Rechte betroffener Personen (Art. 15 DSGVO)

Vor ein paar Wochen fragte mich ein Freund, wie dass denn nun eigentlich ginge, wenn er wissen wolle, welche Firmen welche Daten über ihn verarbeiten. Dieser Freund hatte erfahren, dass ich bei der PrivCom Datenschutz GmbH arbeite. Ich hatte mich aus diesem Grund näher mit der Datenschutz-Grundverordnung (DSGVO), die ja das zentrale Gesetz zum Thema Datenschutz ist, beschäftigt.

Die Rechte betroffener Personen nach der DSGVO

Ich erklärte ihm seine Rechte an folgendem Beispiel: Die Firma „Pflegeelfen“ verarbeitet personenbezogene Daten von Ihnen. Die Pflegeelfen vermittelt Pflegefachkräfte. 

Damit diese an Sie vermittelt werden können, brauchen die Pflegeelfen verschiedene Informationen von Ihnen. Dazu gehören zum Beispiel Ihr Name, Ihr Geburtsdatum, Ihre Anschrift, Ihre Mailadresse, Ihre Telefonnummer, Gesundheitsdaten und noch einige andere. 

Nach einiger Zeit fragen Sie sich, welche Ihrer Daten genau von den Pflegeelfen verarbeitet werden. 

Art. 15 DSGVO

Dazu können Sie nun ein Schreiben an die Pflegeelfen aufsetzen und unter anderem um folgende Informationen ersuchen: 

1. Welche personenbezogenen Daten konkret (zum Beispiel Name, Geburtsdatum, medizinische Diagnosen, Anschrift, Beruf …) verarbeitet werden;
2. Welche Kategorien von personenbezogenen Daten verarbeitet werden;
3. Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden;
4. Zu welchem Zweck die Daten erhoben und gespeichert werden;
5. Die geplante Speicherdauer bzw. die Kriterien für die Feststellung der Speicherdauer;
6. Die Herkunft der Daten;
7. Falls eine Datenübermittlung in Drittländer stattfindet, welche Garantien gemäß Art. 46 DSGVO vorgesehen sind.

Doch was bedeutet das konkret? 

Kategorien von personenbezogenen Daten sind zum Beispiel allgemeine Personendaten. Dazu gehören Name, Geburtsdatum, Anschrift, Mailadresse, Telefonnummer etc. Aber auch Kennnummern, so wie die Krankenversichertennummer, sind eine Kategorie. 

Empfänger sind Personen, Behörden, Einrichtungen, Dienstleister oder andere Stellen, denen personenbezogene Daten offengelegt werden. 

Die Pflegeelfen in meinem Beispiel haben nun maximal vier Wochen Zeit diese Anfrage zu bearbeiten. Diese Frist kann zwar um weitere zwei Monate verlängert werden, allerdings müssen Sie auch darüber innerhalb von vier Wochen nach Eingang der Anfrage informieren. 

Ansonsten können Sie sich dann an die zuständige Datenschutzaufsichtsbehörde oder eine Anwältin wenden, die die weitere Kommunikation mit dem Unternehmen für Sie regelt. Spätestens dann wird den meisten Unternehmen klar, dass das Ganze kein Witz war, sondern durchaus ernst. Wichtig: die Kosten der Anwältin muss anschließend das Unternehmen tragen, das keine Auskunft gegeben hat. 

Welche Rechte gibt es noch? 

Mit dem Ersuchen um Auskunft ist es aber noch nicht getan. Ganz am Anfang der Erhebung der Daten müssen Sie weitere, allgemeine Informationen erhalten:

1. Die Kontakdaten des/der Datenschutzbeauftragten (sofern vorhanden);
2. Informationen zum Zweck der Datenverarbeitung;
3. Die Erlaubnis für die Datenverarbeitung (Rechtsgrundlage);
4. Bei welcher Stelle Sie sich beschweren können, falls Sie einen unrechtmäßigen Umgang mit Ihren Daten vermuten.

Die Informationen müssen präzise, transparent, verständlich und leicht zugänglicher Form an die betroffene Person gegeben werden. Darüberhinaus müssen Sie in leichter Sprache zugänglich gemacht werden, insbesondere, wenn sich die Information an Kinder richten.