Bei der Erhebung, Speicherung und Verarbeitung von Informationen personenbezogener Daten sieht die Datenschutz-Grundverordnung für betroffene Personen umfassende Auskunftsrechte vor. Diese dürfen nur in speziellen Fällen eingeschränkt werden, beispielsweise, wenn durch die Herausgabe der Informationen die Freiheiten und Rechte anderer Personen beeinträchtigt werden. Diese rechtliche Verankerung sowie weitere Betroffenenrechte zielen auf eine möglichst hohe informationelle Selbstbestimmung.
Eine Auskunft muss so gestaltet sein, dass sie generell auf Fragen zur Verarbeitung und auch spezielle zu den gespeicherten Daten informiert. Die erste Auskunft hat dabei stets unentgeltlich zu erfolgen, weiterer Aufwand darf mit einer angemessenen Gebühr für entstandenen Verwaltungsaufwand erfolgen. Die übermittelten Inhalte sollten das Medium nutzen, über das der entsprechenden Antrag gestellt wurde.
Welche Informationen müssen übermittelt werden?
Jede betroffene Person darf bei einem Verantwortlichen einen Antrag auf Auskunft stellen. Dieser muss darüber informieren, ob personenbezogene Daten verarbeitet werden und das Recht einzuräumen, eine Auskunft dieser Daten sowie weitere Informationen zur Verarbeitung zu verlangen. Für die Beantwortung eines Antrags sind dem Verantwortliche klare Fristen gesetzt.
Eine Auskunft muss mindestens folgende Punkte umfassen:
- Die Speicherdauer der Daten, bzw. Kriterien für deren Festlegung
- Welche Kategorien personenbezogener Daten (ggf. besondere Kategorien)
- Die Zwecke, zu denen Daten verarbeitet werden
- Ggf. die Empfänger / Kategorie der Empfänger, mit denen Daten geteilt werden sowie deren Standort (EU-Mitgliedstaat, etc.)
- Sofern eine Übermittlung an ein Drittland erfolgt, auch die Information über bestehende Garantien gem. Art. 46 DS-GVO
- Ein Hinweis auf das Recht, die Daten berichtigen oder löschen zu lassen, die Verarbeitung einzuschränken oder ihr insgesamt zu widersprechen
- Ein Hinweis auf das Recht zu Beschwerde bei Aufsichtsbehörden
- Auskunft über die Herkunft der Daten, sofern sie nicht bei der betroffenen Person erhoben wurden
- Eine ggf. bestehende automatisierte Entscheidungsfindung bzw. Profiling und umfassende Informationen zu deren Logik und möglichen Auswirkungen
Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics