Das Auskunftsrecht untergliedert sich in zwei Stufen. Zunächst können betroffene Personen Informationen darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Wenn dies der Fall ist, besteht grundsätzlich ein Recht auf Auskunft über diese Daten. Betroffene können dann beispielsweise Informationen über den Zweck der Verarbeitung oder die bisherigen und geplanten Empfänger dieser Daten erfragen. Firmen müssen außerdem mitteilen, wie lange sie die personenbezogenen Daten speichern werden und welche Kriterien zur Festlegung dieser Zeitspanne geführt haben. Auch die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, kann erfragt werden.
Hinzu kommt, dass Betroffene die Berichtigung oder Löschung ihrer Daten verlangen dürfen. Auch können sie verfügen, dass diese Daten nur eingeschränkt verarbeitet werden dürfen. Über dieses Widerspruchsrecht sowie ihr Beschwerderecht bei einer Aufsichtsbehörde müssen Betroffene ebenfalls informiert werden. Artikel 15 DSGVO erweitert somit die bisher bekannten Regelungen des § 34 BDSG bei den Auskunftsrechten.
Nach Artikel 15 Absatz 3 DSGVO muss der Verantwortliche der betroffenen Person auch eine Kopie derjenigen personenbezogenen Daten zur Verfügung stellen, die Gegenstand der Verarbeitung sind. Für diese erste Kopie dürfen dem Kunden keine Kosten entstehen. Falls der Antrag elektronisch gestellt wird, sind die notwendigen Informationen in einem gängigen elektronischen Format zu übermitteln.
Durch das erweiterte Beschwerderecht für Betroffene ist damit zu rechnen, dass diese häufiger von ihrem Recht Gebrauch machen und beispielsweise auf Löschung ihrer Daten bestehen. TÜV SÜD weist darauf hin, dass Verantwortliche – sofern noch nicht geschehen – konkrete Datenlöschprozesse implementieren müssen. Zudem sollten Verfahren eingebaut werden, die ein zeitnahes Reagieren auf weitergehende Rechte der Betroffenen möglich machen.
Allerdings gibt es auch Ausnahmen für die Erteilung von Auskünften an Betroffene. Kein Auskunftsrecht besteht, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Beispielsweise müssen Patienten- oder Personalakten in der Regel meist zehn Jahre aufgehoben werden. Unternehmen können außerdem verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung erfolgen muss. Und: Wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand für die Verantwortlichen darstellen würde, besteht kein Anrecht darauf.
Wer gegen die Vorschriften der Auskunftsrechte verstößt, muss mit einem Bußgeld von bis zu 2 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs rechnen – je nachdem, welcher der Beträge höher ist.
Quelle: TÜV SÜD