Blog Stammdaten

Alle Daten im Blick dank Auskunftsrecht

|

Das Auskunftsrecht spielt eine zentrale Rolle in der Datenschutz-Grundverordnung. Dieser Artikel klärt Sie über Ihre Rechte hinsichtlich der Auskunft und Kenntnis über personenbezogene Daten sowie den Einfluss auf die Speicherung und Verarbeitung dieser Daten auf.

Welcher Zusammenhang besteht zwischen DSGVO und BDSG?

Vorab ist das Verhältnis der europäischen Datenschutz-Grundverordnung zum neuen nationalen Datenschutzgesetz, dem BDSG, erklärungsrelevant. Seit dem 25. Mai 2018 werden beide parallel angewendet. Die DSGVO gilt bindend für alle Mitgliedsstaaten der EU. Grundsätzlich konkretisiert und ergänzt das BDSG die europäische Verordnung auf nationaler Ebene, ohne dieser dabei zu widersprechen. Im Falle einer Normenkollision wird die DSGVO als ranghöhere Gesetzgebung angesehen und findet folglich Anwendung. Jeder Mitgliedsstaat der Union hat das Recht, die übergreifende Verordnung national durch eine eigene Rechtsprechung zu ergänzen.

Was bedeutet das Auskunftsrecht generell?

Die doppelte datenschutzrechtliche Gesetzgebung ist ebenfalls im Zusammenhang des sogenannten Auskunftsrechts relevant. Allgemein wird so das Recht des Einzelnen beschrieben, die von einer Organisation gespeicherten, personenbezogenen Daten einsehen zu dürfen. Das heißt, es definiert das Recht auf Auskunft über die Verwendung und den Umgang mit sensiblen Daten. Somit kann eine betroffene Person Einfluss auf die Speicherung, Verarbeitung und Löschung dieser Datenbestände nehmen.

Was enthält das Auskunftsrecht nach DSGVO?

Die Inhalte des Auskunftsrechts werden nach Art. 15 DSGVO für Mitgliedsstaaten der Europäischen Union ausgelegt. Als betroffene Personen werden diejenigen Individuen definiert, deren personenbezogene Daten Unternehmen, Verbände oder jedwede andere Organisation erfragen und nutzen. Die Auskunft ersuchende Person hat in diesem Fall das Recht zu erfahren, ob sensible, individuelle Dateninhalte gespeichert und verwendet werden. Dabei ist auf europäischer Ebene nicht relevant, ob es sich bei den Verantwortlichen um eine öffentliche oder nicht-öffentliche Stelle handelt. Dieser Unterschied wird grundsätzlich nur bei der nationalen Form des Datenschutzgesetzes berücksichtigt und führt teilweise zu Einschränkungen des Auskunftsrechts.

Liegen bei verantwortlichen Organisationen Informationen über betroffene Personen in Form personenbezogener Daten vor, können diese Einsicht und Aufklärung über die folgenden Inhalte verlangen:

  • Verarbeitungszwecke
  • Kategorien der personenbezogenen Daten
  • Empfänger und Empfänger-Kategorien, gegenüber derer Daten offengelegt werden oder wurden
  • Dauer der Speicherung
  • Herkunft der Daten, falls die betroffene Person sie nicht selbst preisgegeben hat
  • das Bestehen oder Nicht-Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling (Art. 22 DSGVO)

Wie wird das Auskunftsrecht im BDSG ausgelegt?

Das BDSG bezieht sich im Kern auf die gesetzlichen Vorgaben der DSGVO. Es definiert nicht erneut die Inhalte des Auskunftsrechts, sondern schränkt die Gesetzgebung der EU nach spezifischen Kriterien ein. Der § 34 des BDSG beschreibt das nationale Auskunftsrecht betroffener Personen und die Einschränkung des Artikel 15 der Datenschutz-Grundverordnung. Demnach gelten Ausnahmen für das Recht auf Auskunft, wenn:

  • die Auskunft die ordnungsgemäße Erfüllung der Aufgaben von Verantwortlichen einer öffentlichen Stelle gefährden würden
  • die öffentliche Sicherheit und Ordnung gefährdet ist
  • die Datenspeicherung durch weitere Gesetzgebungen vorgeschrieben ist und gewisse Bestände nicht gelöscht werden dürfen
  • Daten ausschließlich zum Zweck der Datensicherung und Kontrolle genutzt und gespeichert werden

Dabei müssen Gründe für eine Verweigerung der Auskunftserteilung stets dokumentiert sein. Weiterhin ist eine Begründung der Ablehnung gegenüber betroffenen Personen vorgeschrieben.

Wie gehen Sie richtig mit Auskunftsersuchen um?

Sofern Sie Daten über eine natürliche Person speichern oder verwenden, kann diese Person einen Antrag auf Auskunftserteilung stellen. In diesen schriftlichen Antrag (der auch digital übermittelt werden kann) müssen Absicht und Grund des Auskunftsersuchens dargelegt sein. Weiterhin müssen konkret die Angaben beschrieben sein, welche von Interesse sind. Als Auskunftei müssen Sie auf dieses Ersuchen in jedem Fall antworten und im Falle einer Nicht-Auskunft mindestens eine Begründung liefern.

Konkret können Personen, deren Daten von Ihnen als Verantwortliche Stelle gespeichert oder genutzt werden, über diesen Antrag eine Kopie der entsprechenden Informationen verlangen. Werden neben dieser einzelnen Kopie weitere beantragt, steht es Ihnen zu, ein angemessenes Entgelt für die Auskunft zu verlangen. Die Höhe wird in Abhängigkeit der anfallenden Verwaltungskosten festgelegt.

Zudem ist für die Identifikation das Beilegen einer Ausweiskopie sowie die Angabe spezifischer Daten wie Name, Anschrift und Geburtsdatum notwendig. Alle irrelevanten Informationen könne auf der Kopie geschwärzt sein.

Welche Daten müssen Verantwortliche gegenüber Betroffenen offenlegen?

Grundsätzlich behandeln DSGVO und BDSG Aktivitäten zum Schutz der personenbezogenen Daten. Größtenteils werden diese mit Informationen über Kunden oder weitere Stakeholder-Parteien gleichgesetzt. So stellen personenbezogene Daten in Organisationen vorhandene Stammdaten zu generell natürlichen Personen dar. Diese sind zumeist besonders sensibel und schützenswert und rechtfertigen die neu definierten datenschutzrechtlichen Gesetzgebungen. Beispiele für etwaige Informationen sind:

  • Namen
  • Adressen
  • Telefonnummern
  • Geburtsdaten
  • Wohn- und Standortdaten
  • E-Mail-Adressen
  • IP-Adressen
  • Usernamen

Wann dürfen Ihre personenbezogenen Daten weitergegeben werden?

Nach DSGVO dürfen personenbezogene Daten an Drittländer oder international operierende Organisationen weitergegeben werden, wenn hierfür entsprechende Voraussetzungen gemäß sogenannten geeigneten Garantien erfüllt sind. Betroffenen steht in diesem Zusammenhang das Recht auf Auskunft über die angewendeten Garantien zu. Diese sind im Artikel 46 konkret definiert. Demnach stellen derartige Garantien:

  • rechtlich bindende Dokumente
  • verbindliche interne Datenschutzvorschriften
  • Standarddatenschutzklauseln nach Art 93. Abs. 2
  • rechtsverbindliche Verpflichtungen von Verantwortlichen gegenüber Auftragspartnern in Drittländern

dar.

Die Übermittlung von Daten wird auf dieser Grundlage ohne eine gesonderte Genehmigung einer Aufsichtsbehörde durchführbar. Unter einer vorbehaltlichen Genehmigung bestehen geeignete Garantien in:

  • Vertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern in Drittländern
  • rechtliche Bestimmungen zwischen Behörden und öffentlichen Stellen.

Welche Rechte haben Sie bei einer unzulässigen oder falschen Datenspeicherung?

Bei einer unzulässigen Datenspeicherung oder Speicherung falscher Daten besteht nach Art. 17 DSGVO das Recht auf Löschung o.a. "Vergessenwerden". Dies gilt, sobald die Speicherung und Verarbeitung nicht mehr notwendig ist, sie unrechtmäßig erworben wurden oder Einwilligungen entzogen werden. Weiterhin können Betroffene laut Widerspruchsrecht stets der Verarbeitung personenbezogener Daten widersprechen. Sollte Ihnen eine Auskunft nicht fristgerecht, unvollständig, oder wissentlich nicht erteilt werden, können Sie zudem Ihr Beschwerderecht wahrnehmen. Diese Beschwerde muss begründet sein, wird jedoch generell formlos akzeptiert. Die europäische Gesetzgebung wird auf nationaler Ebene durch § 35 des BDSG eingeschränkt.

Übersicht – welche Rechte müssen Betroffenen gewährt werden?

Sofern eine natürliche Person Einfluss auf personenbezogene Daten nehmen und Negativeinträge vermeiden möchten, besitzt sie das Recht auf:

  • Auskunft über die Datenverwendung, Datenübermittlung und hintergründiger geeigneter Garantien
  • Beschwerde bei nicht fristgerechter oder unvollständiger Auskunft
  • Löschung personenbezogener Daten, sofern keine geeigneten Garantien oder gesetzliche Bestimmungen dies verbieten
  • Berichtigung falsch gespeicherter Daten
  • Einschränkung der Verarbeitung in Abhängigkeit der Notwendigkeit der Verarbeitung
  • Widerspruch gegen die Verarbeitung, solange kein übergeordnetes öffentliches Interesse vorliegt

Fünf zentrale Fragen, die bei einem Auskunftsersuchen zu stellen sind

Die folgenden fünf Fragen sollten Sie sich bei einem Auskunftsersuchen stellen:

  • Verarbeiten Sie überhaupt personenbezogene Daten des Anfragenden?
  • Können Sie die Auskunft vielleicht verweigern?
  • Welche Inhalte müssen mitgeteilt werden?
  • In welcher Form muss die Auskunft erfolgen?
  • Ist die anfragende Person generell dazu berechtigt?

Auskunftsersuche ernst nehmen!

Auskunftsersuchen sind trotz ihrer relativen Seltenheit unbedingt ernst zu nehmen. Unvollständige, unterlassene oder verzögerte Antworten können zu delikaten Strafen wie Bußgeldern führen. Hier werden in Extremfällen bis zu 20 Mio. Euro oder 4 Prozent des Jahresumsatzes fällig, gemäß Art. 83 Abs. 5 b) der DSGVO. Sprechen Sie deshalb noch heute die Experten von Dun & Bradstreet an, um korrekt auf Auskunftsersuchen zu reagieren.

 

 

Master Data: The next big thing!

Master Data: The next big thing!

Holen Sie sich das Whitepaper

Erfahren Sie, warum Stammdaten der neuste Trend im Marketing sind.

Whitepaper jetzt herunterladen

Abonnieren Sie unsere Blog-Updates!

Lesen Sie neue Artikel zu den Themen Credit Management, Master Data, Marketing und Compliance als Erste.