Durch die neue Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 europaweit anwendbares Recht wird, ergeben sich viele Änderungen für Unternehmen. Auch beim Thema „Auskunftsrechte“ hat sich für Kunden, Online-Nutzer und Patienten einiges getan. Der TÜV Süd weist in einer Mitteilung darauf hin, dass für diese nun ein erweitertes Auskunftsrecht für ihre Daten gilt. Das heißt, Firmen müssen über alle gespeicherten personenbezogenen Daten Auskünfte erteilen. Wenn gewünscht, sind Unternehmen sogar verpflichtet, Daten ganz zu löschen.

Das Auskunftsrecht untergliedert sich in zwei Stufen. Zunächst können betroffene Personen Informationen darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Wenn dies der Fall ist, besteht grundsätzlich ein Recht auf Auskunft über diese Daten. Betroffene können dann beispielsweise Informationen über den Zweck der Verarbeitung oder die bisherigen und geplanten Empfänger dieser Daten erfragen. Firmen müssen außerdem mitteilen, wie lange sie die personenbezogenen Daten speichern werden und welche Kriterien zur Festlegung dieser Zeitspanne geführt haben. Auch die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, kann der Betroffene erfragen.

Hinzu kommt, dass Betroffene die Berichtigung oder Löschung ihrer Daten verlangen dürfen. Auch können sie verfügen, dass diese Daten nur eingeschränkt verarbeitet werden dürfen. Über dieses Widerspruchsrecht sowie ihr Beschwerderecht bei einer Aufsichtsbehörde müssen Betroffene ebenfalls informiert werden. Artikel 15 DSGVO erweitert somit die bisher bekannten Regelungen des Paragraphen  34 BDSG bei den Auskunftsrechten.

Nach Artikel 15 Absatz 3 DSGVO muss der Verantwortliche der betroffenen Person auch eine Kopie derjenigen personenbezogenen Daten zur Verfügung stellen, die Gegenstand der Verarbeitung sind. Für diese erste Kopie dürfen dem Kunden keine Kosten entstehen. Falls der Betroffene den Antrag elektronisch stellt, sind die notwendigen Informationen in einem gängigen elektronischen Format zu übermitteln.

Durch das erweiterte Beschwerderecht für Betroffene ist damit zu rechnen, dass diese häufiger von ihrem Recht Gebrauch machen und beispielsweise auf Löschung ihrer Daten bestehen. Der TÜV Süd weist darauf hin, dass Verantwortliche – sofern noch nicht geschehen – konkrete Datenlöschprozesse implementieren müssen. Zudem sollten Verfahren eingebaut sein, die ein zeitnahes Reagieren auf weitergehende Rechte der Betroffenen ermöglichen.

Allerdings gibt es auch Ausnahmen für die Erteilung von Auskünften an Betroffene. Kein Auskunftsrecht besteht, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Beispielsweise sind Patienten- oder Personalakten in der Regel meist zehn Jahre aufzuheben. Unternehmen können außerdem verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung erfolgen muss. Und: Wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand für die Verantwortlichen darstellen würde, besteht kein Anrecht darauf.

Wer gegen die Vorschriften der Auskunftsrechte verstößt, muss mit einem Bußgeld von bis zu 2 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs rechnen – je nachdem, welcher der Beträge höher ist.

Nähere Informationen über die DSGVO gibt es beim TÜV Süd unter www.tuev-sued.de/uploads/images/1464782776647722731203/whitepaper-neue-eu-dsgvo.pdf.

Dr. Jörg Schröper ist Chefredakteur der LANline.