Über das Thema Auskunftspflichten schreibe ich am besten in der Folge der Nennung der gesetzlichen Pflichten.
Art. 15 DSGVO verlangt vom Verantwortlichen die Umsetzung des Auskunftsrechts. Wenn eine Organisation (Firma, Verein, Einrichtung) Daten einer betroffenen Person verarbeitet, dann hat diese Person das Recht zu erfahren:
- zu welchem Zweck die Verarbeitung erfolgt
- die Kategorien der verarbeiteten Daten
- die Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt wurde (das gilt insbesondere dann, wenn personenbezogene Daten in Drittländer - also außerhalb der EU und EWR - übermittelt werden)
- die Dauer der Speicherung oder Kriterien für die Fristenfestlegung
- Hinweis auf das Recht auf Berichtigung und Recht auf Löschung oder Einschränkung, ebenso ein Hinweis auf das Widerspruchsrecht
- das Recht auf Beschwerde bei einer Aufsichtsbehörde
- ggf. die Herkunft der Daten (wenn sie nicht beim Betroffenen erhoben wurden)
- ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
Die angeforderten Daten müssen nicht nur die Kategorien wie Vorname, Nachname, Geburtsdatum etc. enthalten, sondern natürlich auch die Inhalte dieser Kategorien. Also Vorname: Klaus - Nachname: Mustermann - Geburtsdatum: 04.11.1978 etc. Diese Daten werden der betroffenen Person in Kopie zur Verfügung gestellt, wobei das Recht auf Erhalt von Kopien die Rechte anderer Betroffener nicht beeinträchtigen darf.
Art. 16 DSGVO gibt betroffenen Personen das Recht, evtl. Korrekturen (Meier statt Maier) oder Anpassungen von Namen und Adressen (z. B. nach Vermählung) zu verlangen. Daher ist auch die genaue Angabe der Daten erforderlich! Dieser Artikel greift auch in Backups!
Art. 17 DSGVO verlangt das Recht auf Löschung unter anderem wenn
- der Zweck der Verarbeitung nicht mehr gegeben ist,
- eine Einwilligung zur Verarbeitung widerrufen wird,
- Widerspruch gegen eine Verarbeitung eingelegt wird,
- die Verarbeitung unrechtmäßig erfolgt ist.
Allerdings gibt es Ausnahmen, zum Beispiel wenn die Daten nach HGB (Handelsbriefe etc.) oder AO (Jahresabschlüsse etc.) verwahrt werden müssen. Ärzte zum Beispiel müssen Röntgenaufnahmen 30 Jahre lang aufbewahren. Personenbezogene Daten werden auch dann einbehalten, wenn sie zur Durchsetzung von Rechtsansprüchen erforderlich sind. Dieser Artikel greift auch in Backups!
Aus diesem Grund gibt es auch den Art. 18 DSGVO, demzufolge die im Absatz zuvor genannten Daten eingeschränkt werden. Eingeschränkte Daten dürfen dann nicht mehr in den Geschäftsverkehr gelangen.
Art. 19 DSGVO enthält eigentlich keine Auskunftsplicht gegenüber Betroffenen. Doch wenn ein Verantwortlicher personenbezogene Daten an bestimmte Empfänger weitergereicht hat, dann muss er nach Ausführung der Bestimmungen gemäß Art. 16, 17 und 18 DSGVO auch diese Empfänger über Berichtigung, Löschung und Einschränkung informieren. Wenn Auskunftsuchende dies gezielt wünschen, müssen die Empfänger genannt werden.
Art. 20 DSGVO soll sicherstellen, dass Betroffene ihre personenbezogene Daten zum Beispiel nach einer Kündigung von einem Dienstleister zu einem anderen transferieren oder auch für sich behalten können. Dazu müssen die Daten in einem gängigen Format abgelegt sein, das diesen Transfer problemfrei ermöglicht.
Art. 21 DSGVO erlaubt betroffenen Personen den Widerspruch gegenüber Verarbeitungen, die unerwünscht sind. Dafür kann es verschiedene Gründe geben: Widerspruch gegen Direktwerbung, Datentransfer in bestimmte Drittländer etc. In meinem Arbeitsumfeld betrifft es Verarbeitungen, die aufgrund eines berechtigten Interesses (gemäß Art. 6 Abs. 1 Buchst. f) durchgeführt werden.
Gemäß Art. 22 DSGVO hat eine betroffene Person das Recht, sich gegen eine Verarbeitung auszusprechen, die ausschließlich automatisiert erfolgt und die zu gegen sie gerichteten rechtlichen Wirkungen führt oder anders erheblich benachteiligt. Dazu gehört auch das Profiling.