Der Ablauf eines Auskunftsersuchens
Wissen Sie, was zu tun ist?
Die EU-Datenschutz-Grundverordnung (DSGVO) räumt von der Datenverarbeitung betroffenen Personen spezifische Rechte ein. Da wären einerseits das Recht auf Information – das für die Unternehmen eine Informationspflicht ergibt. Weiters wären dann noch das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit sowie das Widerspruchsrecht.
Dieser Beitrag beschäftigt sich damit, wie ein Ersuchen um Auskunft abläuft.
1. Eingang der Anfrage
Eine Auskunftsersuchen kann Sie auf verschiedenen Wegen erreichen. Da wären einerseits zu nennen:
- Die/der Betroffene kommt zu Ihnen ins Büro / Geschäft und ersucht um Auskunft
- Sie erhalten ein E-Mail mit dem Ersuchen um Auskunft
- Sie erhalten einen Brief mit dem Ersuchen um Auskunft
- Das Ersuchen erfolgt telefonisch
Bei einem telefonischen Ersuchen können Sie berechtigte Zweifel an der Person der/des Anfragenden haben und um eine schriftliche Anfrage bitten.
Egal auf welchem Weg Sie die Anfrage erreicht, wenn Sie nicht Verantwortliche:r nach DSGVO sind, geben Sie die Anfrage weiter.
2. Wer ist zuständig
Zuständig für die Beantwortung der Anfrage ist im Zweifelsfall immer die/der Verantwortliche nach DSGVO. Das ist die Geschäftsführung / Inhaber:in / Eigentümer:in. Wenn es jedoch in Ihrem Unternehmen eine:n Datenschutzbeauftragte:n gibt, dann ist diese:r über die Anfrage zu verständigen.
3. Zweifel an der Identität
Wenn Sie die Anfrage telefonisch erreicht, können Sie berechtigte Zweifel an der Identität der anfragenden Person haben. Dann ersuchen Sie bitte, wie schon unter 1. erwähnt, um eine schriftliche Anfrage. Berechtigte Zweifel können Sie aber auch bei einer schriftlichen Anfrage haben, wenn die Absenderadresse Anlass gibt, sie zu hinterfragen. So wären grundsätzlich anonyme Adressen wie z.B. ichbinich@gmail.com oder auch Adressen mit vorname.nachname@hotmail.com (oder auch gmx.net, gmx.at) Anlass zu berechtigten Zweifeln.
Im Fall von berechtigten Zweifeln an der Identität können Sie einen Nachweis der Identität verlangen.
4. Vergessen Sie nicht
Ihre Webseite
Auch auf Ihrer Webseite werden Daten gesammelt. Vor allem, wenn Sie einen Onlineshop betreiben, sollten Sie diesen überprüfen, ob es kürzlich Zugriffe der anfragenden Person gegeben hat.
Ihre Facebookseite
Auch hier werden umfangreiche personenbezogene Daten gesammelt. Facebook verknüpft jedes Like mit einer Person und stellt entsprechende Statistiken zur Verfügung. Dies müssen Sie ebenfalls überprüfen und gegebenenfalls in die Antwort mit einbeziehen.
Die Anfrage selbst
Auch die Anfrage enthält personenbezogene Daten. Zumindest diese sollten Sie in der Antwort anführen müssen.
Frist für die Beantwortung
Sie müssen eine Anfrage auf Auskunft umgehend bearbeiten und schnellstmöglich beantworten. Die maximale Zeit für die Antwort liegt bei 1 Monat ab Einlangen des Begehrens. Sollte eine Beantwortung innerhalb dieser Frist nicht möglich sein, teilen Sie der/dem Anfragenden schriftlich mit, dass Sie eine Fristverlängerung in Anspruch nehmen. Sie können die Frist um maximal zwei Monate verlängern.
5. Antwort-Varianten
Es gibt grundsätzlich verschiedene Möglichkeiten, ein Auskunftsbegehren zu beantworten.
Sie haben Daten der/des Anfragenden
Hier müssen Sie sehr umfangreich Auskunft geben. Im Groben müssen Sie folgendes mitteilen:
- Liste der Daten, die verarbeitet werden
- Kopien der Daten (E-Mails, Briefe, Auszüge aus Datenbanken …) und die konkret verarbeiteten Daten
- Die Verarbeitungszwecke
- Die Kategorien der Daten, die verarbeitet werden
- Die Empfänger (inkl. Auftragsverarbeiter) oder Kategorien von Empfängern der Daten, speziell wenn in Drittländern oder bei int. Organisationen
- Die geplante Speicherfrist für die Daten oder die Kriterien für die Festlegung dieser Dauer
- Alle verfügbaren Informationen über die Herkunft der Daten, wenn bei Dritten erhoben
- Im Fall von Entscheidungen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruhen, und gegenüber der betroffenen Person rechtliche Wirkungen entfalten oder sie in ähnlicher Weise beeinträchtigen, Angaben zu der verwendeten Logik sowie zur Tragweite und zu den angestrebten Auswirkungen einer derartigen Verarbeitung
- Bei internationalen Datentransfers: falls notwendig, die Grundlagen der geeigneten Garantien.
- Rechtsmittelbelehrung lt. WKO Musterschreiben
Sie haben keine Daten der/des Anfragenden
Auch dann müssen Sie die Anfrage beantworten, allerdings senden Sie eine sogenannte Leermeldung.
- Es werden keine Daten zu Ihrer Person verarbeitet.
- Rechtsmittelbelehrung (lt. Vorlage WKO-Musterschreiben)
Verweigern der Auskunft
Nach derzeitiger Rechtslage (Stand Ende Mai 2018) müssen Sie keine Auskunft geben, wenn Sie damit Geschäftsgeheimnisse (auch die Dritter) preisgeben. Zu diesem Punkt ist allerdings ein EU-Vertragsverletzungsverfahren bereits angekündigt.
Es gibt allerdings auch Berufsgruppen, die aufgrund ihrer Schweigepflicht die Auskunft verweigern können.
Die Wirtschaftskammer stellt ein Musterschreiben zur Beantwortung eines Auskunftsersuchens zur Verfügung. Diese finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.html
Sie müssen das Rad nicht neu erfinden, nutzen Sie die vorhandenen Ressourcen und Möglichkeiten.
Weiterführende Links
Weitere Beiträge
Mit einfachen Mitteln sichtbar werden
Positionieren Sie sich als Kleinunternehmen besser. Es gibt eine Reihe kostenlose Angebote großer Firmen, die Sie nur für sich nutzen müssen.
DSGVO-Tipps: Mein Smartphone gehört mir
Mobiles Arbeiten ist heute Alltag. Richten Sie für Ihr Handy einen Zugriffsschutz ein. Stellen Sie sicher, dass Sie Ihr Handy bei Diebstahl löschen können.
Digitaler Plausch IT-Sicherheit
Setzen Sie jetzt den ersten Schritt zu mehr IT-Sicherheit! Tipps von der Fachfrau, die Sie wirklich weiterbringen.
DSGVO-Tipps: Das Passwort unter der Tastatur
Das Passwort unter der Tastatur ermuntert unbefugten Zugriff. Ein sicheres Passwort besteht aus den Anfangsbuchstaben der Wörter eines Satzes inkl. Satzzeichen.
DSGVO-Tipps: 5 Wege aufzuräumen
Schützen Sie Daten vor unberechtigtem Zugriff. Lassen Sie Vertrauliches nicht offen liegen. Sperren Sie den Bildschirm. Nutzen Sie Privacy Screen und Schredder.
DSGVO-Tipps: Altpapier ist pure Information
Sie werfen Unterlagen, Rechnungen, Mahnungen und ähnliches einfach ins Altpapier? Wie unvorsichtig! Wissen Sie, wer Ihr Altpapier holt und was damit geschieht?
DSGVO-Tipps: Zuerst denken, dann klicken!
Nein, Ihr IT-Support fragt Sie nicht per E-Mail nach Ihrem Passwort. Auch Ihre Bank, Ihr Kreditkartenunternehmen fragt Ihre Logindaten nicht per E-Mail ab.
DSGVO-Quiz
Sie wohnen in der Schweiz, verkaufen aber an EU-Bürger:innen? Wissen Sie, ob Sie der DSGVO unterliegen? Finden Sie es heraus.
Handy-Apps als Datensammler
Wie geht es dir heute? Hast du gut geschlafen? Die Fragen erscheinen unverfänglich, unwichtig, nebensächlich. Sind sie das wirklich?
5 Dinge, die Sie vor dem 25. Mai 2018 tun sollten
Die Uhr tickt! Sind Sie bereit für die DSGVO? Erfahren Sie, welche Dinge Sie unbedingt noch vor dem 25. Mai 2018 abarbeiten sollten. Es ist weniger kompliziert als Sie denken, aber Sie müssen etwas tun!
Grundsätze der Datenverarbeitung
Speichern und verarbeiten Sie nur Daten, die Sie für Ihre Zwecke benötigen bzw. Daten, die Sie auch speichern und verarbeiten dürfen. Machen Sie die Vorgänge transparent.
Erweiterte Informationspflichten
Durch die DSGVO treten mit 25. Mai 2018 erweiterte Informationspflichten für Unternehmern_innen und Vereine in Kraft. Dadurch wird für Kund_innen die Verwendung ihrer Daten klarer.
Rechtmäßigkeit der Verarbeitung
Um Daten systematisch zu verarbeiten - und da reicht schon eine Kundenkartei - muss die Verarbeitung auf einer Rechtsgrundlage beruhen. Was ist darunter zu verstehen?
Dokumentation der Datenverarbeitung
Eine wichtige Pflicht im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) ist die Dokumentation. Ein Element davon ist das Verzeichnis der Verarbeitungstätigkeiten.
Die DSGVO betrifft auch Sie!
99% aller Unternehmer_innen müssen zumindest die Dokumentationspflichten erfüllen. Sie gehören dazu, sobald Sie Adressen auf Ihrem Handy haben - oder auch nur einen Karteikasten mit Kundendaten.
Mit einfachen Mitteln sichtbar werden
Positionieren Sie sich als Kleinunternehmen besser. Es gibt eine Reihe kostenlose Angebote großer Firmen, die Sie nur für sich nutzen müssen.
DSGVO-Tipps: Mein Smartphone gehört mir
Mobiles Arbeiten ist heute Alltag. Richten Sie für Ihr Handy einen Zugriffsschutz ein. Stellen Sie sicher, dass Sie Ihr Handy bei Diebstahl löschen können.
Digitaler Plausch IT-Sicherheit
Setzen Sie jetzt den ersten Schritt zu mehr IT-Sicherheit! Tipps von der Fachfrau, die Sie wirklich weiterbringen.
DSGVO-Tipps: Das Passwort unter der Tastatur
Das Passwort unter der Tastatur ermuntert unbefugten Zugriff. Ein sicheres Passwort besteht aus den Anfangsbuchstaben der Wörter eines Satzes inkl. Satzzeichen.
DSGVO-Tipps: 5 Wege aufzuräumen
Schützen Sie Daten vor unberechtigtem Zugriff. Lassen Sie Vertrauliches nicht offen liegen. Sperren Sie den Bildschirm. Nutzen Sie Privacy Screen und Schredder.
DSGVO-Tipps: Altpapier ist pure Information
Sie werfen Unterlagen, Rechnungen, Mahnungen und ähnliches einfach ins Altpapier? Wie unvorsichtig! Wissen Sie, wer Ihr Altpapier holt und was damit geschieht?
DSGVO-Tipps: Zuerst denken, dann klicken!
Nein, Ihr IT-Support fragt Sie nicht per E-Mail nach Ihrem Passwort. Auch Ihre Bank, Ihr Kreditkartenunternehmen fragt Ihre Logindaten nicht per E-Mail ab.
DSGVO-Quiz
Sie wohnen in der Schweiz, verkaufen aber an EU-Bürger:innen? Wissen Sie, ob Sie der DSGVO unterliegen? Finden Sie es heraus.
Handy-Apps als Datensammler
Wie geht es dir heute? Hast du gut geschlafen? Die Fragen erscheinen unverfänglich, unwichtig, nebensächlich. Sind sie das wirklich?
5 Dinge, die Sie vor dem 25. Mai 2018 tun sollten
Die Uhr tickt! Sind Sie bereit für die DSGVO? Erfahren Sie, welche Dinge Sie unbedingt noch vor dem 25. Mai 2018 abarbeiten sollten. Es ist weniger kompliziert als Sie denken, aber Sie müssen etwas tun!
Grundsätze der Datenverarbeitung
Speichern und verarbeiten Sie nur Daten, die Sie für Ihre Zwecke benötigen bzw. Daten, die Sie auch speichern und verarbeiten dürfen. Machen Sie die Vorgänge transparent.
Erweiterte Informationspflichten
Durch die DSGVO treten mit 25. Mai 2018 erweiterte Informationspflichten für Unternehmern_innen und Vereine in Kraft. Dadurch wird für Kund_innen die Verwendung ihrer Daten klarer.
Rechtmäßigkeit der Verarbeitung
Um Daten systematisch zu verarbeiten - und da reicht schon eine Kundenkartei - muss die Verarbeitung auf einer Rechtsgrundlage beruhen. Was ist darunter zu verstehen?
Dokumentation der Datenverarbeitung
Eine wichtige Pflicht im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) ist die Dokumentation. Ein Element davon ist das Verzeichnis der Verarbeitungstätigkeiten.
Die DSGVO betrifft auch Sie!
99% aller Unternehmer_innen müssen zumindest die Dokumentationspflichten erfüllen. Sie gehören dazu, sobald Sie Adressen auf Ihrem Handy haben - oder auch nur einen Karteikasten mit Kundendaten.
0 Kommentare