Das Recht auf Auskunft

Die DSGVO legt sehr genau fest, in welcher Art und Weise einer betroffenen Person vom Verantwortlichen Auskunft über die Verarbeitung der diese Person betreffenden personenbezogenen Daten zu erteilen ist.

Datenauskunft

Die betroffene Person, deren personenbezogene Daten verarbeitet werden, hat das Recht folgende Informationen vom Verantwortlichen zu erhalten:

 die Verarbeitungszwecke;

  1. die Kategorien personenbezogener Daten
  2. die Empfänger oder Kategorien von Empfängern
  3. die geplante Speicherdauer oder die Kriterien für die Festlegung der Speicherdauer;
  4. das Bestehen eines Rechts auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts 
  5. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  6. alle verfügbaren Informationen über die Herkunft der Daten;
  7. das Bestehen einer automatisierten Entscheidungsfindung einschließlichProfiling und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Weiters muss eine Kopie der personenbezogenen Daten zur Verfügung gestellt werden, wobei dadurch Rechte dritter Personen nicht verletzt werden dürfen.

 

ErwG 63 der DSGVO:

Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

 

ErwG 64 der DSGVO:

Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.

Fristen

Die Auskunft ist unverzüglich, jedenfalls aber innerhalb eines Monats nach Eingang des Antrags zu erteilen. 

 

Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

 

Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

 

Wird der Verantwortliche nicht tätig, so informiert dieser die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats  über die Gründe der Untätigkeit und über die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde oder eines gerichtlichen Rechtsbehelfs.

Sanktion

Wenn der Verantwortliche ein Aufkunftsersuchen einer betroffenen Person nicht ordnungsgemäß erfüllt, dann hat diese die Möglichkeit, eine Beschwerde bei der Aufsichtsbehöre einzulegen. 

 

Die Strafdrohung des Art 83 Abs 5 DSGVO bei bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs , je nachdem, welcher der Beträge höher ist.