Update zur Verwendbarkeit von Office 365 an Schulen
Wir berichteten kürzlich über die Datenschutzproblematik von Microsoft Office 365. Nun […]
Foren, Social-Media-Plattformen, Online-Shops, Bonusprogramme, Banken, Versicherungen oder der Lieblingfanclub – Man verliert schnell den Überblick darüber, wo man sich überall registriert hat. Oft fällt es einem nur zufällig wieder ein, weil man irgendwo Werbung des Unternehmens sieht, eine alte Passwortdatei von sich findet oder mal wieder einen unerwünschten Newsletter erhält. Nicht erst seit der Datenschutzgrundverordnung (DSGVO) hat jeder das Recht, zu erfahren, wer welche Daten von ihm gespeichert hat. Doch wie beantragt man das und welche Infos muss das Unternehmen rausrücken?
Jede Person hat einen Anspruch darauf zu wissen, wer welche Daten wann über sie gespeichert hat. Diese Person wird in der DSGVO der Betroffene genannt, der Speichernde ist der Verantwortliche. Dieser ist dazu verpflichtet, ein Verzeichnis zu erstellen, in dem die gespeicherten Daten erfasst sind. Wenn der Betroffene eine Anfrage an den Verantwortlichen schickt, kriegt er aber oftmals nur manuell erstellte und lückenhafte Auskünfte, da die Unternehmen selbst oft nicht wissen, wo sie welche Informationen über Kunden gespeichert haben.
Dabei ist das Auskunftsrecht nicht erst mit der DSGVO entstanden. Im § 34 des Bundesdatenschutzgesetzes (BDSG) war schon vorher eindeutig und recht ausführlich geregelt, wer welche Auskünfte wann und worüber erteilen muss. Im Vergleich zum neuen Art. 15 der DSGVO lassen sich viele Parallelen feststellen. Bis auf die Fristen und Bußgeldhöhen sind sich das BDSG und die DSGVO sogar sehr, sehr ähnlich!
Festzuhalten ist, dass der Verantwortliche Auskunft über alle personenbezogenen Daten, die über den Betroffenen gespeichert wurden, zu erteilen hat.
Nun stellt sich die Frage, wie weit das Recht auf eine Auskunft geht. Dürfen Betroffene zum Beispiel eine Kopie des Originaldokuments vom Verantwortlichen verlangen?
In Art. 15 Abs.3 DSGVO steht:
„Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.“
Der EuGH entschied dazu, dass der Betroffene keinen Anspruch auf eine originalgetreue Kopie der Daten aus dem System habe, sondern nur auf eine verständliche und vollständige Übersicht der gespeicherten Daten (Urt. v. 17.07.14 – C-141/12 u. C-372-12). Dies habe zudem ohne unzumutbare Verzögerungen oder Kosten zu erfolgen. Auch habe das Unternehmen Auskunft darüber zu erteilen, woher es die Daten hat. Durch diese Vorgaben soll es jedem möglich gemacht werden, zu überprüfen, ob die Daten richtig sind, der Richtlinie gemäß verarbeitet wurden und ob daraus folgend weitere, der Person zustehende, Rechte geltend gemacht werden sollen. Diese Überlegungen wurden durch Art. 12 in die DSGVO übernommen. Der Betroffene kann gemäß Art. 16 DSGVO die Berichtigung und gemäß Art. 17 DSGVO die Löschung seiner Daten verlangen.
Ein solches Recht steht auch Arbeitnehmern gegenüber dem Arbeitgeber zu. Durch Art. 15 Abs. 1 DSGVO sind Kopien der Personalakte, welche Arbeitnehmer während der Einsichtnahme der Akte anfertigen dürfen, nun unentgeltlich zur Verfügung zu stellen. Dies gilt aber nur für die erste Kopie, für alle weiteren darf gemäß Satz 2 ein Entgelt verlangt werden.
Wer wissen möchte, welche Daten von ihm gespeichert wurden, kann einen Antrag auf Auskunft stellen. Dies ist in Art. 15 DSGVO geregelt und zweistufig gestaltet. Der Auskunftssuchende muss deutlich machen, ob er nur wissen möchte, ob personenbezogene Daten von ihm gespeichert wurden oder auch, um welche Informationen es sich konkret handelt.
Art. 12 DSGVO schreibt zudem vor, dass solche Anträge nur in angemessenen Abständen gestellt werden würden. Wie oft „angemessen“ ist, steht dort allerdings nicht. Dies kann auch gar nicht pauschal festgelegt werden, sondern liegt zwischen dem Punkt Transparenz der Datenspeicherung und einer reinen Schikane. Die Beantwortung dieser Frage wird wohl durch ein Gericht geklärt werden müssen. Betroffene dürfen also nicht erwarten, dass täglich gestellte Anträge beantwortet werden. Beachtet werden müssen bei der Frage die konkreten Umstände, wie zum Beispiel der bürokratische Aufwand der Auskunft und die Größe des Unternehmens. Dies bedeutet aber auch, dass eine zweite Auskunft, die in angemessenem Abstand gestellt wurde, nicht durch den Verantwortlichen grundsätzlich abgelehnt werden kann.
Anträge müssen gemäß Art. 12 DSGVO innerhalb von einem Monat beantwortet werden, es sei denn, das Ersuchen ist besonders komplex oder es liegen zu dem Zeitpunkt sehr viele Anträge vor. Dann darf die Monatsfrist um zwei Monate verlängert werden.
WK LEGAL stellt auf Anfrage kostenlos ein Musterschreiben zur Verfügung, mit welchem Sie Auskunft über Ihre personenbezogene Daten gegenüber einem Unternehmen verlangen können. Das kostenlose Musterschreiben können Sie per E-Mail an info@wklegal.deanfordern.
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORWir berichteten kürzlich über die Datenschutzproblematik von Microsoft Office 365. Nun […]
In vielen Bereichen besteht zurzeit rechtliche Unsicherheit im Hinblick auf den […]
Minderjährig und doch ein eigenes Unternehmen haben wollen? Das ist möglich […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Schützen Sie Ihren guten Namen und Ihre Online-Reputation und lassen Sie negative Einträge bei Google + Co. löschen.
Überlassen Sie Ihre Behandlung im Ernstfall nicht dem Zufall. Bestimmen Sie mit einer Patientenverfügung selbst, welche Behandlung Sie wünschen und welche nicht.
Das Update für Ihre Website nach den Anforderungen der DSGVO und haben Sie keine Angst vor Abmahnungen oder Bußgeldern.
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.