Auskunftsanspruch ist herausfordernd, aber beherrschbar
„Der Blick ins Gesetz erleichtert die Rechtsfindung“ ist ein geläufiger Satz unter Juristen. Seine Anwendung nutzt auch beim Artikel 15 DSGVO. Demnach können betroffene Person von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, welche Daten dort über sie gespeichert sind bzw. verarbeitet werden. Ein zweifelsohne bedeutsames Betroffenenrecht in der DSGVO.
Trifft nun im Unternehmen X eine Auskunftsanfrage ein, so ist eine klare Schrittfolge bestehend aus Bestätigung der Anfrage, Einhaltung einer Monatsfrist, Klärung der Identität des Anfragenden, sowie Ermittlung der verarbeiteten Daten einzuhalten. Welche Informationen müssen nun von Unternehmen X beauskunftet werden?
Hieran schließt sich eine Kernfragen zum Umfang des Auskunftsrechts an. Der Europäische Datenschutzausschuss (EDSA) hat am 28. Januar 2022 Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO veröffentlicht. Ziel: Eine Vereinheitlichung der Rechtsauslegung in der EU. Klare EDSA-Position: Der Antrag auf Auskunft bezieht sich auf alle personenbezogenen Daten der betroffenen Person. Darunter fällt auch sämtliche E-Mail-Kommunikation. Dies gelte sogar dann, wenn die E-Mails bereits gelöscht wurden, der Server-Provider aber noch Zugriff auf diese hat. Unternehmen X müsste also sämtliche Kommunikation herausgeben. Eine Milderung gibt es dann aber doch: Wenn die Menge der Daten zu umfangreich ist, darf der Verantwortliche verlangen, dass der Betroffene seinen Antrag konkreter fasst. Klare Ansage der EDSA: Es kommt nicht auf die Qualität der Daten (Aussagegehalt, Zeitpunkt oder besonderer Zweck) an. Entscheidend ist, dass sich eine Information auf eine natürliche Person bezieht.
Hilfreich bei der Umsetzung der Auskünfte ist ein gut gepflegtes Verzeichnis von Verarbeitungstätigkeiten (oftmals kurz „Verfahrensverzeichnis“). Hierin kann man erkennen, wo welche Daten zu welchen Zwecken wie lange zu einer betroffenen Person gespeichert sind bzw. verarbeitet werden. Dies Umsetzung des Auskunftsrechts muss schließlich zeitnah geschehen (in der Regel binnen einem Monat, maximal binnen drei Monaten, was nur auf dem ersten Blick eine lange Frist ist).
„Für den Unternehmensalltag lassen sich daraus drei Maßnahmen gewinnen:
- Das Auskunftsmanagement muss professionelle Standards erfüllen,
- die Datenarchivierung muss rechtssicher, zentral und umfassend erfolgen und
- die Belegschaft sollte bei dem wichtigen Thema Auskunftsanspruch von Betroffenen durch regelmäßige Fortbildungen über aktuelles Wissen und entsprechende Instrumente verfügen“,
skizziert UIMC-Geschäftsführer Dr. Jörn Voßbein einen Drei-Punkte-Plan zum innerbetrieblichen Umgang mit der Herausforderung Auskunftsanspruch gemäß Artikel 15 DSGVO.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de