Sicherheit

Auskunftsanspruch ist herausfordernd, aber beherrschbar

Die Stärkung des Datenschutzes sollte mit der DSGVO erreicht werden. Tatsächlich ist das Thema in weiten Teilen der Gesellschaft angekommen und das Bewusstsein hat zugenommen. Ein Grund dafür ist ganz sicher, dass die Betroffenenrechte gestärkt wurden. Gerade der Auskunftsanspruch von Betroffenen, der in Artikel 15 DSGVO verankert ist, bildet einen wichtigen Baustein. Inzwischen läuft eine intensive Debatte um die Auslegung sowie die Grenzen des Auskunftsanspruchs. „Viele Unternehmen verbinden eine hohe Unsicherheit mit dem Auskunftsanspruch von Betroffenen“, berichtet Dr. Jörn Voßbein aus zahlreichen Meetings und gibt sich optimistisch: „Der Artikel 15 ist kein Hexenwerk, aber er erfordert fachliche Expertise.“ Es stellen sich viele Fragen. Die weite Auslegung sowie die aktuellen Empfehlungen von europäischer Ebene gilt es zu betrachten.

„Der Blick ins Gesetz erleichtert die Rechtsfindung“ ist ein geläufiger Satz unter Juristen. Seine Anwendung nutzt auch beim Artikel 15 DSGVO. Demnach können betroffene Person von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, welche Daten dort über sie gespeichert sind bzw. verarbeitet werden. Ein zweifelsohne bedeutsames Betroffenenrecht in der DSGVO.

Trifft nun im Unternehmen X eine Auskunftsanfrage ein, so ist eine klare Schrittfolge bestehend aus Bestätigung der Anfrage, Einhaltung einer Monatsfrist, Klärung der Identität des Anfragenden, sowie Ermittlung der verarbeiteten Daten einzuhalten. Welche Informationen müssen nun von Unternehmen X beauskunftet werden?

Hieran schließt sich eine Kernfragen zum Umfang des Auskunftsrechts an. Der Europäische Datenschutzausschuss (EDSA) hat am 28. Januar 2022 Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO veröffentlicht. Ziel: Eine Vereinheitlichung der Rechtsauslegung in der EU. Klare EDSA-Position: Der Antrag auf Auskunft bezieht sich auf alle personenbezogenen Daten der betroffenen Person. Darunter fällt auch sämtliche E-Mail-Kommunikation. Dies gelte sogar dann, wenn die E-Mails bereits gelöscht wurden, der Server-Provider aber noch Zugriff auf diese hat. Unternehmen X müsste also sämtliche Kommunikation herausgeben. Eine Milderung gibt es dann aber doch: Wenn die Menge der Daten zu umfangreich ist, darf der Verantwortliche verlangen, dass der Betroffene seinen Antrag konkreter fasst. Klare Ansage der EDSA: Es kommt nicht auf die Qualität der Daten (Aussagegehalt, Zeitpunkt oder besonderer Zweck) an. Entscheidend ist, dass sich eine Information auf eine natürliche Person bezieht.

Hilfreich bei der Umsetzung der Auskünfte ist ein gut gepflegtes Verzeichnis von Verarbeitungstätigkeiten (oftmals kurz „Verfahrensverzeichnis“). Hierin kann man erkennen, wo welche Daten zu welchen Zwecken wie lange zu einer betroffenen Person gespeichert sind bzw. verarbeitet werden. Dies Umsetzung des Auskunftsrechts muss schließlich zeitnah geschehen (in der Regel binnen einem Monat, maximal binnen drei Monaten, was nur auf dem ersten Blick eine lange Frist ist).

„Für den Unternehmensalltag lassen sich daraus drei Maßnahmen gewinnen:

  1. Das Auskunftsmanagement muss professionelle Standards erfüllen,
  2. die Datenarchivierung muss rechtssicher, zentral und umfassend erfolgen und
  3. die Belegschaft sollte bei dem wichtigen Thema Auskunftsanspruch von Betroffenen durch regelmäßige Fortbildungen über aktuelles Wissen und entsprechende Instrumente verfügen“,

skizziert UIMC-Geschäftsführer Dr. Jörn Voßbein einen Drei-Punkte-Plan zum innerbetrieblichen Umgang mit der Herausforderung Auskunftsanspruch gemäß Artikel 15 DSGVO.   

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel