Auskunfts- und Informationspflichten - und mehr!
Wenn eine Person, deren Daten erfasst wurden, deren Löschung beantragt oder Einsicht in die gespeicherten Daten verlangt, dann hat sie nach DSGVO entsprechende Rechte.So können Personen sogar erwarten, rasche Antworten auf solche Anfragen zu bekommen. Maximal jedoch darf sich ein Unternehmen ein Monat Zeit nehmen, um die Antworten zu beschaffen (in Ausnahmen länger). Die Arbeiten und Wege, wie man die Daten für Menschen beschafft, die sie haben oder löschen wollen, sollten im Unternehmen daher vorab geklärt werden, um im Bedarfsfall schnell und korrekt handeln zu können. Das Datenverarbeitungsverzeichnis (siehe unterhalb) bekommt auch in dieser Hinsicht eine Bedeutung.
Schon bei der Erhebung der Daten muss die Person über den Zweck der Datenspeicherung informiert werden und auch über den 'Erlaubnistatbestand'. Heißt: Ob die Daten per Einwilligung, rechtlicher Notwendigkeit oder aus berechtigtem Interesse heraus geschieht (siehe Einleitung), muss der Person mitgeteilt werden. Die (nachweisbare!) Einwilligung (kann nicht passiv oder 'vorausgefüllt' sein) braucht auch eine Information an die Person vorab über sein Widerrufsrecht und er muss wissen, wer der Verantwortliche (also künftige Datenschutz-relevante Auskunftsgeber und Verpflichtete ist). Siehe dazu auch die Datenschutzerklärung weiter unterhalb.
Auskunftspflicht nach DSGVO
Auskunftswerber kann nur die betroffene Person gegenüber dem Verantwortlichen (nicht gegenüber einem Dienstleister dessen) sein. Sollte ein Unternehmen echte Zweifel an der Identität der anfragenden Person sein, kann eine Identifizierung angefordert werden. In der Regel besteht man der Nachweisbarkeit wegen auf einen schriftlichen Auftrag.
In der Auskunft hat der Anfragende zu erhalten:
- die konkret gespeicherten Daten ('eMail, Name, Adresse')
- Zweck der Speicherung ('Sie haben ein Login erstellt')
- Datenkategorien und Empfänger dieser Daten (zB. 'eMails werden beim Newsletterhoster gespeichert')
- Speicherzeiten ('7 Jahre für Finanzamt', 'bis 1.1.2027 aufgrund Gewährleistungen'...)
- Datenherkunft ('Sie haben uns diese Daten übermittelt')
Dieses Musterschreiben können Sie dazu als Vorlage verwenden. Die Kammer hat hier schon die notwendigen Bausteine für die Antwort zusammengestellt:
Vorlage: Muster-Auskunft (doc)
Sollten Daten beispielsweise in Profilen münden (Bewegungsprofile, Käuferprofile etc.), ist das auch zu beauskunften - ein User muss also erfahren, wenn es ein Profil gibt ('hat Rasensamen gekauft') und was damit gemacht wird ('bekommt künftig Rasenmäher angeboten' - natürlich in abstrakter Form, also zB. 'wir senden passende Produktinformationen').
Eine Auskunft hat auch die Rechte zu beinhalten. Das beinhaltet Berichtigung oder Löschung der Daten (wenn möglich), Widerruf der Verarbeitung der Daten, Beschwerde bei zuständigen Behörden.
In der Regel erfolgen Auskünfte auch schriftlich (eMail) und sollen leicht lesbar, ev. auch verarbeitbar sein. Eine Form analog zur Erfassung (zB. wie am Bestellformular) ist sicher ausreichend. Eine Person kann aber auch eine Ausfertigung auf Papier verlangen.
Auch wenn keine Daten gespeichert wurden, muss eine Auskunft gegeben werden ('Wir haben keine Daten über Sie gespeichert!').
Es gibt erlaubte Gründe, ein Auskunftsbegehren abzulehnen. Muss man die Person oder andere Personen durch eine Verweigerung schützen, dann kann man eine Auskunft ablehnen. Rechte dritter Personen müssen ja auch geschützt werden. Auch, wenn zivilrechtliche Ansprüche durchgesetzt werden sollen, kann eine Auskunft (bzw. Löschung) abgelehnt werden. Will jemand durch dauernde Auskunftsbekehren stören, muss man den Anfragen auch nicht nachkommen - oder kann sogar Geld für die Dienste verlangen.
Recht auf Berichtigung und Löschung ('Vergessen')
Offensichtlich falsche Inhalte müssen berichtigt werden. Wird eine Person mit falschem Geburtsdatum gespeichert, hat diese das Recht auf Ausbesserung. Auch für den Zweck fehlende Daten können auf diesem Weg nachgereicht werden.
Interessanter ist das Recht auf Vergessen, also auf die Löschung der personenbezogenen Daten einer Person. Insbesondere darf diese eine Einwilligung widerrufen und damit die Grundlage für die Speicherung entziehen.
Tipp: Wo es geht, ohne Einwilligung arbeiten!
Wenn ein anderer Titel es erlaubt (siehe Grundlagen), also wenn eine gesetzliche Pflicht zur Speicherung vorliegt oder ein berechtigtes Interesse daran, ist das die bessere Begründung für eine Speicherung. Gegen eine reine Einwilligung zur Speicherung kann eine Person nämlich recht einfach widersprechen.
Eine Löschung kann erzwungen werden, wenn der Zweck der Speicherung wegfällt (dann müsste das Unternehmen bereits selbsttätig löschen). Die Speicherung einer Zustelladresse könnte mit der Kündigung eines Abos einer Zeitung beispielsweise nicht mehr erforderlich sein.
Auch die Löschung kann abgelehnt werden. Ähnlich wie bei den Informationsauskünften oberhalb, ist das bei der Löschung vorgesehen. Wenn eine gesetzliche Pflicht zur Speicherung der Daten vorliegt (Rechnungsbelege etc.), dürfen diese nicht gelöscht werden. Recht auf freie Meinung und Information kann auch gegen die Löschung sprechen. Besonders wichtig wird wohl 'Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen' als Grund sein, eine Löschung nicht vorzunehmen.
Es gibt aber auch noch eine Variante: Die der 'Einschränkung'. Dabei wird die Verarbeitung der Daten untersagt, aber auch die Löschung. Die Daten müssen weiter gespeichert werden. Das passiert etwa dann, wenn eine Person zur Durchsetzung von zB. Haftungsansprüchen die Daten bestehen lassen möchte/muss, aber die weitere Nutzung untersagt.
Gibt es Änderungen an Daten (Löschung...), dann muss der Verantwortliche alle Auftragsdienstleister entsprechend informieren (also auch dort die Löschung veranlassen). Im Internet bedeutet das 'Recht auf Vergessen' auch, dass öffentlich zugängliche Informationen potentiell auch dort verschwinden, wo sie angezeigt werden können.
Recht auf Datenübertragung
Einen interessanten Ansatz hat die DSGVO auch hinsichtlich der Übertragung von Daten zwischen verschiedenen Anbietern - etwa von einem Cloudanbieter zum nächsten. Wenn machbar, sollen die Daten leicht portabel gemacht werden. Dass das weder organisatorisch, noch technisch praktikabel sein wird, scheint offentlichtlich (nur den Gesetzgebern nicht).
Das Recht auf Datenübertragung steht jederzeit, nicht nur bei Beenden eines Vertrages, zu. Die Daten müssen strukturiert und maschinell verarbeitbar übermittelt werden (zB. XML-Format, CSV-Dateien). Eine Person hat nicht nur Anrecht auf zB. Profildaten, sondern auch auf die von ihr selbst übertragene Daten (Fotos, Inhalte in einem Social Network). Gesendet werden müssen die Daten an die Person oder wenn möglich auch an einen neuen Verantwortlichen.
Ablehnungsmöglichkeiten gibt es hier analog den Auskunftsbegehren und Löschansprüchen. So ist etwa die Durchsetzung von Rechtsansprüchen ein erlaubter Verweigerungsgrund.
Datenschutzerklärung und mehr auf der Website
Die allgemeine Informationspflicht kann man auch durch eine sogenannte Datenschutzerklärung erfüllen - analog zum Impressum muss diese leicht auffindbar auf der Website zu finden sein. Die Datenschutzerklärung beinhaltet all die Informationen, die einem User auch sonst gegeben werden müssen (welche Daten, welcher Zweck, Speicherungsdauer...). Die Erklärung wird in der Regel dann eher umfangreich (weil alle Informationen enthalten sein müssen), kann vermutlich aber recht einfach aus dem Verzeichnis der Datenverarbeitungen erstellt werden.
Ein weiterer Punkt im Datenschutz auf der Website ist die Sache mit den Hinweisen auf Cookies. Die irre Vorgehensweise, bei jedem Seitenabruf eine Cookie-Hinweistafel zu fordern, hat hier ja zu einem Wahn in Europa geführt, der User mehr stört als informiert. Trotzdem ist dieser Zeitpunkt auch eine Möglichkeit, Einwilligungen zur Speicherung personenbezogener Daten einzuholen (die in Cookies ja auch möglich sind). Auch IP-Adressen sind beispielsweise oft personenbezogen. Gestaltet man die Warnmeldung bezüglich Cookies auch DSGVO-konform, gilt diese Einwilligung natürlich auch in dieser Hinsicht.
Ihre Meinung dazu? Schreiben Sie hier!
#DSGVO #Datenschutz #DSG #Löschung #Daten #Auskunft
Newsticker per eMail oder RSS/Feed!
Auch interessant!
Minimale Datenschutzerklärung - Vorlage
Wer eine Website betreibt, die keine Daten verarbeitet, kommt mit einer Minimalvariante einer Datenschutz...
Abmahnungen nach DSGVO (Google Fonts)
In Österreich wird die Abmahnwelle rund um den Einsatz von Google Fonts immer umfangreicher. Insbesondere...
Konsumenten haben mehr Rechte 2022
Die Verbraucherrechte werden weiter gesteigert. Wer ein Gerät als Endkunde kauft, darf ab 2022 zwei Jahre...
Blocker für Cookie-Warnungen
Zwar sind die Cookie-Meldungen auf Websites derzeit meist überflüssig, weil sie wohl erst ab der ePrivacy...
Data Transfer Project
Google, Facebook, Twitter und Microsoft starten gemeinsame Initiative zum Datenaustausch zwischen den Pla...
DSGVO-Spam
Rund um die Datenschutzgrundverordnung sind einige Arbeiten erforderlich, bei unsauber arbeitenden Newsle...
Die DSGVO für Fotografen 2018
Der Datenschutz ist eine tolle Sache für Europäer, leider ist die DSGVO gerade im Bereich der Fotografie ...
Kontaktformulare nach der DSGVO 2018
Die Datenschutzgrundverordnung stellt im Web einige Dinge um, die bisher noch möglich waren. Zuletzt habe...
Newsletter und die DSGVO
Mit dem neuen DSG 2018 und der Datenschutz Grundverordnung der EU wird auch beim Newsletter nachgeschärft...
DSGVO: Web-Dienste und ADV-Verträge
Wer im Internet aktiv ist, hat diverse Verträge mit Dienstleistern, die Daten verarbeiten. Unternehmen mü...
FAQ, Beispiele, Muster-Vorlagen
Immer noch nicht genug vom Datenschutz? Dann haben wir hier noch wichtige Fragen zusammengefasst, Beispie...
Verzeichnis zur Datenverarbeitung
Statt per Meldung an die Datenschutzbehörde und durch DVR-Nummer gekennzeichnet Daten zu verarbeiten soll...