Wie bereits jetzt in § 34 BDSG verankert, bleibt das Auskunftsrecht der betroffenen Person über bei einem Verantwortlichen gespeicherte personenbezogene Daten auch ein zentrales Recht in der DS-GVO. Welche Bedingungen dann aber an Umfang, Form und Fristen geknüpft sind, erklärt das BayLDA wieder ein Mal in einem Whitepaper.
UMFANG DES AUSKUNFTSRECHTS
Die rechtliche Entsprechung des § 34 BDSG findet sich in Art. 15 Abs. 1 DS-GVO. Demnach kann die betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden, und sollte dies der Fall sein, um welche Daten genau es sich dabei handelt.
Darüber hinaus sind vom Verantwortlichen nach Art. 15 Abs. 1 DS-GVO vor allem noch folgende Informationen mitzuteilen:
- über die Verarbeitungszwecke,
- über die Kategorien personenbezogener Daten, die verarbeitet werden (neu!),
- über die gegebenen oder möglichen Datenempfänger bzw. Kategorien von Empfängern,
- soweit möglich über die geplante Speicherdauer (neu!),
- Informationen über die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie über ein Widerspruchsrecht nach Art. 21 DS-GVO (neu!),
- über das Beschwerderecht bei der Aufsichtsbehörde (neu!),
- über die Herkunft der Daten, soweit sie diese nicht von der betroffenen Person selbst erhoben haben,
- soweit zutreffend über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (neu!).
Neu ist auch, dass bei Datenübermittlungen in EU-Drittländer über die insoweit gegebenen Garantien gemäß Art. 46 DS-GVO zu informieren ist.
FORM UND FRIST DER AUSKUNFTSERTEILUNG
Die Auskunftserteilung an die betroffene Person kann nach Art. 12 Abs. 1 Sätze 2 und 3 DSGVO je nach Sachverhalt schriftlich, elektronisch oder mündlich erfolgen. Dabei hat dem Betroffenen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt zu werden. Als datenschutzfreundlichste Möglichkeit wird in Nr. 63 Satz 4 ErwGr. ein Fernzugriff der betroffenen Person auf ihre eigenen Daten genannt.
Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DS-GVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Die Monatsfrist darf nur in begründeten Ausnahmefällen überschritten werden. Wie es im Whitepaper heißt: „Der Verantwortliche muss (vorbereitend) geeignete organisatorische Maßnahmen treffen, damit die betroffene Person eine beantragte Auskunft zeitnah und in verständlicher Form erhalten kann, Art. 12 Abs. 1 Satz 1 und Art. 5 Abs. 2 DS-GVO.“
RECHTSFOLGEN BEI VERSTOSS
Nach Art. 83 Abs. 5 b DS-GVO sind unterlassene oder nicht vollständige Auskunftserteilungen an betroffene Personen mit einer hohen Geldbuße bedroht. Deshalb empfiehlt das BayLDA: „Allein aus diesem Grund ist es ratsam, rechtzeitig im eigenen Interesse organisatorische Vorkehrungen für zügige und korrekte Auskunftserteilungen zu treffen.“