Rechte betroffener Personen (Art. 15 DSGVO)


Vor ein paar Wochen fragte mich ein Freund, wie dass denn nun eigentlich ginge, wenn er wissen wolle welche Firme welche Daten über ihn verarbeite. Dieser Freund hatte mitbekommen, dass ich bei der PrivCom Datenschutz GmbH arbeite. Ich hatte mich aus diesem Grund näher mit der Datenschutz-Grundverordnung (DSGVO), die ja das zentrale Gesetz zum Thema Datenschutz ist, beschäftigt.

Ich erklärte ihm seine Rechte an folgendem Beispiel: Die Firma „Pflegeelfen“ verarbeitet personenbezogene Daten von Ihnen. Die Pflegeelfen vermittelt Pflegefachkräfte. 

Damit diese an Sie vermittelt werden können, brauchen die Pflegeelfen verschiedene Informationen von Ihnen. Dazu gehören zum Beispiel Ihr Name, Ihr Geburtsdatum, Ihre Anschrift, Ihre Mailadresse, Ihre Telefonnummer, Gesundheitsdaten und noch einige andere. 

Nach einiger Zeit fragen Sie sich, welche Ihrer Daten genau von den Pflegeelfen verarbeitet werden. 

Dazu können Sie nun ein Schreiben an die Pflegeelfen aufsetzen und unter anderem um folgende Informationen ersuchen: 

  1. welche personenbezogenen Daten konkret (zum Beispiel Name, Geburtsdatum, medizinische Diagnosen, Anschrift, Beruf …) verarbeitet werden 
  2. welche Kategorien von personenbezogenen Daten 
  3. Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden
  4. zu welchem Zweck diese Daten erhoben und gespeichert werden 
  5. die geplante Speicherdauer beziehungsweise die Kriterien für die Feststellung dieser Dauer
  6. die Herkunft der Daten 
  7. falls eine Datenübermittlung in Drittländer stattfindet, welche Garantien gemäß Art. 46 DSGVO vorgesehen sind

Doch was bedeutet das konkret? 

Kategorien von personenbezogenen Daten sind zum Beispiel allgemeine Personendaten. Dazu gehören Name, Geburtsdatum, Anschrift, Mailadresse, Telefonnummer etc. Aber auch Kennnummern, so wie die Krankenversichertennummer, sind eine Kategorie. 

Empfänger sind Personen, Behörden, Einrichtungen oder andere Stellen, denen personenbezogene Daten offengelegt werden. 

Die Pflegeelfen haben nun maximal vier Wochen Zeit diese Anfrage zu bearbeiten. Diese Frist kann zwar um weitere zwei Monate verlängert werden, allerdings muss auch darüber innerhalb von vier Wochen nach dem Ersuchen informiert werden. 

Ansonsten können Sie sich dann an die zuständige Datenschutzaufsichtsbehörde oder eine Anwältin wenden, die dann das Ersuchen für Sie regelt. Spätestens dann wird den meisten Unternehmen klar, dass das Ganze kein Witz war, sondern durchaus ernst. Die Kosten der Anwältin sind hierbei anschließend vom Unternehmen zu tragen, das keine Auskunft gegeben hat. 

Welche Rechte gibt es noch? 

Mit dem Ersuchen um Auskunft ist es aber noch nicht getan. Ganz am Anfang der Erhebung der Daten müssen Sie schon darüber informiert wer die Daten verarbeitet, ggf. die Kontaktdaten des Datenschutzbeauftragten, den Zweck für den die Daten verarbeitet werden, mit welcher Erlaubnis die Daten verarbeitet werden und ob sie möglicherweise in ein Land außerhalb der EU übermittelt werden (Art. 13 DSGVO). 

Die Informationen müssen präzise, transparent, verständlich und leicht zugänglicher Form an die betroffene Person gegeben werden. Darüberhinaus müssen Sie in leichter Sprache zugänglich gemacht werden, insbesondere, wenn sich die Information an Kinder richten. 

Fortsetzung folgt 🙂