Der Ablauf eines Auskunfts­er­su­chens

Wissen Sie, was zu tun ist?

 

Natür­liche Personen, die von einer Daten­ver­ar­bei­tung betroffen sind, haben spezi­fi­sche Rechte. Bei Begehren zu den Betrof­fe­nen­rechten haben Sie Auskunfts­pflicht.

von | 4. Juni 2018

Die EU-Daten­schutz-Grund­ver­ord­nung (DSGVO) räumt von der Daten­ver­ar­bei­tung betrof­fenen Personen spezi­fi­sche Rechte ein. Da wären einer­seits das Recht auf Infor­ma­tion – das für die Unter­nehmen eine Infor­ma­ti­ons­pflicht ergibt. Weiters wären dann noch das Recht auf Auskunft, das Recht auf Berich­ti­gung, das Recht auf Löschung (“Recht auf Verges­sen­werden”), das Recht auf Einschrän­kung der Verar­bei­tung, das Recht auf Daten­über­trag­bar­keit sowie das Wider­spruchs­recht.

Dieser Beitrag beschäf­tigt sich damit, wie ein Ersuchen um Auskunft abläuft.

1. Eingang der Anfrage

Eine Auskunfts­er­su­chen kann Sie auf verschie­denen Wegen errei­chen. Da wären einer­seits zu nennen:

  • Die/der Betrof­fene kommt zu Ihnen ins Büro / Geschäft und ersucht um Auskunft
  • Sie erhalten ein E-Mail mit dem Ersuchen um Auskunft
  • Sie erhalten einen Brief mit dem Ersuchen um Auskunft
  • Das Ersuchen erfolgt telefo­nisch

Bei einem telefo­ni­schen Ersuchen können Sie berech­tigte Zweifel an der Person des anfra­genden haben und um eine schrift­liche Anfrage bitten.

Egal auf welchem Weg Sie die Anfrage erreicht, wenn Sie nicht Verantwortliche_r nach DSGVO sind, geben Sie die Anfrage weiter.

2. Wer ist zuständig

Zuständig für die Beant­wor­tung der Anfrage ist im Zweifels­fall immer die/der Verant­wort­liche nach DSGVO. Das ist die Geschäfts­füh­rung / Inhaber_in / Eigentümer_in. Wenn es jedoch in Ihrem Unter­nehmen eine_n Datenschutzbeauftragte_n gibt, dann ist diese_r über die Anfrage zu verstän­digen.

3. Zweifel an der Identität

Wenn Sie die Anfrage telefo­nisch erreicht, können Sie berech­tigte Zweifel an der Identität der anfra­genden Person haben. Dann ersuchen Sie bitte, wie schon unter 1. erwähnt, um eine schrift­liche Anfrage. Berech­tigte Zweifel können Sie aber auch bei einer schrift­li­chen Anfrage haben, wenn die Absen­der­adresse Anlass gibt, sie zu hinter­fragen. So wären grund­sätz­lich anonyme Adressen wie z.B. ichbinich@gmail.com oder auch Adressen mit vorname.nachname@hotmail.com (oder auch gmx.net, gmx.at) Anlass zu berech­tigten Zweifeln.

Im Fall von berech­tigten Zweifeln an der Identität können Sie einen Nachweis der Identität verlangen.

4. Vergessen Sie nicht

Ihre Webseite

Auch auf Ihrer Webseite werden Daten gesam­melt. Vor allem, wenn Sie einen Online­shop betreiben, sollten Sie diesen überprüfen, ob es kürzlich Zugriffe der anfra­genden Person gegeben hat.

Ihre Facebook­seite

Auch hier werden umfang­reiche perso­nen­be­zo­gene Daten gesam­melt. Facebook verknüpft jedes Like mit einer Person und stellt entspre­chende Statis­tiken zur Verfü­gung. Dies müssen Sie ebenfalls überprüfen und gegebe­nen­falls in die Antwort mit einbe­ziehen.

Die Anfrage selbst

Auch die Anfrage enthält perso­nen­be­zo­gene Daten. Zumin­dest diese sollten Sie in der Antwort anführen müssen.

Frist für die Beant­wor­tung

Sie müssen eine Anfrage auf Auskunft umgehend bearbeiten und schnellst­mög­lich beant­worten. Die maximale Zeit für die Antwort liegt bei 1 Monat ab Einlangen des Begeh­rens. Sollte eine Beant­wor­tung inner­halb dieser Frist nicht möglich sein, teilen Sie der/dem Anfra­genden schrift­lich mit, dass Sie eine Frist­ver­län­ge­rung in Anspruch nehmen. Sie können die Frist um maximal zwei Monate verlän­gern.

5. Antwort-Varianten

Es gibt grund­sätz­lich verschie­dene Möglich­keiten, ein Auskunfts­be­gehren zu beant­worten.

Sie haben Daten der/des Anfra­genden

Hier müssen Sie sehr umfang­reich Auskunft geben. Im Groben müssen Sie folgendes mitteilen:

  • Liste der Daten, die verar­beitet werden
  • Kopien der Daten (E-Mails, Briefe, Auszüge aus Daten­banken …) und die konkret verar­bei­teten Daten
  • Die Verar­bei­tungs­zwecke
  • Die Katego­rien der Daten, die verar­beitet werden
  • Die Empfänger (inkl. Auftrags­ver­ar­beiter) oder Katego­rien von Empfän­gern der Daten, speziell wenn in Dritt­län­dern oder bei int. Organi­sa­tionen
  • Die geplante Speicher­frist für die Daten oder die Krite­rien für die Festle­gung dieser Dauer
  • Alle verfüg­baren Infor­ma­tionen über die Herkunft der Daten, wenn bei Dritten erhoben
  • Im Fall von Entschei­dungen, die auf einer automa­ti­sierten Verar­bei­tung einschließ­lich Profiling beruhen, und gegen­über der betrof­fenen Person recht­liche Wirkungen entfalten oder sie in ähnli­cher Weise beein­träch­tigen, Angaben zu der verwen­deten Logik sowie zur Tragweite und zu den angestrebten Auswir­kungen einer derar­tigen Verar­bei­tung
  • Bei inter­na­tio­nalen Daten­trans­fers: falls notwendig, die Grund­lagen der geeig­neten Garan­tien.
  • Rechts­mit­tel­be­leh­rung lt. WKO Muster­schreiben

Sie haben keine Daten der/des Anfra­genden

Auch dann müssen Sie die Anfrage beant­worten, aller­dings senden Sie eine sogenannte Leermel­dung.

  • Es werden keine Daten zu Ihrer Person verar­beitet.
  • Rechts­mit­tel­be­leh­rung (lt. Vorlage WKO-Muster­schreiben)

Verwei­gern der Auskunft

Nach derzei­tiger Rechts­lage (Stand Ende Mai 2018) müssen Sie keine Auskunft geben, wenn Sie damit Geschäfts­ge­heim­nisse (auch die Dritter) preis­geben. Zu diesem Punkt ist aller­dings ein EU-Vertrags­ver­let­zungs­ver­fahren bereits angekün­digt.

Es gibt aller­dings auch Berufs­gruppen, die aufgrund ihrer Schwei­ge­pflicht die Auskunft verwei­gern können.

Die Wirtschafts­kammer stellt ein Muster­schreiben zur Beant­wor­tung eines Auskunfts­er­su­chens zur Verfü­gung. Diese finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.html

Sie müssen das Rad nicht neu erfinden, nutzen Sie die vorhan­denen Ressourcen und Möglich­keiten.

Weiter­füh­rende Links

0 Kommen­tare

Einen Kommentar abschi­cken

Deine E-Mail-Adresse wird nicht veröf­fent­licht. Erfor­der­liche Felder sind mit * markiert.

Sie benötigen Unter­stützung?

Senden Sie uns eine Nachricht, wir melden uns dann bei Ihnen – per Email oder wenn Sie es wünschen auch gerne telefo­nisch.

14 + 12 =

Die Termin­bu­chung erfolgt über Doodle und den Google-Kalender. Daher werden Ihre Daten in die Schweiz (Doodle) und unter Umständen auch in die USA (Google) übertragen.

Alle Daten, die Sie uns über dieses Formular übermit­teln, werden verschlüs­selt an uns gesendet. Sie werden ausschließ­lich zur Bearbei­tung der jewei­ligen Anfrage verwendet.

In unserer Daten­schutz­er­klä­rung finden Sie die vollstän­digen Infor­ma­tionen zur Daten­ver­wen­dung.