Recht & Geld Frühling/Sommer 2019
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
INFORMATIONSTECHNOLOGIERECHT<br />
Wurden auch Sie von den neuen<br />
Datenschutz-Anforderungen überrollt?<br />
Was Verantwortliche und betroffene Personen über das<br />
datenschutzrechtliche Auskunftsrecht wissen sollten<br />
12<br />
Expertenrat<br />
Ronny Grunewald<br />
<strong>Recht</strong>sanwalt der Sozietät Büsing<br />
Müffelmann & Theye<br />
Fachanwalt für Informationstechnologierecht<br />
Spezialisiert auf IT- und<br />
Datenschutzrecht,<br />
Öffentliches <strong>Recht</strong> und Vergaberecht<br />
Seit dem Inkrafttreten<br />
der DSGVO sehen sich<br />
insbesondere Unternehmen<br />
und Vereine,<br />
aber auch Ärzte und<br />
Steuerberater mit<br />
einer Vielzahl neuer<br />
datenschutzrechtlicher<br />
Anforderungen<br />
konfrontiert. Neben<br />
zahlreichen Nachweisund<br />
Informationspflichten<br />
müssen auch<br />
die sog. Betroffenenrechte<br />
rechtskonform<br />
umgesetzt und im<br />
Alltag gelebt werden.<br />
Fachanwälte für IT-<br />
<strong>Recht</strong> können bei diesen<br />
Problemstellungen<br />
weiterhelfen.<br />
www.bmt.eu<br />
1. Wer ist zur Auskunft verpflichtet?<br />
Nach Art. 15 Datenschutz-Grundverordnung<br />
(DSGVO) ist der „Verantwortliche“ zur Auskunftserteilung<br />
verpflichtet. Verantwortliche<br />
können Unternehmen oder Webshop-Betreiber<br />
sein, aber auch Vereine, Ärzte, Apotheker oder<br />
Steuerberater. Kurzum: Jeder, der für eigene<br />
Zwecke mit personenbezogenen Daten anderer<br />
umgeht, ist Verantwortlicher.<br />
2. Wer hat ein Auskunftsrecht?<br />
Jede betroffene Person kann das Auskunftsrecht<br />
geltend machen. Hierzu zählen neben<br />
Kunden eines Unternehmens auch Mitarbeiter<br />
und Bewerber gegenüber dem (potenziellen)<br />
Arbeitgeber, Patienten, Mandanten oder Vereinsmitglieder.<br />
Bei der Beantwortung einer<br />
Auskunftsanfrage muss der Verantwortliche<br />
sicherstellen, dass die Informationen nicht unbefugten<br />
Dritten zur Verfügung gestellt werden.<br />
Insbesondere bei mündlichen oder elektronischen<br />
Anfragen ist besonderes Augenmerk auf<br />
die Identifikation des Anfragenden zu legen. Bei<br />
begründeten Zweifeln an der Identität des Anfragenden<br />
kann der Verantwortliche gem. Art.<br />
12 Abs. 6 DSGVO zusätzliche Informationen zur<br />
Bestätigung der Identität, wie zum Beispiel die<br />
Postadresse, verlangen.<br />
3. Welche Daten sind mitzuteilen?<br />
Das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO<br />
ist zweistufig ausgestaltet: Auf der ersten Stufe<br />
kann die betroffene Person eine Bestätigung<br />
darüber verlangen, ob personenbezogene Daten<br />
verarbeitet werden. Auf der zweiten Stufe muss<br />
dann tatsächlich Auskunft erteilt werden, und<br />
zwar über alle in Art. 15 DSGVO aufgeführten<br />
Umstände, zum Beispiel die Verarbeitungszwecke,<br />
die Kategorien personenbezogener Daten,<br />
die verarbeitet werden, die geplante Speicherdauer<br />
und das Bestehen von Betroffenenrechten.<br />
4. Form und Frist<br />
Die Auskunft muss unverzüglich, spätestens<br />
aber innerhalb eines Monats erteilt werden<br />
(Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen<br />
oder wenn die Anzahl der Anfragen sehr<br />
hoch ist, kann diese Frist um weitere zwei Monate<br />
verlängert werden. Sie kann schriftlich,<br />
elektronisch, oder – auf Wunsch der betroffenen<br />
Person – auch mündlich erfolgen. Nach<br />
Art. 15 Abs. 3 DSGVO stellt der Verantwortliche<br />
der betroffenen Person hierfür eine Kopie der<br />
personenbezogenen Daten, die Gegenstand der<br />
Verarbeitung sind, zur Verfügung. Sofern die<br />
Auskunftsanfrage elektronisch gestellt wird, ist<br />
die Auskunft in einem gängigen elektronischen<br />
Format (zum Beispiel PDF) zu erteilen, sofern<br />
nicht anders gefordert.<br />
5. Kosten<br />
Grundsätzlich ist die Auskunft unentgeltlich zu<br />
erteilen (Art. 12 Abs. 5 DSGVO). Nur bei wiederholten<br />
und/oder offenkundig unbegründeten<br />
oder exzessiven Anträgen kann der Verantwortliche<br />
ein angemessenes Entgelt verlangen.<br />
Er hat insoweit aber den Nachweis für den offenkundig<br />
unbegründeten oder exzessiven Charakter<br />
des Antrags zu erbringen.<br />
6. Ausnahmen<br />
Der Verantwortliche kann die Auskunft in bestimmten<br />
Fällen verweigern, so zum Beispiel<br />
wenn er glaubhaft nachweisen kann, dass er<br />
den Betroffenen nicht identifizieren kann, oder<br />
wenn es sich um offenkundig unbegründete<br />
oder exzessive Anträge handelt. Auch hierfür ist<br />
der Verantwortliche aber nachweispflichtig.<br />
7. Sanktionen<br />
Sofern die betroffene Person meint, dass der<br />
Verantwortliche das <strong>Recht</strong> auf Auskunftserteilung<br />
verletzt hat, kann sie nach Art. 77 Abs. 1<br />
DSGVO form- und fristlos eine Beschwerde bei<br />
der zuständigen Aufsichtsbehörde einreichen.<br />
Stellt sich dann heraus, dass der Verantwortliche<br />
tatsächlich die Auskunft nicht oder unvollständig<br />
erteilt hat, drohen ihm <strong>Geld</strong>bußen von<br />
bis zu 20 Millionen Euro oder 4 Prozent des gesamten<br />
weltweit erzielten Jahresumsatzes (Art.<br />
83 Abs. 5 DSGVO).<br />
Büsing Müffelmann & Theye kann in Bezug<br />
auf alle Fragen und Problemstellungen<br />
rund um das IT- und Datenschutzrecht auf<br />
ein überregionales Experten-Team zurückgreifen.<br />
Wir beraten und unterstützen u. a.<br />
Unternehmen, Ärzte, Kaufleute, Steuerberater<br />
und Privatpersonen in allen datenschutzrechtlichen<br />
Belangen.