wie wird die Erfüllung der Informationspflichten bei der Geltendmachung von Auskunftsgesuchen in der Praxis am besten gehandhabt?
Wenn es eine Positiv-Auskunft ist, muss mE im Rahmen der Auskunftserteilung keine Information erfolgen, da die Daten beim Unternehmen bereits bekannt sind und die Erfüllung der Informationspflichten an anderer Stelle (Zeitpunkt der Erhebung) erfüllt wurden.
Wie sieht es mit Auskunftsgesuchen aus, zu denen keine Daten im Unternehmen vorliegen?
Zumindest im Rahmen der Beantwortung des Auskunftsgesuchs werden dann ja Daten erhoben und für einen gewissen Zeitraum auch verarbeitet und gespeichert?
Muss der DSB, der das Auskunftgesuch beantwortet, dann eine Datenschutzerklärung mitschicken?
Oder liegt gar keine Erhebung vor? Ich meine mal gelesen zu haben (ich glaube, im Rahmen der Frage: Datenshcutzhinweise bei der Übergabe einer Visitenkarte), dass es eine Meinung gibt, wonach gar keine Erhebung vorliegt, wenn das Unternehmen keine Veranlassung zum Mitteilen der pb Daten gegeben hat. Das wäre bei einer Negativauskunft m.E. auch der Fall.
Die Auskunft würde dann nur Zwecke, Rechtsgrundlagen, Empfänger, Dauer etc. für die Bearbeitung der Auskunft enthalten. Zur Auskunft gehört immer auch das Aufzählen der Betroffenenrechte. Muss noch sichergestellt sein, dass Kontaktdaten des Verantwortlichen und des DSB drin stehen, z. B. als Mailsignatur oder auf dem Briefpapier.
Und alles nach Art. 13 wäre erledigt.
D., der bei jedem Betroffenenrecht darauf hinweist, dass jetzt Daten (auch) zum Zweck der Datenschutzkontrolle verarbeitet werden. Doof, wenn vor Löschanträgen gar nichts vorhanden war, danach aber schon.
Eine Negativauskunft erzeugt eine Datenverarbeitung an einer Stelle an der zuvor keine Daten vorgelegen haben. Das ist an Absurdität eigentlich kaum mehr zu überbieten…
Das wäre doch echt mal eine Herausforderung für die Aufsichtsbehörden.
Manche Aufsichten sagen ja, man soll /darf Daten aus der Bearbeitung von Betroffenenrechten nicht über die Abwicklung hinaus aufbewahren, wegen Art. 11. Das sehe ich nicht so, weil eben Rechenschaftspflicht, auch beziehbar auf Betroffenenrechte.
D., der sich auf 3 Jahre Verjährungsfrist für Ordnungswidrigkeiten festgelegt hat; Art. 6 Abs. 1 lit. c i. V. m. Art. 5 Abs. 2 DSGVO u. § 35 OwiG.
Da hatte ich einen Denkfehler. Im Zeitpunkt der Einsendung könnte man zwar noch argumentieren, dass keine Erhebung vorliegt (da die Daten nicht angefordert wurden). Aber bei der Recherche, ob Daten vorhanden sind, werden sie verarbeitet. Also Erfüllung der Informationspflichten mit der ersten Kontaktaufnahme.
Welche Relevanz hat § 35 OwiG für private Unternehmen, unabhängig davon dass diese Vorschrift nichts zu Aufbewahrungsfristen aussagt? Und sagt nicht der EuGH, dass immer auch die Perspektive der Betroffenen zu beachten ist? Und wenn jemand seine Daten gelöscht haben will, dann umfasst das auch die entsprechende Korrespondenz.
Moin moin, ich halte es genauso. Die Auskunft und die dazugehörige Korrespondenz wandert nach Erledigung für 3 Jahre ins Archiv um bei Anfragen der Datenschutzbehörden bzw. Beschwerden der Betroffenen wegen mangelhafter Umsetzung die konforme Umsetzung nachweisen zu können.
Grüße, Allons!
Zur Aufbewahrungsfrist von 3 Jahren gibt es eine Stelle im 24. TB der Aufsichtsbehörde LDI NRW auf Seite 53:
Auskunftsersuchen und ihre Erledigung sind nicht so lange aufzubewahren wie Unterlagen für steuerliche oder handelsrechtliche Zwecke. Die Aufbewahrungsfrist richtet sich vielmehr nach der Überprüfungsmöglichkeit durch die Datenschutzaufsichtsbehörden. Da die Verfolgungsverjährung drei Jahre beträgt, wäre eine gleichlaufende Aufbewahrungsfrist angemessen.
Eine Aufbewahrungspflicht bei Negativauskünften – das heißt die Auskunft, dass zu einer Person keine Daten vorliegen – ist nicht gegeben. Es besteht aber eine Berechtigung zur Aufbewahrung, um im Falle der Kontrolle durch die Datenschutzaufsicht die Pflichterfüllung nachweisen zu können. Drei Jahre dürften auch in diesen Fällen die Höchstgrenze bilden.
So auch BayLDA in einer Antwort auf eine Frage des GDD-Erfa-Kreises Coburg (https://dataagenda.de/hinweispflichten-bei-auskunftsbegehren/):
“… Für die Aufbewahrung von Auskunfts-E-Mails gibt es derzeit noch keine Festlegungen. Wir halten 3 Jahre für ausreichend.”
Bei der Bearbeitung des Löschkonzeptes standen wir vor der gleichen Frage: Wie lange bewahren wir Anschreiben und die daraus folgenden Dokumente nach Geltendmachung eines Betroffenenrechts auf?
Wir haben uns dabei an § 31 OWiG Abs. (2) Nr. 1orientiert.