Aktuell in der CR

Das Auskunftsrecht der betroffenen Person in der DSGVO - Eine sorgfältige Aufbereitung für die Praxis im Unternehmen (Kremer, CR 2018, 560)

Auf eine Einordnung des Auskunftsrechts in den Gesamtkontext der Rechte betroffener Personen in der DSGVO (A.) folgt eine Darstellung der einzelnen Elemente des Auskunftsrechts, einschließlich des Rechts auf Bereitstellung einer Kopie der gespeicherten Daten (B.). Sodann werden die Beschränkungen des Auskunftsrechts (C.) sowie das Verfahren zur Geltendmachung und Bearbeitung des Auskunftsrechts (D.) erläutert. Der Beitrag endet mit einem Fazit und der Feststellung, dass das Auskunftsrecht sich auf die gesamten Compliance-Pflichten des Verantwortlichen nach der DSGVO auswirkt.

A. Einordnung

I. Verantwortlicher als einziger Anspruchsschuldner

1. Unterstützungspflicht des Auftragsverarbeiters

2. Anspruchserfüllung bei gemeinsam Verantwortlichen

II. Rechte der betroffenen Person in der DSGVO

1. Gewährleistung der Transparenz der Verarbeitung

2. Gewährleistung der Ordnungsgemäßheit der Verarbeitung

3. Beschränkung möglicher Verarbeitungen

B. Gegenstand des Auskunftsrechts

I. Zweistufigkeit des Auskunftsrechts

II. Zu beauskunftende Angaben

1. Personenbezogene Daten

2. Zwecke der Verarbeitung

3. Datenkategorien

4. Empfänger oder Kategorien von Empfängern

5. Geplante Dauer der Speicherung oder Kriterien für deren Festlegung

6. Bestehen von Rechten der betroffenen Person und Beschwerderecht

7. Bestehen eines Beschwerderechts

8. Automatisierte Entscheidungsfindung einschließlich Profiling

9. Angabe der Garantien bei Übermittlungen in Drittländer

III. Bereitstellung von Kopien personenbezogener Daten

IV. Bereitstellung der Kopie in einem gängigen elektronischen Format

V. Konkretisierung des Auskunftsverlangens

C. Beschränkungen des Auskunftsrechts

I. Ausnahmen wegen Beachtung der Rechte Dritter, Art. 15 Abs. 4 DSGVO

1. Beschränkung des Rechts auf eine Kopie

2. Auswirkungen der Beschränkung

3. Rechte der betroffenen Person bei Beschränkung der Kopie

II. Beschränkungen durch das BDSG

1. Verarbeitung zu Forschungs-, Statistik- oder Wissenschaftszwecken

2. Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken

3. Beschränkung im Fall von Geheimhaltungspflichten

4. Allgemeine Beschränkung des Auskunftsrechts

a) Beschränkung aus überwiegendem öffentlichem Interesse

b) Beschränkung wegen des mit der Auskunftserteilung verbundenen Aufwands

c) Dokumentation und Begründung der Beschränkung

III. Andere Beschränkungen

1. Missbräuchliche Geltendmachung des Auskunftsrechts

2. Nicht auszuräumende Zweifel an der Identität der betroffenen Person

a) Pflicht zur Identitätsprüfung durch den Verantwortlichen

b) Vertretbare Mittel zur Prüfung der Identität

(i) Anfrage per Post

(ii) Online-Anfrage

c) Anforderung von Nachweisen bei begründeten Zweifeln

d) Keine Vorratsverarbeitung identifizierender Daten

D. Verfahren zur Geltendmachung des Auskunftsrechts

I. Form der Erteilung von Auskünften

II. Erleichterte Ausübung

III. Fristen für Auskunftserteilung

1. Unverzügliche Erfüllung längstens in einem Monat

2. Verlängerung der Frist auf bis zu drei Monate

3. Unterrichtung der betroffenen Person

IV. Unentgeltlichkeit und Missbrauchsgebühr

E. Fazit
 

A. Einordnung
Die Rechte der betroffenen Person sind in Kapitel III der DSGVO geregelt. Sie dienen der Gewährleistung des Rechts auf informationelle Selbstbestimmung und der Absicherung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO aus Sicht der betroffenen Personen.

I. Verantwortlicher als einziger Anspruchsschuldner
Die Rechte der betroffenen Person stehen ihr ausschließlich gegenüber dem Verantwortlichen zu. Dieser ist gem. Art. 13 Abs. 2 lit. b, Art. 14 Abs. 2 lit. b DSGVO verpflichtet, die betroffenen Personen über die ihnen zustehende Rechte zu informieren.

1. Unterstützungspflicht des Auftragsverarbeiters
Auftragsverarbeiter i.S.v. Art. 28 DSGVO haben den Verantwortlichen bei der Erfüllung dieser Rechte „nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen“ zu unterstützen. Dies ist im Vertrag zwischen Verantwortlichem und Auftragsverarbeiter gem. Art. 28 Abs. 3 S. 2 lit. e, S. 1 DSGVO ausdrücklich festzulegen. Anders kann die verordnungskonforme Erfüllung der Rechte betroffener Personen durch den Verantwortlichen nicht gewährleistet werden.

2. Anspruchserfüllung bei gemeinsam Verantwortlichen
Bei gemeinsam Verantwortlichen i.S.v. Art. 26 Abs. 1 obliegt diesen gem. Art. 26 Abs. 1 S. 2 DSGVO in einer Vereinbarung festzulegen, wer von ihnen die Rechte betroffener Personen erfüllt. Diese Festlegung ist von den gemeinsam Verantwortlichen den betroffenen Personen gem. Art. 26 Abs. 2 S. 2 zur Verfügung zu stellen, dies ergänzend zu den von Ihnen ohnehin gem. Art. 13, 14 DSGVO zu erfüllenden Informationspflichten. Hiervon unberührt bleibt gem. Art. 26 Abs. 3 DSGVO das Recht der betroffenen Person, sich gleichwohl unmittelbar an jeden der gemeinsam Verantwortlichen zu wenden. Dieser ist dann zur Erfüllung des jeweiligen Anspruchs im Außenverhältnis verpflichtet, kann ggf. aber die Erledigung im Innenverhältnis an den nach den getroffenen Festlegungen zuständigen anderen Verantwortlichen delegieren.

II. Rechte der betroffenen Person in der DSGVO
Die Rechte betroffener Personen lassen sich abhängig von Ihrem Zweck in drei Kategorien einteilen.

1. Gewährleistung der Transparenz der Verarbeitung
Rechte der betroffenen Person, welche die Transparenz der Verarbeitung gewährleisten, sind (i) die Informationspflichten des Verantwortlichen gem. Art. 13, 14 DSGVO, (ii) das in diesem Beitrag im Detail beschriebene Auskunftsrecht der betroffenen Person gem. Art. 15 DSGVO, und die (iii) Mitteilungspflichten des Verantwortlichen gem. Art. 19 DSGVO im Zusammenhang mit ...

 


Verlag Dr. Otto Schmidt vom 19.09.2018 10:19
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite