Seit 25. Mai 2018 ist die DSGVO europaweit anwendbares Recht. Ob Kunde, Online-Nutzer oder Patient – jeder kann als sogenannte „betroffene Person” von erweiterten Auskunftsrechten Gebrauch machen. Verstoßen Unternehmen gegen dieses Auskunftsrecht, drohen Bußgelder von bis zu 20 Mio. Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr– je nachdem, welcher Betrag höher ist.
Worüber müssen Unternehmen Auskunft geben?
Betroffene Personen können bereits Informationen darüber verlangen, ob ein Unternehmen überhaupt personenbezogene Daten von ihnen verarbeitet. Sollte ein Unternehmen personenbezogene Daten der betroffenen Person verarbeiten, so sind grundsätzlich weitere Auskünfte zu erteilen: Zu welchem Zweck werden diese verarbeitet? Wer hat sie bisher empfangen und wer soll sie künftig bekommen? Wie lange werden die personenbezogenen Daten gespeichert und welche Kriterien haben zur Festlegung dieser Zeitspanne geführt? Soweit die Daten nicht bei der betroffenen Person erhoben worden sind, so ist auch die Herkunft der Daten der betroffenen Person mitzuteilen. Ein Auskunftsersuchen muss zudem grundsätzlich innerhalb eines Monates beantwortet werden – gerade für unvorbereitete Unternehmen ist es oftmals nicht einfach, die entsprechenden Informationen in dieser Zeit zusammenzutragen.
Koordinierte Aktion der Datenschutzaufsichtsbehörden
Eine koordinierte Aktion des Europäischen Datenschutzausschusses (EDSA) im Rahmen Coordinated Enforcement Frameworks ist in diesem Jahr dem Thema Auskunftsrecht gewidmet. Die Landesdatenschutzaufsichtsbehörden aus Bayern, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, dem Saarland und Schleswig-Holstein sowie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beteiligen sich in Deutschland daran. Unternehmen haben mit verschiedenartigen Prüfungen zu rechnen. Die Aufsichtsbehörden kündigten an, zuerst mit strukturierten Fragebögen zu arbeiten, auf deren Basis dann weitere Prüfungen folgen können.
Externe Datenschutzbeauftragte bereiten auf Prüfung vor
„Beim Auskunftsrecht gibt es viele Fallstricke. Klare Kommunikationswege sowie gelebte und dokumentierte Datenschutzprozesse sind entscheidend, um ein Auskunftsersuchen fristgerecht, zutreffend und vollständig beantworten zu können. Daher sollten Unternehmen jetzt noch einmal genau prüfen, ob sie alle von der DSGVO geforderten Maßnahmen ergriffen haben”, rät Dr. Max-Hendrik Böttcher, Datenschutzexperte von TÜV SÜD. „Externe Datenschutzbeauftragte, wie wir sie von TÜV SÜD stellen, begleiten und koordinieren alle Aspekte des Datenschutzes in Unternehmen. Aktuell richten sie besonderes Augenmerk auf die bestehenden Vorgehensweisen und Dokumente hinsichtlich des Auskunftsrechts. Damit können hohe Bußgelder vermieden werden.”
Weitere Informationen zum Angebot von TÜV SÜD rund um das Thema Datenschutz finden Sie unter https://www.tuvsud.com/de-de/dienstleistungen/cyber-security/datenschutz.