Diese Auskunftsrechte haben Betroffene nach der DSGVO

Fachbeitrag

Wie das BDSG in der Fassung bis zum 25.05.2018 (BDSG-alt) sieht auch die Datenschutz-Grundverordnung (DSGVO) ein Auskunftsrecht für betroffene Personen vor (Art. 15 DSGVO). Das Bestehen eines Auskunftsrechts für Betroffene ist aus datenschutzrechtlicher Sicht daher keine Neuigkeit. In Bezug auf die Anforderungen und den Inhalt der Auskunft gehen die Bestimmungen der DSGVO jedoch über die Bestimmungen des BDSG-alt hinaus. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Inhalt des Auskunftsrechts nach Art. 15 DSGVO

Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und darüber hinausgehende Informationen zu deren Verarbeitung.

Das Auskunftsrecht untergliedert sich demnach in zwei Stufen. Zunächst können betroffene Personen von dem Verantwortlichen eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Werden keine personenbezogenen Daten eines Antragstellers verarbeitet, ist der Antragsteller darüber zu informieren. Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten. Zusätzlich hat der Verantwortliche nach Art. 15 Abs. 1 DSGVO auch die folgenden Informationen bereitzustellen:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Widerspruchsrecht gegen diese Verarbeitung
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren

Werden personenbezogene Daten in Drittländer übermittelt, haben betroffene Personen darüber hinaus nach Art. 15 Abs. 2 DSGVO das Recht, über die in Zusammenhang mit der Datenübermittlung getroffenen geeigneten Garantien gemäß Art. 46 DSGVO (z.B. vereinbarte Standard-Datenschutzklauseln oder verbindliche interne Datenschutzvorschriften) informiert zu werden.

Form und Frist der Auskunftserteilung

Nach Art. 12 Abs. 1 der Datenschutz-Grundverordnung können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden. Erfolgt die Auskunftserteilung mündlich, muss die Identität der betroffenen Person jedoch in anderer Form nachgewiesen werden. Wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch stellt, sind die zur Verfügung zu stellenden Informationen gemäß Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z.B. als PDF). In Erwägungsgrund 63 zur Datenschutz-Grundverordnung heißt es diesbezüglich, dass der Verantwortliche nach Möglichkeit den Fernzugang zu einem sicheren System bereitstellen können sollte, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. In jedem Fall ist bei der Auskunftserteilung darauf zu achten, dass angemessene Sicherheitsanforderungen eingehalten werden.

Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, sind ihr die zu erteilenden Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann in komplexen Fällen um zwei Monate verlängert werden. Über Fristverlängerungen ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang ihres Antrags zu informieren.

Häufigkeit und Kosten der Auskunftserteilung

Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Nach Art. 12 Abs. 5 DSGVO hat der Verantwortliche diese Informationen grundsätzlich kostenlos zur Verfügung zu stellen.

Verlangt die betroffene Person über die kostenlos zur Verfügung gestellte Kopie hinaus weitere Kopien, kann der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Außerdem kann der Verantwortliche im Falle unbegründeter oder exzessiver Anträge durch eine betroffene Person gemäß Art. 12 Abs. 5 DSGVO entweder ein angemessenes Entgelt verlangen oder eine Auskunftserteilung verweigern. Allerdings hat der Verantwortliche auch den Nachweis dafür zu erbringen, dass der Antrag ausnahmsweise als unbegründet eingestuft wird. Nach Art. 12 Abs. 4 DSGVO ist die betroffene Person über die Gründe der verweigerten Auskunftserteilung zu informieren.

Dies bedeutet jedoch nicht, dass der Verantwortliche der betroffenen Person nach einmaliger Auskunftserteilung keine weiteren kostenlosen Auskünfte mehr zu erteilen braucht. In Erwägungsgrund 63 zur DSGVO heißt es, dass betroffene Personen ihr Recht auf Auskunftserteilung in angemessenen Abständen wahrnehmen können sollten.

Ausnahmen vom Auskunftsrecht

Auskunftsersuchen sind durch den Verantwortlichen nicht in jedem Fall zu beantworten. Neben der Möglichkeit, eine Auskunftserteilung bei unbegründeten oder exzessiven Anträgen zu verweigern, können Verantwortliche, die eine große Menge von Informationen über die betroffene Person verarbeiten, gemäß Erwägungsgrund 63 zur Datenschutz-Grundverordnung verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung zu erfolgen hat. Gemäß Art. 15 Abs. 4 DSGVO kann von einer Auskunftserteilung ausnahmsweise auch dann abgesehen werden, wenn dies die Rechte und Freiheiten anderer Personen beeinträchtigen würde.

Darüber hinaus enthält das BDSG-neu u.a. in § 34 einige Einschränkungen und Ausnahmen zum Auskunftsrecht nach Art. 15 DSGVO. Inwiefern eine Einschränkung des Art. 15 DSGVO durch den nationalen Gesetzgeber möglich ist, ist aufgrund des bestehenden Anwendungsvorrangs der DSGVO im konkreten Einzelfall zu entscheiden. Das gilt jedenfalls für die Bereiche, in denen Art. 15 DSGVO nicht direkt einigen der zahlreichen Öffnungsklauseln der Datenschutz-Grundverordnung unterfällt.

Handlungsempfehlung

Für Verantwortliche im Sinne der Datenschutz-Grundverordnung empfiehlt es sich, rechtzeitig organisatorische Vorkehrungen zu treffen, um Auskunftsersuchen schnell und vollständig beantworten zu können. Denn Gemäß der Art. 12 Abs. 1 und Art. 5 Abs. 2 DSGVO haben Verantwortliche bereits vorbereitend geeignete organisatorische Maßnahmen zu treffen, um betroffenen Personen beantragte Auskünfte fristgerecht und in einer geeigneten Form zur Verfügung zu stellen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

44 Kommentare zu diesem Beitrag

  1. „Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.“

    Was bedeutet das denn genau? Es klingt so, als ob die konkreten Datensätze kopiert werden müssen. In 1c ist aber nur von den Kategorien personenbezogener Daten die Rede.

    • Nach Art. 15 Abs. 1, 2. Hs. DSGVO hat der Verantwortliche der betroffenen Person Auskunft über die verarbeiteten personenbezogenen Daten – die konkret verarbeiteten personenbezogenen Daten – zu erteilen. Darüber hinaus sind dem Betroffenen die Informationen aus Art. 15 Abs. 1 lit. a) – h) DSGVO zur Verfügung zu stellen. Nach Art. 15 Abs. 1 lit. b) DSGVO hat der Verantwortliche dem Betroffenen ergänzend auch die Kategorien der personenbezogenen Daten mitzuteilen, die verarbeitet werden. Dies kann z.B. besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO betreffen.

  2. Betriebssysteme verwenden ja den Benutzernamen desjenigen, der eine Datei erstellt hat, als Dateiattribut („Besitzer“), Linux und Unix halten auch fest, wer eine Datei zuletzt bearbeitet hat. D.h. mit jeder Datei auf der Festplatte oder im Netzwerk kann ich den Namen desjenigen verbinden, der sie erstellt oder zuletzt verändert hat.
    Wären das personenbezogene Daten im o.g. Sinn, die der Auskunftspflicht unterliegen (sie könnten ja z.B. als Leistungsnachweis o.ä. herangezogen werden.)?

    • Soweit Namen der Bearbeiter zu einzelnen Dateien gespeichert werden, werden personenbezogene Daten verarbeitet, über die im Rahmen des Auskunftsrechts nach Art. 15 DSGVO entsprechend zu informieren wäre. Gleiches gilt, wenn zwar nicht die Namen, dafür aber sonstige Informationen zu einzelnen Dateien gespeichert werden, welche die Identifizierung einer natürlichen Person ermöglichen, da auch in diesem Fall personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet werden.

  3. Muss eine Auskunft durch den Verantwortlichen in „jeder“ Sprache eines Mitgliedstaates/eines Drittlandes – aus dem eine betroffene Person kommt, erteilt werden oder kann die Beantwortung des Auskunftsersuchens jedenfalls in der Sprache der Landes erfolgen, in der der Verantwortliche seine Tätigkeit ausübt?

    • Nach Art. 12 Abs. 1 Satz 1 Halbsatz 1 der DSGVO hat der Verantwortliche geeignete Maßnahmen zu treffen, um der betroffenen Person […] alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Ob die im Anschluss an ein Auskunftsersuchen zu übermittelnden Informationen in die jeweilige Landessprache übersetzt werden müssen, lässt die Regelung offen. Die Informationen müssen für den Betroffenen jedoch verständlich sein. Die Beantwortung eines Auskunftsersuchens hat daher grundsätzlich in der Sprache der Antragstellung durch die betroffene Person zu erfolgen, sofern es sich um die Sprache eines Landes handelt, in dem der Verantwortliche seine Leistung anbietet.

  4. Beispiel: Ich frage meinen früheren Arbeitgeber nach meinen gespeicherten Daten. Dieser antwortet, dass keine Daten über meine Person vorliegen. Falls ich dies anzweifle, welche Möglichkeiten einer Kontrolle habe ich? Müssen alle einzelnen personenbezogenen Daten benannt werden oder ist eine Gruppierung ausreichend?

    • Auch eine Negativauskunft ist eine Auskunft im Sinne des Art. 15 DSGVO. Ist die betroffene Person im Anschluss an eine Negativauskunft dennoch der Ansicht, dass eine Verarbeitung sie betreffender personenbezogener Daten vorliegt, die gegen die Datenschutz-Grundverordnung verstößt, hat die betroffene Person nach Art. 77 DSGVO u.a. das Recht auf Beschwerde bei einer Aufsichtsbehörde. Das Auskunftsrecht umfasst alle Daten, die bei dem Verantwortlichen vorhanden sind. Daten, die beim Verantwortlichen zum Zeitpunkt des Auskunftsersuchens nicht mehr vorhanden sind, sind nicht vom Auskunftsanspruch umfasst.

  5. Wenn ich einen Antrag erhalte und dazu eine Ausweiskopie verlange und die kommt 2 Tage nach dem Antrag, beginnt die Frist trotzdem schon an dem Tag wo der Antrag gestellt worden ist, oder wo ich alle vollständigen Unterlagen habe, also inkl. Ausweis?

  6. Sind personenbezogene Daten nicht auch die Nachrichten die auf einer Website zwischen registrierten Mitgliedern ausgetauscht werden ? Jede entsprechende Website „weiß“ (bzw. verarbeitet) wer was an wen geschrieben hat. Da scheint die Auskunftsplicht eigentlich gar nicht umfassend erfüllbar. Gibt es für Facebook aufgrund der Größe/Bedeutung eine Ausnahme ?

  7. Wann trifft das zu: „wenn dies die Rechte und Freiheiten anderer Personen beeinträchtigen würde.“
    Jede Unternehmen kann sich auf so eine Ausrede beziehen und keine Auskunft geben. Das ist mir gerade passiert als ich die Herausgabe in Kopie von meinen personenbezogene Daten bei einer privaten Schule gefordert habe.

  8. In welcher Form muss die Auskunft erfolgen? Normal per Brief oder Postzustellungsurkunde? Ich habe in der DSGVO gelesen wenn die Anfrage in elektronischer Form erfolgt muss auch so geantwortet werden also per Email. mit PDF……..ist das nicht auch ein Verstoß gegen die DSGVO?

    • Die Auskunft kann regelmäßig in der Form beantwortet werden, in welcher sie auch gestellt wurde. Selbst eine Auskunft per Telefon ist hier möglich, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde (vgl. Art. 12 Abs. 1 S. 3 DSGVO).

      Stellt die betroffene Person den Antrag also elektronisch, so sind die Informationen grundsätzlich auch in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern der Betroffene nichts anderes angibt (vgl. Art. 15 Abs. 3 S 3 DSGVO).

      „Elektronisch“ bedeutet indes nicht, dass die Daten per unverschlüsselter E-Mail verschickt werden müssen. Vielmehr sind auch hier die entsprechenden Vorkehrungen zu treffen, die der Art und dem Umfang der Daten gerecht werden. So könnte gem. Erwägungsgrund 63 bspw. ein Zugriff auf ein sicheres System, das der betroffenen Person einen direkten Zugang zu ihren personenbezogenen Daten ermöglicht, verwendet werden. Oder aber man verschickt einen passwortgeschützten, verschlüsselten Ordner und übermittelt das Passwort auf einem anderen Kanal (z.B. per Post).

  9. Eine Kreditkartenbank hat mein Kartenlimit nach unten korrigiert, aufgrund einer angeblichen Verschlechterung meiner Bonität. Kann ich aufgrund des neuen Datenschutzgesetzes Auskunft verlangen, aus welchen Quellen die Informationen der angeblichen Bonitätenverschlechterung stammen ?

    • Gemäß Art. 15 DSGVO steht allen betroffenen Personen ein Auskunftsrecht zu. Im Rahmen der Auskunftserteilung sind gemäß Art. 15 Abs. 1 g) DSGVO auch alle verfügbaren Informationen über die Herkunft der Daten zu erteilen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.

  10. Eine Firma weigert sich schlicht, die Auskunft zu erteilen. Die Datenschutzzentrale des zuständigen Bundeslandes stammelt „Überlastung“ (Oh, DSVGO. Was für eine Überraschung!).

    Was nun? Kann man auf Herausgabe klagen?

    • Welche Rechte und welche Pflichten im Einzelfall bestehen, hängt von den Umständen des Einzelfalls ab.

      Die Beantwortung eines Auskunftsersuchens darf in den in Art. 12 Abs. 5 DSGVO geregelten Fällen verweigert werden – daher bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen.

      Liegt kein offensichtlich unbegründetes Auskunftsersuchen vor und wird das Auskunftsersuchen dennoch nicht beantwortet (auch eine Negativantwort für den Fall, dass keine personenbezogenen Daten des Betroffenen verarbeitet werden, ist eine Antwort), kann die betroffene Person gem. Art. 77 DSGVO Beschwerde bei einer Aufsichtsbehörde einlegen. Nach Art. 57 Abs. 1 f) DSGVO muss die Aufsichtsbehörde die Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten.

      Unabhängig vom Beschwerdeweg über die Aufsichtsbehörden steht es Betroffenen gem. Art. 77 Abs. 1 DSGVO frei, ihre Rechte auch gerichtlich durchzusetzen.

    • Falls aus Ihrem ersten Auskunftsersuchen deutlich hervorgeht, dass Sie ihre Betroffenenrechte gegenüber der Verantwortlichen Stelle geltend machen und die Antwortfrist verstrichen ist, können Sie sich mit einer Beschwerde an den zuständigen Landesdatenschutzbeauftragten wenden. Andernfalls sollten Sie noch einmal eine Anfrage übermitteln (nutzen Sie am besten eine Vorlage für ein Auskunftsersuchen nach Art. 15 DSGVO, z.B. der Verbraucherzentrale) und die Monatsfrist abwarten. Liegt dann immer noch keine Antwort vor, schildern Sie den Sachverhalt dem Landesdatenschutzbeauftragten.

  11. Ältere Personen können diesen Schriftverkehr oft nicht bewältigen. Wenn ich dies in Vollmacht für jemanden mache ( Auskunftsersuchen/ Löschungsersuchen ) entstehen mir Kosten und Aufwand. kann ich die dem Datenerhebenden unternehmen in Rechnung stellen, wenn sie ohne nachweisbare Einwilligung Daten speichern und verwenden z.B. für Werbung?

    • Soweit die Betroffenenrechte nach Kapitel III der Datenschutz-Grundverordnung in Vollmacht für eine andere betroffene Person geltend gemacht werden, ist es grundsätzlich nicht möglich, die dadurch entstehenden Kosten vom jeweiligen Verantwortlichen ersetzt zu verlangen.

      Entsteht der betroffenen Person gerade durch eine rechtswidrige Datenverarbeitung ein materieller oder immaterieller Schaden, kann sie diesen gemäß Art. 82 DSGVO ersetzt verlangen. Erforderlich ist jedoch, dass der jeweilige Schaden gerade durch die rechtswidrige Datenverarbeitung entstanden sein muss.

      • Danke für die Antwort. Damit sind durch die DSGVO also viele ältere und hilfsbedürftige Menschen schlechter gestellt. Sie können es selber nicht umsetzen und müssen kostenpflichtige Hilfe in Anspruch nehmen, die sie nicht ersetzt bekommen. Dürfte schwer und langwierig sein, nachzuweisen, dass ein Schaden durch die rechtswidrige Datenverarbeitung entstanden ist.

  12. Aus all dem ergibt sich für mich eine neue Frage. Ich bin Callcenteragent und heiße nicht Traudel Schmidt, mein Name ist einzig in Deutschland. Bei jedem Gespräch stelle ich mich mit Klarnamen vor. Das hat zur Folge, dass mein Name sehr wohl und von jedem Gesprächspartner oder abhörenden, einer natürlichen Person zu zu ordnen ist. Das Callcenter ist nun verpflichtet, die Aufzeichnung von Gesprächen heraus zu geben, wenn der Kunde es wünscht. Und was ist mit meinen Rechten? Ich erfahre nämlich nicht, wer meine Gespräche besitzt und wie er damit verfährt. Im Prinzip kommt die Herausgabe der Gespräche in meinem Fall auf das Gleiche heraus, als ob ich dem Kunden gleich erlaube, mit oder ohne Einwilligung, Gespräche auf zu zeichnen. Für mich ist das unter dem Strich kein Unterschied. Uns liegen jetzt die Einwilligungserklärungen vor und ich bin mir gar nicht sicher, was ich da unterschreiben soll, welche Auswirkungen das haben könnte. Im krassesten Fall stelle ich meine Firma von der Schuld frei, wenn ein verärgerter Kunde diese Telefonate auf youtube oder in einem öffentlichen Forum postet. Dass er das nicht darf, hindert nicht, dass es solche Fälle geben wird. Das ist wohl jedem klar. Und doch, auch wenn ich keinen Fehler gemacht habe, ist es trotzdem nicht ungefährlich, wenn Gespräche von mir durch die Gegend geistern. Es geht nicht um das Verheimlichen von Absprachen.

    • Der datenschutzrechtliche Auskunftsanspruch bezieht sich allein auf die personenbezogenen Daten der betroffenen Person selbst (derjenigen Person, die den Anspruch geltend macht). Der Auskunftsanspruch erfasst keine personenbezogenen Daten Dritter. Art. 15 Abs. 4 DSGVO sieht zudem vor, dass die Rechte von anderen Personen bei der Beantwortung von Auskunftsersuchen nicht beeinträchtigt werden dürfen. Wenn im Rahmen der Beantwortung eines Auskunftsersuchens nach Art. 15 DSGVO beispielsweise Gesprächsinhalte an die Betroffenen herausgegeben werden sollen, können die Informationen über Dritte grundsätzlich herausgeschnitten werden.

      • Zunächst einmal Danke für die Auskunft, das hilft mir bereits weiter. Die Einwilligungserklärung liegt uns nun vor und ich muss mir selbst im Einzelnen noch klar darüber werden, was das alles beinhaltet. Im Zweifelsfall ist es ja doch wieder so, dass bei Missbrauch durch Dritte, an die weitergegeben wurde, der Arbeitgeber mit diesem Zettel winkt und sagt“ ICH kann nix dafür. DU hast es mir erlaubt …“

  13. Ich möchte in Erfahrung bringen wer alles Daten über mich gespeichert hat. Bei einer Auskunft wurden mir nur einerseits direkte Empfänger meiner Daten aber auch nur Kategorien von Empfängern übermittelt. Kann ich einer weiteren Anfrage verlangt werden das alle Empfänger ausgeführt werden? (Ohne die genaue Angabe von Empfängern ist so eine Anfrage doch fast sinnlos, da die Personen gar nicht erfahren wohin Daten weitergegeben wurden)

    • Gemäß dem Auskunftsrecht nach Art. 15 der Datenschutz-Grundverordnung ist u.a. über die Empfänger oder Kategorien von Empfängern zu informieren. In welchem Fall über die konkreten Empfänger zu informieren ist und in welchen Fällen eine Information über die Kategorien von Empfängern ausreichend ist, ergibt sich nicht aus dem Gesetz. In der Kommentarliteratur zur DSGVO wird vertreten, dass die konkreten Empfänger zu benennen sind, soweit sie auch bekannt sind. Die Datenschutzkonferenz (Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden – DSK) hat sich zu dieser Frage in ihrem Kurzpapier zum Auskunftsrecht der Betroffenen nach Art. 15 DSGVO nicht geäußert.

      • Die anwaltliche Verschwiegenheit ist ja nicht gerade explizit dort genannt (anders beispielsweise in der UK). Wie würden Sie denn die Chancen sehen, dass dies als Argument durchgehen würde? Vielen Dank

        • Wir können natürlich keine Garantien oder Rechtsberatung für den Einzelfall geben, aber es hat sich z.B. der Landesbeauftragte für Datenschutz Baden-Württemberg in seinem Tätigkeitsbericht für 2018 diesbezüglich sehr explizit geäußert. Beschwerden von Verfahrens- oder Prozessgegnern über verweigerte Auskunftsrechte habe die Behörde wegen § 29 BDSG regelmäßig enttäuschen müssen. Dies entspreche i.ü. der alten Rechtslage, bei der gerichtlich bestätigt worden sei, dass Rechtsanwälte über alles, was sie im Zusammenhang mit der Wahrnehmung eines Mandats erfahren hatten, gegenüber Dritten schweigen durften und schweigen mussten.
          Eine ganz andere Frage ist die, so der baden-württembergische Landesbeauftragte wohl zurecht, ob der Mandant selbst berechtigt ist, von seinem Anwalt zu erfahren, welche Daten er über ihn speichert. Eine Berufung auf das Mandatsgeheimnis und damit auf § 29 BDSG geht hier fehl.

  14. Auskunftsanfrage eines Mitarbeiters mit Wunsch der Kopie der pbD in einem maschinenlesbaren Format:
    >> Wie umfassend muss diese Datenkopie erfolgen? §34 Abs. 1 Nr. 2a BDSG neu schränkt diese ein. Was genau fällt unter gesetzl. Aufbewahrungsvorschriften (z.B. Fibu, Lohnbuchhaltung?…), Was genau fällt unter satzungsmäßige Aufbewahrungsvorschriften bei einem Wirtschaftsunternehmen? Worunter fallen z.B. Daten der Telefonanlage oder bei Hotlinebetreuung die kontaktspezifisch aufgenommenen Telefonatsdetails, die an Auftraggeber gehen? Es wäre ja unverhältnismäßiger Aufwand wirklich ALLES zur Verfügung zu stellen.

    • Der Auskunftsanspruch aus Art. 15 DSGVO bezieht sich grundsätzlich auf alle personenbezogenen Daten des Anspruchstellers, die von der verantwortlichen Stelle verarbeitet werden. Einschränkungen finden sich in Art. 15 Abs. 4 DSGVO (wenn Rechte Freiheiten anderer Personen beeinträchtigt werden) oder in § 34 BDSG. Unter die gesetzlichen Aufbewahrungspflichten fallen all solche Aufbewahrungspflichten, die aufgrund einer gesetzlichen Vorschrift angeordnet werden. Entsprechende aufbewahrungspflichten finden sich z.B. in der Abgabenordnung (AO) oder im Handelsgesetzbuch (HGB). Satzungsmäßige Aufbewahrungsvorschriften sind z.B. gemeindliche Vorschriften oder Vereinssatzungen. Welche Aufbewahrungspflichten bei Daten der Telefonanlage oder bei Hotlinebetreuung bestehen, hängt vom jeweiligen Einzelfall ab. Inwieweit ein unverhältnismäßiger Aufwand im Sinne von § 34 Abs. 1 Nr. 2 Hs. 2 BDSG vorliegt, ist stets im Rahmen einer Interessenabwägung im Einzelfall zu ermitteln. Zu beachten ist, dass die Anforderungen aus § 34 Abs. 1 Nr. 1 oder Nr. 2 und die Anforderungen aus § 34 Abs. 1 Nr. 2 Hs. 2 BDSG kumulativ vorliegen müssen.

  15. Ich habe bei einem Telekommunikationskonzern eine Anfrage nach DSGVO gestellt, selbiger schickte mir einen Brief per Post zu mit einem 82 Zeichen langen Link der mit Hand einzugeben war und einem Passwort. Die Seite selbst benutzte ein ungültiges (laut Firefoxbrowser) Zertifikat sodas ich erst eine Ausnahme zulassen musste. Zu meiner Überraschung waren auf der Seite aber nicht meine angeforderten Daten zugänglich sondern nur die Anforderung, eine SMS fähige Telefonnummer einzugeben über die mir erneut eine TAN zugeschickt werden soll. Zusätzlich soll ich noch eine E-Mail Adresse eingeben über die mir dann meine Daten wohl zugeschickt werden sollen.

    Meine Fragen -> Ist es zulässig das der Zugang, aus meiner Sicht, so erschwert wird? (82 Zeichen Link, Ausnahme im Browser einrichten) Ich habe kein SMS fähiges Gerät, eine andere Möglichkeit gibt es aber nicht Zugang zu erlangen. Geht das alles so?

    • Wir dürfen keine Rechtsberatung vornehmen, aber nach Art. 12 Abs. 1 DSGVO hat der Verantwortliche die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln. Leicht zugängliche Form setzt voraus, dass der Betroffene mit den Ihm zur Verfügung stehenden Mitteln die Information erreichen kann. So kann bspw. in einem Brief per Link auf eine Webseite verwiesen werden, wenn der Betroffene Zugang zum Internet hat. Allerdings sollte die verwendet URL z.B. nicht unverhältnismäßig lang sein. Inwieweit darüber hinaus weitere Zugangsbarrieren erfolgen dürfen, erscheint unter dem Kriterium „leicht zugängliche Form“ fragwürdig.

  16. ein Anwalt hat über ein Amtsgericht meine Daten erhalten, es ging um die Umwandlung einer Firma, an der ich mal minimale Anteile erworben habe. Dieser Anwalt schreibt regelmäßig und versucht mich irgendwie auf seine Seite zu ziehen. Jetzt habe ich Auskunftsersuchen und Löschen meiner Daten verlangt. Ich habe mit dem Herren nichts zu tun. Dieser will das ich meinen Antrag zurückziehe, da sonst erhebliche Kosten auf mich zukommen. Wie gesagt habe ich mit dem Herren nichts zu tun und will nicht mehr Kontaktiert werden. Recht auf Vergessenwerden. Was soll das mit der Kostendrohung

    • Hallo Chrissie, ja genau, dieses Problem, so wie Du es schilderst, habe ich auch und ich würde mich ebenfalls über Antworten freuen. Der Anwalt droht mit Kosten, die gemäß § 15 Abs. 3 S. 2 DSGVO anfallen und will, dass ich meinen schriftlichen Widerspruch nach Art. 21 DSGVO als gegenstandlos erklären soll !

      • ich habe heute eine Mail verfasst, sachlich nach Paragraphen darauf hingewiesen das die Erst-Auskunft kostenlos zu sein hat. Und das eine Verzögerung und Nichtbeachtung des Rechtes ein Bußgeld nach sich zieht und ich mich ggf. an den Landesbeauftragten wenden werden.
        Darf ich fragen: die Firma fängt mit P an?

    • Die Beantwortung spezieller Einzelfragen geht über die Funktion eines Blogs hinaus. Davon abgesehen ist zu berücksichtigen, dass die datenschutzrechtlichen Rechte und Pflichten aus der Datenschutz-Grundverordnung und den ergänzenden Normen in der Regel nicht bedingungslos gelten. Das Recht auf bzw. die Verpflichtung zur Löschung personenbezogener Daten besteht beispielsweise nicht, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind, da eine effektive Rechtsverfolgung bzw. –verteidigung andernfalls unmöglich wäre. Aus den gleichen Gründen ist eine Verarbeitung personenbezogener Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen grundsätzlich zulässig. Im Vorliegenden Fall müssten daher zunächst alle Umstände des Einzelfalls betrachtet werden, bevor eine Aussage zur Rechtmäßigkeit oder Rechtswidrigkeit der Datenverarbeitung getroffen werden könnte.

      Die Aussage das erhebliche Kosten drohen, falls der Antrag auf Auskunft nicht zurückgezogen wird, erschließt sich uns nicht. Es klingt aber ähnlich, wie der Sachverhalt in diesem Fall.

    • Grundsätzlich ist nicht erforderlich, dass die Beantwortung eines Auskunftsersuchens unterzeichnet wird. Art. 15 DSGVO bzw. Art. 12 DSGVO enthält keine zwingende Formvorschrift für die Beantwortung von Auskunftsersuchen. Nach Art. 12 Abs. 1 DSGVO kann die Beantwortung schriftlich oder in anderer Form erfolgen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.