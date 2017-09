Die DSGVO – Datenschutzgrundverordnung – steht in den Startlöchern. Doch wie muss eine Datenschutzerklärung künftig aussehen? Dieser Artikel liefert alle Antworten.

Auch wenn wir im Rahmen dieses Ratgebers schon viele rechtliche Vorgaben und Formalien besprochen haben, bitte ich noch ein letztes Mal um deine volle Aufmerksamkeit. Denn zum Abschluss geht es zum einem um die Datenschutzerklärung, also das „datenschutzrechtliche Aushängeschild“ eines Unternehmens. Da Fehler auch hier mit einem Bußgeld von bis zu vier Prozent des Jahresumsatzes und Abmahnungen geahndet werden können, ist besondere Sorgfalt geboten.

Zuvor geht es aber um die nicht minder wichtigen Rechte der von der Datenverarbeitung betroffenen Personen. Dazu gehören unter anderem das bekannte (und zumindest bei Unternehmen wenig beliebte) Auskunftsrecht, aber auch Neuheiten wie das Recht auf Vergessenwerden oder auf Datenübertragbarkeit.

Auskunftsrecht

Ohne Vorbereitung kann ein Auskunftsverlangen sehr viel Arbeit bereiten.

Die betroffenen Personen können jederzeit eine Auskunft darüber verlangen, ob und welche Daten zu welchen Zwecken verarbeitet und an wen auf welcher Grundlage sie weitergegeben werden (Art. 15 DSGVO). Zusätzlich haben sie auch ein Recht, eine Kopie ihrer Daten zu erhalten. Nur, wenn der Datenbestand sehr groß ist (zum Beispiel bei einem sozialen Netzwerk), dürfen die Nutzer gebeten werden, deren Auskunft auf bestimmte Verarbeitungsverfahren oder Datenarten zu konkretisieren.

Wenn ein Unternehmen nicht darauf vorbereitet ist, eine derartige Auskunft per Knopfdruck zu generieren, dann kann sie viele Mannstunden in Anspruch nehmen. Das heißt, wer heute Systeme aufsetzt und Software entwickelt, sollte eine Auskunftsfunktion mit einbauen und zur Auskunft geeignete Daten kennzeichnen.

Die Auskunft muss darüber hinaus unverzüglich erfolgen und soll nicht länger als einen Monat dauern. Wer nicht im Voraus geplant hat, muss dabei jeweils Daten aussieben oder „schwärzen“, die Informationen über Dritte oder Geschäftsgeheimnisse beinhalten.

Doch auch wenn die Daten bereitliegen, kann es häufig unklar sein, ob die Auskunftsteller die sind, für die sie sich ausgeben.

Anzeige

Prüfung der Identität

Auch wenn die Identitätsprüfung den Antragstellern dient, ist Zurückhaltung geboten.

Als „Verantwortlicher“ bist du bei Auskünften in einem Dilemma. Zum einen wäre es ein Datenschutzverstoß, eine Auskunft an eine unberechtigte Person zu erteilen. Zum anderen erlaubt das Gesetz die Identität der Antragsteller nur bei „berechtigten Zweifeln“ zu prüfen und dann auch nur so wenige Informationen wie möglich zu fordern.

Keine berechtigten Zweifel liegen vor, wenn der Nutzer eines Online-Portals oder einer App seine E-Mail verifiziert hat oder der Kunde eines Onlineshops per Kreditkarte oder Überweisung gezahlt hat.

In anderen Fällen, zum Beispiel wenn die Auskunft über eine neue E-Mailadresse kommt oder keine Verifizierung voranging, solltest du einen Nachweis der Identität fordern. Das heißt jedoch nicht, dass eine vollständige Kopie des Personalausweises oder eines Führerscheins verlangt werden darf. Dabei würden beispielsweise Informationen wie die Personalausweisnummer mit verlangt, die nicht notwendig sind. Wenn überhaupt sollte also eine Kopie des Personalausweises nur mit Hinweis darauf verlangt werden, dass bis auf Namen, Foto und Adresse alle übrigen Angaben geschwärzt werden müssen.

Angesichts dieses Aufwandes liegt es nahe zu fragen, ob für die Auskunft eine Gebühr verlangt werden darf.