie betreffenden Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eine Widerspruchrechts gegen diese Verarbeitung
  6. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  7. Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit– aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

2. Das muss ein Verantwortlicher bei der Verfassung einer Auskunft beachten

Ergänzend zu den rechtlichen Vorgaben der DS-GVO sind die im §57 BDSG (neu) verfassten Gesetze zum Auskunftsrecht zu beachten. Diese regeln die Bearbeitungsvorgänge eines Datenauskunftsantrags unter besonderen Voraussetzungen.
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 DS-GVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Unter Garantien versteht der Gesetzgeber:

a) Rechtlich bindende und durchsetzbare Dokumente zwischen Behörden oder öffentliche Stellen
b) Verbindliche interne Datenschutzvorschriften gemäß Artikel 47 DS-GVO
c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 DS-GVO erlassen werden
d) Von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 DS-GVO genehmigt wurden
e) Genehmigte Verhaltensregeln gemäß Artikel 40 DS-GVO oder einem Zertifizierungsmechanismus Artikel 42 DS-GVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftraggebers in dem Drittland zur Anwendung der geeigneten Garantien , einschließlich in Bezug auf die Rechte der betroffenen Person

3. Diese Fristen gilt es bei der Datenauskunftserteilung zu beachten

Nach Eingang eines Auskunftsantrags haben die Verantwortlichen einen Monat Zeit diesen zu bearbeiten und die Informationen nach Art. 12 Abs. 1 DS-GVO entweder mündlich oder schriftlich zu erteilen. Nur in komplexen Sonderfällen ist es möglich die Frist um maximal 2 Monate zu verlängern. Allerdings muss in Folge dessen der Antragsteller darüber in Kenntnis gesetzt werden aus welchen Gründen sich eine fristgerechte Bearbeitung eines Antrags verzögert.

Laut Art. 12 Abs. 5 DS-GVO werden die Informationen und zugehörige Mitteilungen und Maßnahmen unentgeltlich vom Verantwortlichen zur Verfügung gestellt. Allerdings kann der Verantwortliche bei exzessiven Anträgen derselben Person ein angemessenes Entgelt verlangen oder sich weigern aufgrund des Antrags tätig zu werden.

4. So wird die Datenauskunftserteilung an den Antragsteller übermittelt

Die Speicherung und Verarbeitung personenbezogener Daten ist derzeit ein strittiges Thema und hat für viel Misstrauen gesorgt. Nicht jeder ist sich voll im Klaren und hat keinerlei Einsicht wozu seine Daten denn überhaupt verwaltet werden. Die Datenauskunftserteilung kann nun endlich Abhilfe schaffen und jedem Einzelnen die Herkunft und Weiterverarbeitung seiner Daten erläutern.

Doch wie können diese Informationen nun so weitergeleitet werden um sicherzustellen, dass sie nur vom Antragsteller gelesen werden können und nicht zusätzlich von einer anderen Instanz? Eine geeignete Alternative zur mündlichen oder schriftlichen Verbreitung der Daten ist die Webanwendung Whisply.

Whisply ermöglicht einen sicheren Datentransfer, mit dem man ganz einfach Daten als Link mit Ende-zu-Ende Verschlüsselung direkt im Browser teilen kann. Die Dateien werden via Dropbox, OneDrive oder Google Drive übertragen und können sogar mit einem zusätzlichen PIN oder Passwortschutz ausgestattet werden. Somit haben alleine Sie und die betreffende Person Zugang zu diesen Dateien.

Wer also auf Nummer sicher gehen will und möchte, dass die gesendeten Daten auch nur für eine dazu berechtige Person verfügbar sind, ist mit Whisply bestens beraten.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

Ransomware 2

Die jüngsten Datenlecks bei Uber und Rockstar Games' GTA6

Eine weitere Serie von Cyberangriffen auf große Unternehmen hat im September für Aufsehen gesorgt. Lesen Sie weiter, um zu erfahren, was schief gelaufen ist und was Sie aus den Fehlern dieser Unternehmen lernen können.

Das neue Boxcryptor für macOS

Die neue Boxcryptor-App für macOS ist da

Das neue Boxcryptor für macOS ist endlich da – und es hat sich eine Menge getan! Lesen Sie über unsere Beweggründe, die Vorteile dieser neuen Version und warum sie Boxcryptor in eine hervorragende Position für die Zukunft bringt.

Microsoft 365 Checker

Microsoft 365 – behalten Sie die Kontrolle!

Für Betriebsräte: Automatischer Check der TOMs zum Schutz personenbezogener Daten durch den Microsoft 365 Checker von Konverion. Jetzt kostenlos 30 Tage lang testen.