Die DSGVO definiert in den Artikeln 7 Abs. 3, 15 bis 18, 20, 21 und 77 zahlreiche Rechte für die betroffenen Personen. Einen großen Teil dieser Rechte gab es zumindest in ähnlicher Form bereits unter dem Regime des alten BDSG. Allerdings waren diese weiten Teilen der betroffenen Personen völlig unbekannt. Durch die in der DSGVO geregelten, sehr umfangreichen Informationspflichten haben nun auch die Betroffenenrechte einen deutlich höheren Bekanntheitsgrad erlangt.
So hat sich die Zahl der bei den für die Verarbeitung Verantwortlichen eingehenden Anfragen betroffener Personen seit Mai 2018 vervielfacht. Mit steigender Anzahl von Anfragen steigt allerdings auch die Gefahr, bei der Erfüllung dieser Betroffenenrechte Fehler zu machen.
Die Auskunft nach Art. 15 DSGVO
Wir möchten in diesem Artikel einmal auf das vermutlich am häufigsten geltend gemachte Betroffenenrecht eingehen: Das Recht auf Auskunft, welches in Art. 15 DSGVO geregelt ist. Spricht man mit den Verantwortlichen, merkt man schnell, dass eine gewisse Sensibilität vorhanden ist. Insbesondere ist ein enormer Respekt vor dem in Art. 83 Abs. 5 lit. b DSGVO festgelegten möglichen Bußgeldrahmen von bis zu 20 Millionen Euro (oder 4% des weltweiten Jahresumsatzes, je nachdem, was höher ist) zu spüren. Dieser Bußgeldrahmen bezieht sich übrigens nicht nur auf die Erfüllung der Betroffenenrechte, sondern auch auf die in den Artt. 13 und 14 DSGVO definierten Informationspflichten.
Die Datenkopie kennt nahezu jeder
Den allgemein bekannten Teil des Art. 15 DSGVO möchten wir daher nur aus Gründen der Vollständigkeit erwähnen: Es muss darüber informiert werden, ob überhaupt Daten vorliegen (Art. 15 Abs. 1 DSGVO). Sofern diese Frage mit „Ja“ beantwortet werden kann, muss auch eine Datenkopie geliefert werden (Art. 15 Abs. 3 DSGVO). Auf die Form der Erteilung der Auskunft sind wir in diesem Artikel in Teilen eingegangen.
Bis hierhin nichts Neues und nichts Besonderes. Weniger bekannt ist die Tatsache, dass in diesem Rahmen auch (Art. 15 Abs. 1 lit. a DSGVO) über die Verarbeitungszwecke, über die Empfänger der Daten inkl. Garantien bei Drittstaaten-Übermittlungen (Art. 15 Abs. 1 lit. c DSGVO), sowie über die Speicherdauer der Daten (Art. 15 Abs. 1 lit. d DSGVO) informiert werden muss.
Über Rechte muss auch informiert werden
Nahezu völlig unbekannt scheint jedoch zu sein, dass auch über die Betroffenenrechte (Art. 15 Abs. 1 lit. e und f DSGVO) informiert werden muss. Hier muss über das Bestehen sämtlicher Rechte außer dem Auskunftsrecht selbst sowie der Datenportabilität informiert werden. Darüber hinaus muss gegebenenfalls über das Bestehen einer automatisierten Einzelfallentscheidung inkl. Profiling informiert werden.
Und über die Herkunft auch
Sofern Daten nicht bei der betroffenen Person erhoben wurden, muss darüber hinaus auch über deren Herkunft informiert werden. Diese Anforderung führt dazu, dass gegebenenfalls auf Datenfeld-Ebene die Quelle der Daten zu speichern ist.
Insbesondere die Information über die Betroffenenrechte und die Datenherkunft werden häufig vergessen. Damit besteht für die Verantwortlichen ein Bußgeldrisiko, sofern diese Fehler bei der Auskunft beispielsweise im Rahmen einer Prüfung durch die Aufsicht auffallen.
Ein bisschen wie Artt. 13 und 14 DSGVO
Betrachtet man die Anforderungen an die Auskunft, welche über die Datenkopie hinausgehen, zeigt sich schnell, dass diese Anforderungen denen der Artt. 13 und 14 DSGVO sehr ähnlich sind. Problematisch könnte die Erteilung der Information zur Datenherkunft sein, da diese Daten insbesondere für die Zeit vor Anwendbarkeit der DSGVO häufig nicht nachvollziehbar sind. Zum Zeitpunkt der Erhebung kann zwar üblicherweise die Information nach Art. 14 DSGVO erbracht werden. Da aber die wenigsten Systeme im Zuge der DSGVO-Einführung so erweitert wurden, dass die Datenherkunft dauerhaft mit den Daten gespeichert wird, ist eine spätere Beauskunftung hier häufig nicht mehr möglich.
Diesbezüglich besteht vermutlich hinsichtlich der bei den Verantwortlichen im Einsatz befindlichen Systemen noch ein nicht zu unterschätzender Anpassungsbedarf. Wir empfehlen die Erfüllung der Betroffenenrechte (nicht nur der Auskunft, sondern aller Rechte) zukünftig als Anforderung bereits bei Auswahl von neuen Systemen als K.O. Kriterium zu berücksichtigen.
Benötigen Sie Unterstützung bei der Erfüllung von Betroffenenrechten? Stehen Sie vor der Auswahl neuer Systeme? Sprechen Sie uns an, wir unterstützen auch in Ihren Projekten!