Immer auf dem Laufenden bleibenJede betroffene Person hat ein Recht auf Auskunft und darf erfahren, ob ein Verantwortlicher seine/ihre personenbezogenen Daten verarbeitet. Wenn ja, besteht das Recht auf weitere Auskünfte zu diesen Daten und Details der Verarbeitung. Der Gesetzgeber hat in Art. 15 DS-GVO aufgelistet, welche Informationen der betroffenen Person mitzuteilen sind. Wir haben diese Vorgaben in der untenstehenden Tabelle erläutert.
Weitere Informationen, wie Betroffenenrechte wahrgenommen werden können, haben wir in diesem Beitrag zusammengefasst.
Auf den Webseite der Verbraucherzentrale NRW e. V. gibt es eine interaktive Mustervorlage für die Erstellung einer Auskunftsanfrage. Betroffene können diese nutzen um eigene Anfragen zu erstellen. Unternehmen können diese verwenden, um die eigenen Auskunftsprozesse einmal mit diesen Vorlagen zu testen.
| Vorgaben des Art. 15 DS-GVO | Erläuterungen |
|---|---|
| (1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: | Das bedeutet praktisch, dass jede Person bei Verantwortlichen (Unternehmen, Behörden und Einrichtungen) anfragen darf, ob dort Daten zur eigenen Person verarbeitet werden. Es ist nicht erforderlich, dass die betroffene Person mit dem Verantwortlichen in irgendeiner bestimmten Beziehung stehen muss. Vor allem ist es nicht erforderlich, dass eine Vertragsbeziehung bestehen muss. Soweit keine Daten der Person verarbeitet werden, muss der Verantwortliche die Anfrage mit dieser Information beantworten. Werden Daten dieser Person verarbeitet, so kann die Person in Ihrem Antrag (üblicherweise im gleichen Antrag) die folgenden Informationen abfragen. |
| a) die Verarbeitungszwecke; | Wozu – also zu welchem Zweck – werden die Daten beim Verantwortlichen verarbeitet. Beispiele: Zur Erfüllung eines Vertrags mit dem Betroffenen, zu Werbezwecken oder zur Erfüllung bestimmter gesetzlicher Pflichten. |
| b) die Kategorien personenbezogener Daten, die verarbeitet werden; | Welche personenbezogenen Daten werden verarbeitet? Hier muss der Verantwortliche nur Kategorien nennen, also beispielsweise “Name” und “private Kontaktdaten”. Aber nicht notwendigerweise “Vorname”, oder “Straße, PLZ, Ort”. Und an dieser Stelle auch nicht die konkreten Daten, wie “Heinz Müller”, “0451-3050000” oder “” (Eine Kopie der Daten gibt es weiter unten) |
| c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; | Wer außer dem Verantwortlichen selbst hat noch Zugriff auf die Daten oder wird diesen Zugriff noch erhalten? Der Gesetzgeber spricht hier von Angaben der “Empfänger” oder “Kategorien von Empfängern”. Verantwortliche sehen darin gerne eine Wahlmöglichkeit. Es ist umstritten, ob der Gesetzgeber hier tatsächlich dem Verantwortlichen eine Wahl lassen wollte. Es sei Verantwortlichen aber angeraten, spätestens auf konkrete Nachfrage die Empfänger im Einzelnen anzugeben. Haben Empfänger Ihren Sitz außerhalb der europäischen Union (EU) oder dem europäischen Wirtschaftsraum (EWR), so ist auch darüber zu informieren. |
| d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; | Soweit das praktisch möglich ist, soll der Verantwortliche konkrete Angaben zur Dauer der Verarbeitung machen – beispielsweise “bis zum 31.12.2023”. Häufig ist eine so konkrete Angaben aber gar nicht möglich. Ist beispielsweise der Zweck der Verarbeitung die Erfüllung eines Vertrages mit der betroffenen Person und ist dieser Vertrag unbefristet und derzeit ungekündigt, dann gibt es natürlich noch kein absehbares End-Datum. Der Verantwortliche kann dann nur angeben “bis zum Ende der Vertragslaufzeit” (=Kriterium für die Dauer). |
| e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; | Der Verantwortliche hat über bestimmte Rechte zu informieren, die die betroffene Person nutzen kann. Manche Verantwortliche listen in einem Antwortschreiben, eng an den gesetzlichen Vorgaben entlang, diese Rechte nur auf. Andere geben konkrete Hinweise und Anleitung, wie diese Rechte wahrgenommen werden müssen. |
| f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; | siehe e) |
| g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; | In vielen Fällen erhält der Verantwortliche die Daten der betroffenen Person von dieser direkt, beispielsweise beim Einkauf in einem Onlineshop. In einigen Fällen werden aber auch Daten von Dritten eingeholt. Hierzu gehören Bonitätsauskünfte von Auskunfteien oder Steuerdaten von Beschäftigten, die vom Bundeszentralamt für Steuern abgefragt werden. |
| h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. | Haben Sie schon einmal online einen Kredit beantragt und sofort nach dem Klick auf “Absenden” eine Ablehnung erhalten? An dieser Stelle hat kein Mensch über diesen Antrag entscheiden, sondern ein Computer anhand festgelegter Regeln. Das ist eine automatisierte Entscheidungsfindung, über die Betroffene im Rahmen einer Auskunftsanfrage zu informieren sind. Das scheint in der Praxis allerdings nicht für die konkreten Entscheidungsgründe im Einzelfall zu gelten. Hier wird häufig eine allgemeine Beschreibung der Arbeitsweise und Aufzählung von Kriterien zur Verfügung gestellt. Was dabei ausreichend im Sinn dieser gesetzlichen Vorgaben ist, kann leider nur im Einzelfall geklärt werden. Immer wieder werden Daten von betroffenen Personen gesammelt, ausgewertet und mit weiteren Daten angereichert. Daraus entsteht ein Profil, welches zum Beispiel Auskunft über das Kaufverhalten oder die Kreditwürdigkeit geben soll. Verantwortliche müssen auch hierzu informieren. |
| (2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden. | Andere Länder, andere … Gesetze. In Ländern außerhalb der EU bzw. des EWR sind personenbezogene Daten möglicherweise nicht so gut geschützt. Verantwortliche müssen daher darüber informieren, wenn die Daten die EU verlassen haben. Dazu muss auch angegeben werden, wie der Verantwortliche dort den Schutz der Daten sicherstellt (“Garantien”) |
| (3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt. | Am Ende wollen Betroffene häufig wissen, welche Daten genau vom Verantwortlichen verarbeitet werden. Der Gesetzgeber sieht daher die Möglichkeit vor, eine Kopie der Daten anzufordern. Wie umfangreich dieser Auskunftsanspruch sein muss und welche Kopien erforderlich sind, wird derzeit vor diversen Gerichten verhandelt. Stand 02/2022 kann man sagen, dass ein Auskunftsanspruch weitreichend sein kann, wenn dieser … … nicht missbräuchlich … nicht exzessiv … und konkret formuliert ist. |
| (4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. | Das Recht auf Erhalt einer Kopie der Daten erfordert nicht unbedingt eine Kopie von Dokumenten. Aber gerade wenn es sich um Dokument handelt, dann besteht das Risiko, dass diese auch Daten von anderen Personen enthalten. Solche Daten dürfen nicht zur Verfügung gestellt werden – bei Dokumenten heißt die Lösung meist “schwärzen“. |
