Durch die neue Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 europaweit anwendbares Recht wird, ergeben sich viele Änderungen für Unternehmen. Auch beim Thema „Auskunftsrechte“ hat sich für Kunden, Online-Nutzer und Patienten einiges getan. TÜV SÜD weist darauf hin, dass für diese nun ein erweitertes Auskunftsrecht für ihre Daten gilt, das heißt, Firmen müssen über alle gespeicherten personenbezogenen Daten Auskünfte erteilen. Wenn gewünscht, sind Unternehmen sogar verpflichtet, Daten ganz zu löschen.
Das Auskunftsrecht untergliedert sich in zwei Stufen. Zunächst können betroffene Personen Informationen darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Wenn dies der Fall ist, besteht grundsätzlich ein Recht auf Auskunft über diese Daten. Betroffene können dann beispielsweise Informationen über den Zweck der Verarbeitung oder die bisherigen und geplanten Empfänger dieser Daten erfragen. Firmen müssen außerdem mitteilen, wie lange sie die personenbezogenen Daten speichern werden und welche Kriterien zur Festlegung dieser Zeitspanne geführt haben. Auch die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, kann erfragt werden.
Hinzu kommt, dass Betroffene die Berichtigung oder Löschung ihrer Daten verlangen dürfen. Auch können sie verfügen, dass diese Daten nur eingeschränkt verarbeitet werden dürfen. Über dieses Widerspruchsrecht sowie ihr Beschwerderecht bei einer Aufsichtsbehörde müssen Betroffene ebenfalls informiert werden. Artikel 15 DSGVO erweitert somit die bisher bekannten Regelungen des § 34 BDSG bei den Auskunftsrechten.
Nach Artikel 15 Absatz 3 DSGVO muss der Verantwortliche der betroffenen Person auch eine Kopie derjenigen personenbezogenen Daten zur Verfügung stellen, die Gegenstand der Verarbeitung sind. Für diese erste Kopie dürfen dem Kunden keine Kosten entstehen. Falls der Antrag elektronisch gestellt wird, sind die notwendigen Informationen in einem gängigen elektronischen Format zu übermitteln.
Durch das erweiterte Beschwerderecht für Betroffene ist damit zu rechnen, dass diese häufiger von ihrem Recht Gebrauch machen und beispielsweise auf Löschung ihrer Daten bestehen. TÜV SÜD weist darauf hin, dass Verantwortliche – sofern noch nicht geschehen – konkrete Datenlöschprozesse implementieren müssen. Zudem sollten Verfahren eingebaut werden, die ein zeitnahes Reagieren auf weitergehende Rechte der Betroffenen möglich machen.
Allerdings gibt es auch Ausnahmen für die Erteilung von Auskünften an Betroffene. Kein Auskunftsrecht besteht, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Beispielsweise müssen Patienten- oder Personalakten in der Regel meist zehn Jahre aufgehoben werden. Unternehmen können außerdem verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung erfolgen muss. Und: Wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand für die Verantwortlichen darstellen würde, besteht kein Anrecht darauf.
Wer gegen die Vorschriften der Auskunftsrechte verstößt, muss mit einem Bußgeld von bis zu 2 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs rechnen – je nachdem, welcher der Beträge höher ist.
Nähere Informationen über die DSGVO gibt es unter:
http://www.tuev-sued.de/uploads/images/1464782776647722731203/whitepaper-neue-eu-dsgvo.pdf
Wer sich für Seminare der TÜV SÜD Akademie zum Thema interessiert wird hier fündig: https://www.tuev-sued.de/akademie-de/seminare-management/datenschutz/1117017