wie wird die Erfüllung der Informationspflichten bei der Geltendmachung von Auskunftsgesuchen in der Praxis am besten gehandhabt?
Wenn es eine Positiv-Auskunft ist, muss mE im Rahmen der Auskunftserteilung keine Information erfolgen, da die Daten beim Unternehmen bereits bekannt sind und die Erfüllung der Informationspflichten an anderer Stelle (Zeitpunkt der Erhebung) erfüllt wurden.
Wie sieht es mit Auskunftsgesuchen aus, zu denen keine Daten im Unternehmen vorliegen?
Zumindest im Rahmen der Beantwortung des Auskunftsgesuchs werden dann ja Daten erhoben und für einen gewissen Zeitraum auch verarbeitet und gespeichert?
Muss der DSB, der das Auskunftgesuch beantwortet, dann eine Datenschutzerklärung mitschicken?
Oder liegt gar keine Erhebung vor? Ich meine mal gelesen zu haben (ich glaube, im Rahmen der Frage: Datenshcutzhinweise bei der Übergabe einer Visitenkarte), dass es eine Meinung gibt, wonach gar keine Erhebung vorliegt, wenn das Unternehmen keine Veranlassung zum Mitteilen der pb Daten gegeben hat. Das wäre bei einer Negativauskunft m.E. auch der Fall.
Die Auskunft würde dann nur Zwecke, Rechtsgrundlagen, Empfänger, Dauer etc. für die Bearbeitung der Auskunft enthalten. Zur Auskunft gehört immer auch das Aufzählen der Betroffenenrechte. Muss noch sichergestellt sein, dass Kontaktdaten des Verantwortlichen und des DSB drin stehen, z. B. als Mailsignatur oder auf dem Briefpapier.
Und alles nach Art. 13 wäre erledigt.
D., der bei jedem Betroffenenrecht darauf hinweist, dass jetzt Daten (auch) zum Zweck der Datenschutzkontrolle verarbeitet werden. Doof, wenn vor Löschanträgen gar nichts vorhanden war, danach aber schon.
Eine Negativauskunft erzeugt eine Datenverarbeitung an einer Stelle an der zuvor keine Daten vorgelegen haben. Das ist an Absurdität eigentlich kaum mehr zu überbieten…
Das wäre doch echt mal eine Herausforderung für die Aufsichtsbehörden.
Manche Aufsichten sagen ja, man soll /darf Daten aus der Bearbeitung von Betroffenenrechten nicht über die Abwicklung hinaus aufbewahren, wegen Art. 11. Das sehe ich nicht so, weil eben Rechenschaftspflicht, auch beziehbar auf Betroffenenrechte.
D., der sich auf 3 Jahre Verjährungsfrist für Ordnungswidrigkeiten festgelegt hat; Art. 6 Abs. 1 lit. c i. V. m. Art. 5 Abs. 2 DSGVO u. § 35 OwiG.
Da hatte ich einen Denkfehler. Im Zeitpunkt der Einsendung könnte man zwar noch argumentieren, dass keine Erhebung vorliegt (da die Daten nicht angefordert wurden). Aber bei der Recherche, ob Daten vorhanden sind, werden sie verarbeitet. Also Erfüllung der Informationspflichten mit der ersten Kontaktaufnahme.
Welche Relevanz hat § 35 OwiG für private Unternehmen, unabhängig davon dass diese Vorschrift nichts zu Aufbewahrungsfristen aussagt? Und sagt nicht der EuGH, dass immer auch die Perspektive der Betroffenen zu beachten ist? Und wenn jemand seine Daten gelöscht haben will, dann umfasst das auch die entsprechende Korrespondenz.