Welche Frist gilt bei Auskunftsersuchen nach Art. 15 DSGVO?

In Artikel 12 Abs. 3 DSGVO ist die Frist zur Beantwortung eines Auskunftsersuchens geregelt.

Artikel 12 Abs. 3 S. 1 DSGVO bestimmt, dass einem Auskunftsersuchen unverzüglich (unverzüglich meint „ohne schuldhaftes Zögern“, vgl. § 121 Abs. 1 BGB) nachzukommen ist, in jedem Fall aber innerhalb eines Monats nach Eingang des Ersuchens.

Die Monatsfrist (was nicht unbedingt 30 Tagen entspricht) ist damit eine Höchstfrist. Die Höchstfrist darf nach der gesetzlichen Konzeption nur ausgenutzt werden, wenn vom Verantwortlichen (oder Auftragsverarbeiter) keine schnellere Antwort erwartet werden konnte/durfte. Ist dem Verantwortlichen aber eine schnellere Antwort zumutbar, muss er vor Verstreichen der Monatsfrist antworten. Faktoren, die bei der Bemessung der Antwortfrist eine Rolle spielen, können insbesondere die in Artikel 12 Abs. 3 S. 2 DSGVO zur Fristverlängerung genannten sein, wie z.B. die Komplexität des Antrages oder die Anzahl von Ersuchen, die der Verantwortliche noch beantworten muss.
In der Praxis lässt sich sagen, dass die Monatsfrist aus Art. 12 Abs. 3 DSGVO quasi zur Regelfrist geworden ist. Aufsichtsbehörden gewähren einem Verantwortlichen zur Beantwortung i.d.R. die Monatsfrist.

Wenn ein Rechtsanwalt (oder ein Betroffener) eine kürzere Frist setzt, ist mit Blick auf den eigentlichen Grundsatz der Unverzüglichkeit aber die gesetzte Frist einzuhalten, so lange sie nicht unangemessen kurz ist. Es spiel übrigens keine Rolle, wer die Frist setzt. Ob das Ersuchen von einem Anwalt stammt oder dem Betroffenen selbst, spielt für die Bemessung der Frist keine Rolle.

Stand: 16.11.2022

Muss eine Auskunft vom Verantwortlichen in Deutschland immer in deutsch erfolgen?

Zur Sprache der Auskunft haben wir keine Vorgaben gefunden, aber zu den Informationspflichten nach DSGVO:

„Grundsätzlich müssen die Informationen für den jeweiligen Betroffenen nach Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Hierzu gehört es, die Informationen in der gängigen Sprache des Landes zur Verfügung zu stellen, an das sich das Online-Angebot richtet. Die Europäischen Datenschutzaufsichtsbehörden gehen im Working Paper 260 unter Randziffer 13 davon aus, dass eine Übersetzung dann erfolgen sollte, wenn sich das Angebot an Personen mit einer entsprechenden Sprache richtet. Daraus folgt unsere Empfehlung, eine Übersetzung in jede Sprache des Landes vorzunehmen, an das sich der Onlineshop richtet. …

Sofern ein Online-Shop seine Waren in Europa nicht durchgängig in englischer Sprache, sondern auch in einzelnen Landessprachen der europäischen Union anbietet, muss er sicherstellen, dass die Datenschutzinformationen in der jeweiligen Landessprache vorgehalten werden und Auskunftsbegehren ebenfalls in der jeweiligen Landessprache erfolgen können.“

Mehr Infos beim LDA Bayern

Stand: 20.07.2022

Kann ein Betroffener Auskunft über TOMs verlangen?

Was regelt die DSGVO zu den technischen und organisatorischen Maßnahmen?

Art. 32 DSGVO: Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Was regelt das BDSG-neu zu den technischen und organisatorischen Maßnahmen?

§ 64 BDSG: Anforderungen an die Sicherheit der Datenverarbeitung

(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),

2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),

3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),

4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),

5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),

6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),

7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),

8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),

9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),

10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),

11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),

12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden

Was regelt die DSGVO das Thema Auskunft von Verantwortlichen?

Art. 15 DSGVO:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) …“

Das heißt:  der Verantwortliche ist zur Auskunft nach den gesetzlichen Vorgaben verpflichtet. 

Kann ein Betroffener Auskunft über TOMs von dem Verantwortlichen verlangen?

Betroffenenrechte: Recht auf

Diese Rechte sind abschließend. In Frage kommt hier nur Art. 15 DSGVO.
Dieser umfasst keine Auskunft über TOMs.

Stand: 20.07.2022

Ist ein Händler zur Herausgabe von Kundendaten an den Herstellter für eine Rückrufaktion berechtigt?

Ein Hersteller fragt bei einem Händler nach Kundendaten, um eine Rückrufaktion durchzuführen. Es handelt sich um einen Staubsauger, bei dem ein Bauteil aufgrund von Überhitzung zu einem Brand führen kann („ernstzunehmendes Risiko“). 

Rechtsgrundlagen bei der Produkthaftung

Keine einheitliche Regelung! Rechtsgrundlagen ergeben sich aus:

Stand: 01.06.2022

Ein Kunde wiederholt seine Auskunftsanfrage an jeden der Empfänger, welche in der Antwort der Auskunftsanfrage des Verantwortlichen genannt wurde. Wie verhalten sich diese korrekt?

Auftragsverarbeiter wird um Auskunft angefragt
Wie verhalten diese sich korrekt? Ist ein Verweis auf den Verantwortlichen ausreichend und richtig?

Art. 15 DSGVO:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a)die Verarbeitungszwecke;

b) …“

Das heißt: nur der Verantwortliche ist zur Auskunft verpflichtet, nicht der Auftragsverarbeiter.

Siehe auch Paper des Landesbeauftragten für den Datenschutz in Niedersachsen:

Bei einer Auftragsverarbeitung ist der Auftraggeber zur Auskunft verpflichtet, nicht der
Auftragsverarbeiter.“

Auftragsverarbeiter wird um Auskunft angefragt
Wie verhalten diese sich korrekt? Ist ein Verweis auf den Verantwortlichen ausreichend und richtig?

Und: Zur Auftragsverarbeitung ist in Art. 28 Abs. 3 lit. e DSGVO geregelt:

Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

Ergebnis:

Auftragsverarbeiter ist nicht gesetzlich zur Auskunft verpflichtet, das ist nur der Verantwortliche. Aber er ist im Innenverhältnis dem Verantwortlichen gegenüber ggf. zur Unterstützung bei der Auskunftserteilung verpflichtet. Der Verweis auf den Verantwortlichen ist damit ausreichend und richtig!

Es gibt sogar die Auffassung, dass der Auftragsverarbeiter Auskunftsanfragen von Betroffenen nicht beantworten darf, weil Auftragsverarbeiter als Auftragnehmer Betroffenenrechte nicht ohne Vereinbarung bzw. Weisung des Verantwortlichen ausüben dürfen. Die Daten stehen in Verantwortung des Auftraggebers/Verantwortlichen. Diese Auffassung ist sehr gut vertretbar!

Datenschutzbeauftragter wird um Auskunft angefragt
Fällt diese Verarbeitung unter die Ausnahme „Datenschutzkontrolle“ nach § 34 Abs. 1 Nr. 2 lit. b BDSG? 

Gola/Heckmann/Werkmeister BDSG § 34 Abs. 1 Nr. 2b) -  Datensicherung und Datenschutzkontrolle (lit. b):

„Eine Ausnahme vom Auskunftsrecht kann ebenfalls gemäß Abs. 1 Nr. 2 lit. b hinsichtlich ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienenden Daten begründet werden. …“

„Zur Datensicherung dienende Daten werden in der Regel gespeichert, um einen für einen anderen Zweck tatsächlich benötigten Datenbestand im Falle des Verlustes oder der Zerstörung wiederherstellen zu können. Ein typisches Beispiel sind etwa Sicherungskopien auf externen Speichermedien.“

„Zum Zwecke der Datenschutzkontrolle gespeicherte Daten können solche sein, die über durchgeführte Kontrollen Auskunft geben, wie etwa Protokolldateien. …“

--> Hier steht nichts vom Datenschutzbeauftragten!

Der Datenschutzbeauftragte ist nicht Verantwortlicher und ist daher nicht zur Auskunft nach Art. 15 DSGVO verpflichtet.

Stand: 25.05.2022

Wir sind eine Privatschule. Eine Mutter einer Schülerin hat und Auskunft nach Art. 15 DSGVO verlangt. Was ist zu tun?

Es gibt Vorlagen verschiedener Bundesländer für die Schulen, um auch dort den Datenschutz DSGVO-konform umzusetzen.

Vorlagen für typische Verarbeitungstätigkeiten in Schulen

Die Auskunft ist gemäß 15 DSGVO zu erteilen. Demnach ist zu prüfen, ob der Antragsteller eine Berechtigung hat, die Auskunft zu verlangen (eine Mutter hat das in aller Regel für sich und ihr Kind). Danach ist binnen Monatsfrist zu antworten.

Hier Templates des BayLDA für die Auskunftserteilung

Hier ein ausführliches Merkblatt des Bayerischen Landesbeauftragten für den Datenschutz zum Thema Auskunft

Stand: 16.03.2022

Darf ich eine Liste mit dem Impfstatus von Kollegen versenden?

Zur Erläuterung der Frage:

"Wir spielen jede Woche in einem Verein zusammen Fussball in der Halle. Es gilt 2G+.
Damit nicht jeder vor dem Spiel seinen Nachweis vorzeigen muss, wurde eine Liste mit den Geimpften (samt Datum der Impfung und Namen) erstellt. Am Eingang wird dann überwiegend nur noch abgehakt.
Darf man die Liste an einzelne Spieler schicken, die jeweils abwechselnd die Eingangskontrolle durchführen?"

Um die Fragestellung bzgl. der listenmäßigen Erfassung (und Weitergabe) des Impf-/Genesenenstatus zu konkretisieren, muss vorab die Regelung 2G+ definiert werden. 

Was ist 2G plus?

2G plus bedeutet, dass nur Menschen Zutritt haben, die vollständig geimpft oder von einer COVID-19-Infektion genesen sind und die zusätzlich auch noch aktuell schnellgetestet sind. Das "plus" steht für den Antigen-Schnelltest, dem sich Geimpfte und Genesene unterziehen müssen. Bei 2G plus haben Ungeimpfte keinen Zutritt. Z.B. haben am 7. Januar Bundesregierung und Länderchefs beschlossen, dass in der Gastronomie künftig 2G plus gilt. Dies gilt nicht in Bayern - das beschloss das bayerische Kabinett am 11. Januar.

Impf-/Genesenennachweis und aktueller Schnelltest müssen kontrolliert werden, ansonsten droht Bußgeld.

Sobald die Spieler den Impf-/Genesenennachweis erbringen, kann dieser vom Vorstand oder einem Vertreter dokumentiert werden, sodass nur noch der aktuelle Schnelltest kontrolliert werden muss.

Voraussetzung:

Die Registrierung des Impfstatus zählt zur Verarbeitung von Gesundheitsdaten. Nach Art. 9 Abs. 2 lit. a DSGVO kann eine solche Speicherung zulässig sein, wenn der Betroffene ausdrücklich und freiwillig eingewilligt hat. Wichtig ist hierbei, dass eine echte Wahl besteht.

Ergebnis:

Wenn die Spieler der Verarbeitung zugestimmt haben, kann die Liste auch an Vertreter des Vereinsvorstands weitergegeben werden. Am besten sollten die Spieler auch dieser Weitergabe ausdrücklich und freiwillig zustimmen.

Stand: 02.02.2022