search

Wie viel Zeit hat das Unternehmen um auf ein Auskunftsersuchen zu reagieren?

1 Jahrs vor
Kommentare: 0
Ansichten: 123

Laut Artikel 15 der Datenschutzgrundverordnung (DSGVO) steht betroffenen Personen ein Auskunftsanspruch zu. Dabei geht es darum, in Erfahrung zu bringen, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden. Das Unternehmen hat das Auskunftsersuchen unverzüglich, also ohne schuldhaftes Zögern, zu beantworten. Als maximale Wartezeit legt die DSGVO aber einen Monat fest.

Show

In einem Fall aus Berlin ging es um so ein Auskunftsersuchen. Dieses wurde allerdings nicht von der Person selbst, sondern von einem beauftragten Rechtsanwalt gestellt. Der Anwalt fügte an das Auskunftsschreiben eine Kopie der anwaltlichen Vollmacht an. Das reichte dem Unternehmen aber nicht: Es verlangte die Vollmacht im Original. Dem kam der Anwalt auch nach und verklagte das Unternehmen – zu voreilig, urteilte das Gericht (Amtsgericht Berlin-Mitte, Urteil vom  29.07.2019, Aktenzeichen: 7 C 185/18).

Überprüfung der Identität erforderlich

Knackpunkt der Entscheidung war die Frage, wann die maximale Frist von einem Monat zu laufen beginnt: Zwischen der Vorlage der Originalvollmacht und der Erteilung der Auskünfte nach Klageerhebung lagen elf Tage. Das Gericht hat festgestellt, dass der Beklagte damit noch mitten in der Frist war und in der Folge dem Kläger die Kosten des Verfahrens auferlegt. Für den Beginn der Frist ist nämlich der Zeitpunkt entscheidend, an dem alle Informationen vorliegen, die zweifelsfrei die Identität der um Auskunft bittenden Person belegen.

Nach der DSGVO darf ein Unternehmer nämlich nicht einfach auf jedes Auskunftsersuchen reagieren: Bestehen Zweifel an der Identität der betroffenen Person, kann der Unternehmer weitere Informationen anfordern. Nennt die Person beispielsweise nur ihren Namen, kann das Unternehmen Adresse, Geburtstag und/oder Kundennummer abfragen, um die Person zweifelsfrei einordnen zu können.

Wird ein Anwalt mit der Geltendmachung des Auskunftsanspruches beauftragt, muss sich das Unternehmen vergewissern, dass der Anwalt auch wirklich beauftragt wurde. 

Frist lief bei Klageerhebung noch

Unterm Strich bedeutet das, dass die Frist in dem hier zu entscheidenden Fall erst dann zu laufen begann, als der Anwalt die Originalvollmacht vorgelegt hat. Erst dann wusste das Unternehmen zweifelsfrei, dass der Anwalt auch tatsächlich dazu berechtigt ist, die Auskünfte für seinen Mandanten einzuholen. 

Korrekterweise hätte der Anwalt also 30 Tage warten müssen. Hätte das Unternehmen in dieser Zeit keine Auskunft erteilt, hätte er klagen können.

Artikel 15 DSGVO sichert Betroffenen ein weitgehendes Auskunftsrecht zu, was Speicherung, Verarbeitung und Weitergabe ihrer personenbezogenen Daten anbelangt. Regulär hat das angefragte Unternehmen einen Monat Zeit, die entsprechenden Auskünfte zu erteilen. Die meisten Unternehmen sind damit allerdings überfordert, zumindest wenn es darum geht, dem Auskunftsverlangen umfassend und vollständig nachzukommen.

Mit dieser Überforderung gehen Unternehmen unterschiedlich um. Zwei Verhaltensweisen häufen sich. Die eine zielt darauf, das Auskunftsverlangen zu erschweren und die andere nur jene Auskünfte zu geben, die sich ohne großen Aufwand ermitteln lassen.

Identitätsnachweis nicht als Erschwernis für Betroffene missbrauchen

Viele Unternehmen reagieren fast reflexartig auf Auskunftsanfragen nach Artikel 15 DSGVO mit einer Aufforderung zum Identitätsnachweis. Selbst die Wirtschaftskammer Österreich (WKO) empfiehlt ihren Mitgliedern in einer Mustervorlage zur Beantwortung von Auskunftsanfragen in einem ersten Schritt auf einem Identitätsnachweis zu bestehen. Wörtlich heißt es: Sobald der Identitätsnachweise bei uns eingelangt ist, kommen wir ihrem Ersuchen nach.    Dabei gilt dies nach Artikel 12 Abs. 6 DSGVO nur dann, wenn begründete Zweifel an der Identität bestehen. Hier haben viele Unternehmen, zumindest in Österreich, noch nicht realisiert, dass die im ‚alten’ Datenschutzgesetz (DSG2000) vorgesehene Nachweispflicht schon vor einer Prüfung, durch die DSGVO überholt ist.  

Problematisch ist zudem, dass diese Vorlage dem Missverständnis Vorschub leistet, dass die einmonatige Beantwortungsfrist erst mit Vorlage des Identitätsnachweises beginnen würde, nicht bereits mit dem Tag der Anforderung.

So einfach können sich Unternehmen und Organisationen das aber nicht machen.

Identitätsnachweis nur bei begründeten Zweifeln erforderlich

Nach Artikel 12 Abs 6 DSGVO ist ein Identitätsnachweis nur dann erforderlich, sofern begründete Zweifel an der Person bestehen, die die Auskunft verlangt:

Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Beispiel:

Sofern die Person, die Auskunft nach Artikel 15 DSGVO verlangt, beispielsweise Kund*in oder Lieferant*in ist, oder Mitarbeiter*in und Kontaktdaten im System des Unternehmens vorliegen, wie Adresse, E-Mail Adresse etc., dann ist kein zusätzlicher Identitätsnachweis erforderlich, es sei denn, es gibt dennoch begründete Zweifel an der Identität. Für diesen Fall müssten Unternehmen diese Begründung auch mitteilen.

Bei einer telefonischen Anfrage ist das schon etwas schwieriger. Selbst wenn die Nummernkennung (Telefonnummer) mit der im System hinterlegten Nummer übereinstimmt, gibt es zum einen ein hohes Manipulationsrisiko (Telefonnummern sind relativ leicht zu manipulieren) und zum anderen bleibt dennoch ungeklärt, ob die berechtigte Person anruft, oder eine andere Person mit Zugang zum Telefon. Hier könnten zusätzliche Abfragen wie Kundennummer, Mitarbeiter-ID etc. erforderlich sein, um die Anfrage als berechtigt und authentisch zu verifizieren.

Wie kann ein Identitätsnachweis erbracht werden

Zumeist verweisen Unternehmen auf die in ErwG 64 angeführte Prüfpflicht: Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen. Dies bedeutet zunächst:

  •   im Unternehmen oder der Organisation prüfen, ob entsprechende Daten zur Person vorliegen, die ausreichen, um eine Person zu identifizieren. Sofern bei einer Anfrage eine Kundennummer angeführt wird und die Absenderadresse mit den im Unternehmen vorliegenden Kontaktdaten übereinstimmen, kann beispielsweise von einer Übereinstimmung ausgegangen werden.
  •   Liegen keine Daten vor, bzw. gibt es keine Übereinstimmung im System oder bestehen Zweifel, dann wird häufig eine Kopie des Personal- oder Reisepasses verlangt, bzw. anderer amtlicher Ausweispapiere mit Lichtbild, wie beispielsweise eines Führerscheins. Es ist allerdings strittig, ob die Vorlage einer Ausweiskopie ausreicht, insbesondere, wenn es um sensible Daten geht. Sieht man von möglichen Fälschungen ab, kann ein Ausweis auch entwendet oder gefunden worden sein. Es bräuchte, so es einen Verdacht gibt, eine zusätzlichen Verifikation, wie beispielsweise durch ein Video-Identverfahren oder Identitätsnachweis durch eine Handy-Signatur, bzw. Bürgerkarte.
  •   Einen geschützten Zugang zum Kund*innen, Lieferant*innen oder Mitarbeiter*innen Portal zur Verfügung stellen, in welchem die betroffene Person zum einen ihre personenbezogenen Daten, insbesondere Stammdaten etc. selbst einsehen kann und zum anderen dort auch weitergehende Anfragen im Sinne des Artikel 15 stellen kann.

Sichere Zustellung der Auskünfte an berechtigte Person

  •   Bei der Zustellung der Unterlagen, jedenfalls dann, wenn diese sensible Daten beinhalten, wäre darauf zu achten, dass diese eingeschrieben und nur „eigenhändig” oder mit Übernahmeschein entgegengenommen werden können, bzw. persönlich unter Nachweis der Identität (z.B. Ausweis) abgeholt werden können. Eine Übermittlung der Unterlagen per E-Mail ist dann unstatthaft, wenn die Kommunikation unverschlüsselt erfolgt.

     

    Beispiel für eine sichere Zustellung umfangreicher und sensibler Daten:

    Daten werden verschlüsselt in einem USB Stick per Post, eingeschrieben und mit Übernahmeschein zugestellt. Das Passwort wird separat über einen anderen Kanal, z.B. per E-Mail oder SMS verschickt.

Zweifelsohne stellen Auskunftsanfragen nach Artikel 15 DSGVO je nach Zahl von Anfragen und Umfang von Daten eine entsprechend hohe Anforderung an ein Unternehmen oder eine Organisation, je nach Ressourcen und technisch-organisatorischen Möglichkeiten. Unternehmen und Organisationen sollten daher entsprechende Vorkehrungen für ein realistisches Szenario treffen.

Bereitstellung umfassender und vollständiger Auskünfte

Welche Auskünfte sind zu erteilen?

Lesen sie dazu folgende Beiträge:

Die Auskunftspflicht nach DSGVO Dem Auskunftsrecht Betroffener steht die Auskunftspflicht Verantwortlicher gegenüber, also jener, die personenbezogene Daten verarbeiten. In den Erwägungsgründen und in Artikel 15 DSGVO wird geregelt, welche Auskünfte und in welchem Umfang bei welchen Voraussetzungen der Verantwortliche geben muss. Mehr lesen...

Informationspflichten bei der Verarbeitung personenbezogener Daten Zu den Rechten betroffener Personen, also jener, deren personenbezogene Daten verarbeitet werden, zählt laut Datenschutz-Grundverordnung (DSGVO) ein umfangreiches Informationsrecht. Welche Informationen gegeben werden müssen, ist klar geregelt. Mehr lesen...

Das Problem der Überforderung

Häufig sind Unternehmen und Organisationen überfordert, wenn Sie darüber Auskunft geben sollen, wo in Ihren Systemen welche personenbezogenen Daten gespeichert sind und zu welchem Zweck das erfolgte. Das ist besonders bei Löschaufforderungen virulent. Es gibt häufig zu viele, nicht selten aus den Augen verlorene Speicherorte, nicht gelöschte oder archivierte Datenbanken oder Dateien oder Services. Die gesamte IT, sämtliche Netzwerke aber auch konventionelle Ablageorte bezüglich personenbezogener Daten zu inventarisieren und die Informationen effektiv und effizient zu managen, ist vielen Unternehmen und Organisationen kaum möglich.

Dieser Überforderung wird meist damit begegnet, dass man sich bei Auskünften auf Daten beschränkt, die im ersten Zugriff verfügbar sind, wie beispielsweise Daten aus dem CRM, der Buchhaltung, dem ERP etc. Nicht selten ist zu hören, dass Betroffene nicht wissen können, ob die Angaben vollständig sind oder nicht und es auch äußerst unwahrscheinlich sei, dass eine Überprüfung durch die Datenschutzbehörde die Vollständigkeit kontrolliere. Nicht selten handeln manche Verantwortliche entsprechend nach dem Pareto Prinzip: Sie argumentieren, dass für die letzten zwanzig Prozent, die zu einer vollständigen Auskunft fehlten, achtzig Prozent des Aufwands anfielen, was eben unverhältnismäßig sei. Das ist plausibel. Aber der Umstand, dass Unternehmen keinen Überblick über ihre Daten haben stellt kein Argument im Sinne eines unzumutbaren Aufwands dar.

In Österreich kommt hinzu, dass die Politik der – eigentlich unabhängigen – Datenschutzbehörde vorgegeben hat, dass Verwarnen vor Bestrafung stehen müsste. Für betriebswirtschaftlich kalkulierende Unternehmen liegt es daher nahe, das geringe Risiko einer unvollständigen Auskunft in Kauf zu nehmen, um den Aufwand für Auskünfte gering zu halten. Dennoch sollten Unternehmen selbst ein Interesse daran haben, einen Überblick über sämtliche gespeicherten und verarbeiteten, bzw. auch weitergegebenen personenbezogenen Daten zu haben.

Herausforderung einer transparenten IT Infrastruktur

Kaum ein Unternehmen wird Mitarbeiter*innen beauftragen, quasi „händisch” sämtliche mögliche Standorte, Infrastrukturen, Speichermedien und Speicherorte zu durchsuchen, um in Erfahrung zu bringen, wo und über welche Applikationen und Prozesse personenbezogene Daten gespeichert und verarbeitet werden. Diese Informationen und das daraus gewonnene Wissen ist aber Voraussetzung, um im Sinne der DSGVO verantwortlich handeln zu können, ist Grundlage jeder DSGVO Compliance. Je solider diese Grundlage, desto lückenloser kann die DSGVO Compliance erfüllt werden und desto geringer ist das entsprechende Haftungsrisiko.  

 

Mein Tipp:

Um das leisten zu können gibt es intelligente, auf Basis selbstlernender Algorithmen arbeitende Tools, die wir Unternehmen und Organisationen in Verbindung mit unserem IT-Partner anbieten können.
Das sind die Leistungsmerkmale:

  •   Standortübergreifende und organisationsweite Inventur der IT Infrastruktur mit Schwerpunkt DSGVO Relevanz und Schaffung von Transparenz bzgl. Speicherung und Verarbeitung personenbezogener Daten in den IT Systemen.
  •   Das Service inkludiert neben der gesamten Dienstleistung auch die Bereitstellung der notwendigen Hard- und Software, um indirekte Kosten zu verringern. Dieses Gesamtpaket garantiert ein rasches Abwickeln der Erhebung und schont zudem interne und externe Ressourcen.
  •   Optional: Etablierung eines OSI-10 Layers, der Regelkonformität kontinuierlich überwacht und mangelhafte, bzw. fehlende Konformität im Unternehmen aufzeigt.
  •   Ermittlung relevanten Handlungsbedarfs selbst gegenüber Auftragsverarbeitern, priorisiert nach Risiken, inklusive Handlungsempfehlungen.
  •   Optional: Kontrolle (Governance) der gesamten IT Infrastruktur und Datenverwaltung durch ein zentrales Informationssystem, granular bis zu Applikationen auf Arbeitsplatz-Ebene und der Möglichkeit zur Rückverfolgung von Verstößen.
  •   Steigerung von Effektivität und Effizienz bei Auskunftsverlagen, Einschränkungen, Widersprüchen und Löschanforderungen durch Betroffene mittels automatisierter Prozesse über einen zentrales Data Protection System.
  •   Budgetschonende Sicherstellung der DSGVO Regelkonformität
    1. Das modulare aufgebaute Angebot ist jeglichem Tätigkeitsbereich anpassbar und inkludiert ein branchenunabhängiges Verfahren
    2. Komplexe Organisationsstrukturen können abgebildet werden
  •   Reduzierung kritischer Risiken
    1. Hohe Strafen bei Verstößen gegen die DSGVO bis zu 20 Millionen Euro, bzw. 4 Prozent des erzielten, weltweiten vorjährigen Jahresumsatzes.
    2. Privatrechtliche Klagen auch aus dem EU Ausland
    3. Beschädigung der Reputation und des Images der Organisation.
    4. Reduzierung des Haftungsrisiko der Geschäftsführung, sowie der in der DSGVO ausdrücklich vorgesehenen Regressoption gegenüber Angestellten, soweit diese personenbezogene Daten verarbeiten.
    5. Risiko der Haftung bei DSGVO Verstößen von Auftragsverarbeitern und Dienstleistern.

 

Gerne gebe ich Ihnen weitere Auskünfte zu diesen Tools. Wenden Sie sich bitte direkt an mich:

 

Wie viel Zeit hat das Unternehmen um auf ein Auskunftsersuchen zu reagieren?
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 |  E-Mail

 

 

Der Gesetzestext der DSGVO, EU-Lex

 

DSGVO Assessment

Reduzieren Sie Ihr Risiko. Sorgen Sie vor und nutzen Sie unser Angebot eines

DSGVO Assessments

Für weitere Auskünfte und Informationen erreichen Sie uns telefonisch unter

0699/15 31 67 76   oder  per E-Mail

Hinweis:

Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.

Wie viel Zeit hat man um ein Datenschutzrechtliches Auskunftsersuchen zu erfüllen?

Artikel 15 Datenschutz-Grundverordnung (DSGVO) gibt Personen einen Auskunftsanspruch. Das heißt: Sie können von Unternehmen verlangen, dass diese offenlegen, welche personenbezogenen Daten sie zu welchem Zweck verarbeitet haben. Dabei dürfen sich Firmen dafür maximal einen Monat lang Zeit lassen.

In welchem Zeitraum muss ein * e Online Händler * in auf eine Auskunftsersuchen Anfrage eines Betroffenen Antworten?

Innerhalb welchen Zeitraums muss die Anfrage beantwortet werden? Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, sind ihr die zu erteilenden Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen.

Welche Frist gilt bzgl des Auskunftsrecht Art 15?

Länger als einen Monat darf die Auskunftserteilung nur dauern, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist (Krankheit oder Urlaub von Mitarbeitern werden nicht als Ausnahmefall akzeptiert ). Die Frist kann dann um zwei Monate auf maximal drei Monate verlängert werden.

Wie viel Zeit haben Unternehmen in der Regel um auf die Ansprüche auf Löschung und Auskunft zu reagieren?

Grundsätzlich hat das verantwortliche Unternehmen das Auskunftsersuchen unverzüglich, also ohne schuldhaftes Zögern, zu beantworten. Als maximale Wartezeit legt Art. 12 Abs. 3 DSGVO einen Monat fest.

wie viel zeit hat das unternehmen um auf ein auskunftsersuchen zu reagieren Auskunftsrecht DSGVO Frist Recht auf Datenübertragbarkeit Auskunft Datenschutz Muster

zusammenhängende Posts

Welches ist das erfolgreichste Musik Album aller Zeiten?
Welches ist das erfolgreichste Musik Album aller Zeiten?

Welche Paare von Hochzeit auf den ersten Blick noch zusammen?
Welche Paare von Hochzeit auf den ersten Blick noch zusammen?

Wie lade ich Fotos von der Speicherkarte auf den PC?
Wie lade ich Fotos von der Speicherkarte auf den PC?

Wie groß ist der unterschied von krone zur teilkrone
Wie groß ist der unterschied von krone zur teilkrone

Wie kann ich alles auf meine SIM
Wie kann ich alles auf meine SIM

Wie lange dauert eine paypal überweisung
Wie lange dauert eine paypal überweisung

Wie lange vorher muss man am Flughafen sein wenn man online eingecheckt hat?
Wie lange vorher muss man am Flughafen sein wenn man online eingecheckt hat?

Wie viele stunden am tag darf man arbeiten
Wie viele stunden am tag darf man arbeiten

Wie lange braucht man um russisch zu lernen
Wie lange braucht man um russisch zu lernen

Welche Seite tut weh wenn man Blinddarmentzündung hat?
Welche Seite tut weh wenn man Blinddarmentzündung hat?

Werbung

NEUESTEN NACHRICHTEN

Which of the following types of projects have a higher likelihood of failure
1 Jahrs vor . durch Upper-classFixing
Which of the following is not considered a component of information capital?
1 Jahrs vor . durch ReceivedProcessor
Wer ist 33 bei gzsz
1 Jahrs vor . durch PrivilegedExtinction
Wie hoch ist die Inzidenz in der Stadt Brandenburg?
1 Jahrs vor . durch SpareCriminality
Was wünscht man sich von einer Freundschaft?
1 Jahrs vor . durch IneffectualMathematician
Direkter vorgesetzte krank wer ist dann vorgesetzter
1 Jahrs vor . durch HypnoticAbundance
Wie funktioniert der Microsoft Display Adapter?
1 Jahrs vor . durch AggregateWorkman
Kann man sich einbilden, dass jemand in einen verliebt ist
1 Jahrs vor . durch DarkenedConflagration
Wie verhalten Sie sich richtig 2 lkw
1 Jahrs vor . durch GiantCollision
Which of the following is the process of learning how other firms do things?
1 Jahrs vor . durch UnlikeMachinery

Werbung

Populer

Werbung

Um

Legal

Hilfe

Sozial

homeendefrkoptzhitthjphitr
Urheberrechte © © 2024 moicapnhap Inc.