Art. 14 – DSGVO Informationspflicht

Anbei ein Artikel aus dem Arbeitskurzpapier zur Datenschutzauskunft, veröffentlich vom Landesdatenschutz Schlesswig Holzstein:

Kurzpapier Nr. 6: Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO

Quelle: https://www.datenschutzzentrum.de/artikel/1163-Kurzpapier-Nr.-6-Auskunftsrecht-der-betroffenen-Person,-Art.-15-DS-GVO.html

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses.

Auskunftsrecht als zentrales Recht zur Schaffung von Transparenz

Wie schon nach der bisherigen Rechtslage haben betroffene Personen das Recht mit formlosem Antrag und ohne Begründung von einem Verantwortlichen Auskunft über dort gespeicherte personenbezogene Daten zu verlangen. Die Auskünfte können es beispielsweise erleichtern, gezielt weitere Rechte, wie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung („Sperrung“), geltend zu machen.

Umfang des Auskunftsrechts

Nach Art. 15 Abs. 1 DS-GVO steht der betroffenen Person ein abgestuftes Auskunftsrecht zu.

Zum einen kann die betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Auch eine Negativauskunft ist erforderlich, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat.

Zum anderen kann die betroffene Person ganz konkret Auskunft darüber verlangen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden (z. B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde).

Weiterhin sind bei der Datenauskunft vom Verantwortlichen nach Art. 15 Abs. 1 DS-GVO vor allem noch folgende Informationen mitzuteilen:

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.),
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
  • geplante Speicherdauer falls möglich, andern-falls die Kriterien für die Festlegung der Speicherdauer,
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung,
  • Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde,
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Im Falle der Datenübermittlung in Drittländer ist über die insoweit gegebenen Garantien gemäß Art. 46 DS-GVO zu informieren (z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, d. h. BCR). Keine Drittländer sind die EU-Mitgliedsstaaten und die Vertragsstaaten des EWR.

Form der Auskunftserteilung

Die Auskunftserteilung an die betroffene Person kann nach Art. 12 Abs. 1 Sätze 2 und 3 DS-GVO je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch der betroffenen Person – mündlich erfolgen. Der Verantwortliche stellt eine Kopie der Daten zur Verfügung (Art. 15 Abs. 3 Satz 1 DS-GVO). Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DS-GVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z. B. im PDF-Format). Als datenschutzfreundlichste Gestaltung wird in Erwägungsgrund (ErwGr.) 63 Satz 4 ein vom Verantwortlichen eingerichteter Fernzugriff der betroffenen Person auf ihre eigenen Daten bezeichnet. Alle Kommunikationswege müssen angemessene Sicherheitsanforderungen erfüllen.

Frist für die Auskunftserteilung

Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DS-GVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats; nur in begründeten Ausnahmefällen kann die Monatsfrist überschritten werden, worüber die betroffene Person zu informieren ist (Art. 12 Abs. 3 Satz 3 DS-GVO). Der Verantwortliche muss (vorbereitend) geeignete organisatorische Maßnahmen treffen, damit die betroffene Person eine beantragte Auskunft zeitnah und in verständlicher Form erhalten kann (Art. 12 Abs. 1 Satz 1 und Art. 5 Abs. 2 DS-GVO).

Kosten der Auskunftserteilung

Die Auskunftserteilung an die betroffene Person
(z. B. als Kopie) muss durch den Verantwortlichen regelmäßig unentgeltlich erfolgen, Art. 12 Abs. 5 Satz 1 DS-GVO. Für weitere Kopien kann er ein angemessenes Entgelt fordern. Außerdem kann bei offenkundig unbegründeten oder exzessiven Anträgen ein angemessenes Entgelt für die Auskunft verlangt werden (Art. 12 Abs. 5 Satz 2, ErwGr. 63).

Identitätsprüfung

Es muss sichergestellt werden, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten. Hat der Verantwortliche begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so kann er nach Art. 12 Abs. 6 DS-GVO zusätzliche Informationen zur Bestätigung der Identität nachfordern (z. B. eine Postadresse bei elektronischem Auskunftsantrag).

Grenzen des Auskunftsrechts

Bei einer großen Menge von gespeicherten Informationen über die betroffene Person kann der Verantwortliche verlangen, dass präzisiert wird, auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht (ErwGr. 63 Satz 7). Das kann z. B. bei Banken oder Versicherungen mit umfangreichen Vertragsbeziehungen zu der betroffenen Person der Fall sein.

Offenkundig unbegründete oder exzessive Anträge einer betroffenen Person können zur Ablehnung oder zu einer Kostenerstattungspflicht führen (Art. 12 Abs. 5 S. 2 DS-GVO). Die betroffene Person muss jedoch (und zwar kostenfrei) ihr Recht in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (ErwGr. 63). Eine Ablehnung oder Kostenerstattung kommt daher nur in Ausnahmefällen in Betracht. Der Verantwortliche trägt die Beweislast für das Vorliegen eines unbegründeten oder exzessiven Antrags (Art. 12 Abs. 5 Satz 3 DS-GVO). Er muss der betroffenen Person in der Regel die Gründe für die Verweigerung der Auskunft mitteilen und sie über Rechtsschutzmöglichkeiten informieren (Art. 12 Abs. 4 DS-GVO).

Das BDSG-neu enthält in § 34 noch weitere Eingrenzungen des Auskunftsrechts, insbesondere für Archivdaten und Protokollierungsdaten.

Ob und wenn ja wie weit die Regelungen des BDSG-neu zur Einschränkung der Betroffenenrechte wegen des bestehenden Anwendungsvorrangs der DS-GVO angewendet werden können, bleibt eine Entscheidung im jeweiligen konkreten Einzelfall vorbehalten.

Beachtung Rechte Dritter

Die Auskunftserteilung an die betroffene Person darf nach Art. 15 Abs. 4 DS-GVO sowie ErwGr. 63 Satz 5 die Rechte des Verantwortlichen oder anderer Personen nicht beeinträchtigen, was bei Geschäftsgeheimnissen oder bei Daten mit Bezug auch auf andere Personen der Fall sein kann. Dies darf im Ergebnis aber nicht dazu führen, dass jegliche Auskunft verweigert wird.

Rechtfolgen bei Verstoß

Unterlassene oder nicht vollständige Auskunftserteilungen an betroffene Personen sind nach Art. 83 Abs. 5 lit. b DS-GVO mit einer hohen Geldbuße bedroht.

Empfehlung

Es ist für Verantwortliche ratsam, rechtzeitig im eigenen Interesse organisatorische Vorkehrungen für zügige und korrekte Auskunftserteilungen zu treffen.


Anmerkung zur Nutzung dieses Kurzpapiers:

Dieses Kurzpapier darf – ohne Rückfrage bei einer Aufsichtsbehörde – kommerziell und nicht kommerziell genutzt, insbesondere vervielfältigt, ausgedruckt, präsentiert, verändert, bearbeitet sowie an Dritte übermittelt oder auch mit eigenen Daten und Daten Anderer zusammengeführt und zu selbständigen neuen Datensätzen verbunden werden, wenn der  folgende  Quellenvermerk  angebracht  wird:
Konferenz  der  unabhängigen  Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). Datenlizenz Deutschland – Namensnennung – Version 2.0 (www.govdata.de/dl-de/by-2-0)„.

Auflistung des Gesetzestext:

Art. 14 DSGVO Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Quelle: https://dsgvo-gesetz.de/art-14-dsgvo/

  1. Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:
    1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
    2. zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
    3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
    4. die Kategorien personenbezogener Daten, die verarbeitet werden;
    5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
    6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.
  2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
    1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    2. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
    3. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
    4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
    5. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    6. aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
    7. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
  3. Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2
    1. unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
    2. falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
    3. falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.
  4. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
  5. Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
    1. die betroffene Person bereits über die Informationen verfügt,
    2. die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,
    3. die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder
    4. die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.
Hilflreiche Links:

anbei ein Hilfreicher Link zum Thema Pflichtangaben für die Informationspflicht nach Artikel 13 und Artikel 14 nach DSGVO.

URL: https://dsgvo-vorlagen.de/muster-informationspflichten-nach-art-13-und-14-dsgvo-mit-pflichtangaben

Weitere hilfreiche Quellen zu den Thema:

10 Schritte zur erfolgreichen Datenauskunft personenbezogener Daten:

Zehn Schritte für die erfolgreiche Auskunftserteilung nach der DSGVO

Quelle : https://www.datenschutzkanzlei.de/zehn-schritte-fuer-die-erfolgreiche-auskunftserteilung-nach-der-dsgvo/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.