Eine betroffene Person verlangt verschiedene Auskünfte zu den über sie gespeicherten Daten (woher, Zweck, Weitergabe, Speicherdauer), zudem “Welche Sicherheitsmaßnahmen werden angewendet, um meine Daten zu schützen?”.
In den Artikeln 13 bis 15 DSGVO wird keine Informationspflicht zu technischen und organisatorischen Schutzmaßnahmen von personenbezogenen Daten aufgeführt. Soweit auf Artikel 46, 47 und 49 verwiesen wird geht es dort auch nur um die Gewahrleistung von Betroffenenrechten wie in Art. 13-15 beschrieben.
Insofern würde ich der betroffenen Person zu ihrem diesbezüglichen Auskunftsverlagen höflich absagen.
Die einzige Stelle, wo Auskunft über TOMs gegenüber Betroffenen erteilt werden muß ist Art. 34 DSGVO, aber ein solcher Fallliegt hier nicht vor.
Oder habe ich etwas übersehen?
Es gibt keine Informationspflicht.
Nur eine interne Dokumentationspflicht. Die TOM gehen nur den Verantwortlichen (was bei Auftragsverarbeitung der Auftraggeber wäre) und die Aufsichtsbehörde was an.
Bei der Benachrichtigungspflicht nach Art. 34 muss man schreiben, was schief gelaufen ist, kann relativieren, was man alles dagegen unternommen hat usw. Nur dort sehe ich eine Stelle, wo TOM teilweise angegeben werden müssen.
Freiwillig ist die Information natürlich immer möglich. Nur sollte man sich dabei nicht zu weit aus dem Fenster lehnen, weil es als verbindliche Zusicherung o. ä. aufgefasst werden könnte.
Ähnlich sieht es mit Folgenabschätzungen aus, deren Herausgabe manchmal verlangt wird. Auch die unterliegen keiner Veröffentlichungspflicht. Wenn auch Autoren zum Thema empfehlen /erwarten, sie so weit wie möglich zu veröffentlichen, wegen Transparenz.
D., der schon zufrieden ist, wenn wenigstens intern passende TOM vorgesehen wurden.
Betroffene Personen haben keinen Anspruch auf detaillierte TOM. Sie können erfahren, das ses angemessene TOM gibt und aus Kulanz oder Werbezwecke können diese grob skizziert werden (wie setzen 2FA) ein"), aber die Angabe aus Art. 30 wäre nur etwas zur Vorlage bei der Aufsicht, auch bei Art. 34 geht nur NACH einem Vorfall darum, darzulegen, was passiert ist und welche Maßnahmen der betroffenen Person empfohlen werden.
Allenfalls, um sich selbst bei einem Vorfall zu entlasten, könnte erwogen werden, Details der Schutzmaßnahmen mitzuteilen - aber das sehe ich als Ausnahmefall und darauf zielte Ihre Frage mutmaßlich nicht ab.
Zustimmung. Ich würde TOM mitteilen, wenn es hilft, die Sache zu erledigen und interne Vorgaben etc. nicht verletzt, aber einen Anspruch sehe ich da auch nicht.