DSGVO: TÜV SÜD weist Unternehmen auf erweitertes Auskunftsrecht hin

Betriebe können zur vollständigen Löschung von Daten verpflichtet sein

[datensicherheit.de, 07.05.2018] Die neue Datenschutzgrundverordnung (DSGVO) wird am 25. Mai 2018 europaweit anwendbares Recht und bringt daher viele Änderungen für Unternehmen. So auch beim Auskunftsrecht für Kunden, Online-Nutzer und Patienten. Der TÜV SÜD weist darauf hin, dass für diese nun ein erweitertes Auskunftsrecht für ihre Daten gilt: Firmen müssen demnach über alle gespeicherten personenbezogenen Daten Auskünfte erteilen. Wenn gewünscht, sind Unternehmen sogar zur vollständigen Löschung von Daten verpflichtet.

Informationen über personenbezogene Daten

Das Auskunftsrecht untergliedert sich laut TÜV SÜD in zwei Stufen. Zunächst könnten betroffene Personen Informationen darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Wenn dies der Fall ist, bestehe grundsätzlich ein Recht auf Auskunft über diese Daten. Betroffene könnten dann beispielsweise Informationen über den Zweck der Verarbeitung oder die bisherigen und geplanten Empfänger dieser Daten erfragen.
Firmen müssten außerdem mitteilen, wie lange sie die personenbezogenen Daten speichern und welche Kriterien zur Festlegung dieser Zeitspanne führen. Auch die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, könne erfragt werden.

Berichtigung oder Löschung ihrer Daten

Hinzu komme, dass Betroffene die Berichtigung oder Löschung ihrer Daten verlangen dürften. Auch könnten sie verfügen, dass diese Daten nur eingeschränkt verarbeitet werden dürfen.
Über dieses Widerspruchsrecht sowie ihr Beschwerderecht bei einer Aufsichtsbehörde müssten Betroffene ebenfalls informiert werden. Artikel 15 DSGVO erweitere somit die bisher bekannten Regelungen des § 34 BDSG bei den Auskunftsrechten.
Nach Artikel 15 Absatz 3 DSGVO müsse der Verantwortliche der betroffenen Person auch eine Kopie derjenigen personenbezogenen Daten zur Verfügung stellen, die Gegenstand der Verarbeitung sind. Für diese erste Kopie dürften dem Kunden keine Kosten entstehen. Falls der Antrag elektronisch gestellt wird, seien die notwendigen Informationen in einem gängigen elektronischen Format zu übermitteln.

Konkrete Datenlöschprozesse implementieren!

Durch das erweiterte Beschwerderecht für Betroffene sei damit zu rechnen, dass diese häufiger von ihrem Recht Gebrauch machten und beispielsweise auf Löschung ihrer Daten bestünden.
Der TÜV SÜD weist darauf hin, dass Verantwortliche – sofern noch nicht geschehen – konkrete Datenlöschprozesse implementieren müssten. Zudem sollten Verfahren eingebaut werden, die ein zeitnahes Reagieren auf weitergehende Rechte der Betroffenen möglich machen.

Ausnahmeregelungen

Allerdings gebe es auch Ausnahmen für die Erteilung von Auskünften an Betroffene. Kein Auskunftsrecht besteht laut TÜV SÜD, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Beispielsweise müssten Patienten- oder Personalakten in der Regel meist zehn Jahre aufgehoben werden.
Unternehmen könnten außerdem verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung erfolgen muss. Und wenn die Auskunftserteilung einen „unverhältnismäßigen Aufwand“ für die Verantwortlichen darstellen würde, bestehe kein Anrecht darauf.

Weitere Informationen zum Thema:

TÜV SÜD Akademie
White Paper: Die neue EU-DatenschutzGrundverordnung / Aus BDSG wird DSGVO

datensicherheit.de, 03.05.2018
WhatsApp-Nutzung durch Unternehmen im DSGVO-Kontext zumeist rechtswidrig

datensicherheit.de,  17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018