Die Auskunftspflicht nach DSGVO
Die Datenschutz-Grundverordnung spricht in diesem Zusammenhang von Auskunftsrechten Betroffener, woraus sich Auskunftspflichten des Verantwortlichen (d.h. des Verarbeiters) zwangsläufig ergeben.
Die DSGVO geht davon aus, dass eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.
(ErwG 63)
Das Auskunftsrecht ist in Artikel 15 DSGVO geregelt. Entsprechend kann nach Abs. 1 jede*r, formlos, allenfalls sogar mündlich Auskunft verlangen,
- ob ein Verantwortlicher personenbezogene Daten zu dieser Person verarbeitet.
Ist das der Fall, dann hat der Betroffene ein Recht auf Auskunft zu folgenden Informationen:
- Zu welchem Zweck werden personenbezogene Daten verarbeitet (lit a)
- in welchen Kategorien werden personenbezogene Daten verarbeitet (lit b)
- welchen Empfängern oder Kategorien von Empfängern gegenüber werden die Daten offengelegt (lit c)
- sofern möglich, wie lange werden die Daten verarbeitet werden (Dauer) (lit d)
- woher stammen die personenbezogenen Daten (Herkunft) (lit g)
Zudem hat der Betroffene gemäß Abs. 2 das Recht nach geeigneten Garantien zu fragen, soweit die personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden.
In Abs. 3 wird bestimmt, dass Betroffene das Recht haben, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu verlangen, soweit dadurch (lt. Abs. 4) keine Rechte und Freiheiten anderer Personen beeinträchtigt werden. Die erste Kopie ist unentgeltlich. Für weitere Kopien räumt die DSGVO dem Verantwortlichen die Möglichkeit ein, ein angemessenes Entgelt auf Grundlage der Verwaltungskosten zu verlangen.
Im Erwägungsgrund 63 findet sich weiters folgendes Auskunftsrecht:
- nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und
- welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht.
Nach Möglichkeit sollte der Verantwortliche einen Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Diese in ErwG 63 angeführte Empfehlung ist sehr ambitioniert.
Viele Bürger werden beim Auskunftsrecht an Gesundheitsdaten denken, die der Arzt speichert und verarbeitet. Bislang war es, zumindest in Österreich, schwierig, sämtliche Daten zur Einsicht, bzw. gar als Kopie zu bekommen. Im ErwG 63 heißt es dazu ausdrücklich:
Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.
Einschränkend formuliert ErwG 63: Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.
Für diesen Fall besteht demnach eine Mitwirkungspflicht des Betroffenen.
Anm: Hier besteht eine gewisse Unschärfe, da nicht genau geklärt ist, was der Gesetzgebern unter einer großen Menge
versteht und in welchem Umfang diese Auskunftspflicht damit ‚eingeschränkt’ werden darf.
Für den Verantwortlichen besteht eine Prüfpflicht, d.h. er muss alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen.
Informationspflicht nach DSGVO) darauf hinweisen, dass Betroffene, deren personenbezogene Daten verarbeitet werden, ein Auskunftsrecht besitzen.
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Der Gesetzestext der DSGVO, EU-Lex
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.
Editionsgeschichte:
Eingetragen von Dr. Conrad Lienhardt am 22.12.2017 – Last touched: 13.03.2020 – Contents updated: 13.03.2020Hinweis: Ältere Beiträge werden in der Regel nicht aktualisiert, sofern es dazu keinen konkreten Anlass gibt (z.B. Aufforderung zu Richtigstellung, Ergänzung etc.). Dennoch können Beiträge ein aktuelleres Datum einer Überarbeitung zeigen. Zumeist handelt es sich dabei nicht um inhaltliche Änderungen, sondern um technisch veranlasste Änderungen, Korrekturen der Rechtschreibung, Glättung des Stils etc. Daher werden alle LeserInnen darauf hingewiesen, die Beiträge mit Blick auf das Erstellungsdatum zu lesen und ggf. zu überprüfen, ob die Inhalte noch aktuell und gültig sind. Wir können keine Haftung übernehmen, die sich aus einer Nichtbeachtung ergeben könnten.