Es würde mich interessieren, wie die Verantwortlichen-Vertreter in der Community mit Anträgen nach Art 15 umgehen. Meine Fragen:
Ohne Anhalt auf vorhandene Daten sollte eine kunden- und bürgerfreundliche Rückfrage zur Konkretisierung des Anliegens gestellt werden. Sehen Sie das auch so?
Setzen Sie als Unternehmen oder als Behörde eine Frist für die Beantwortung? Behörden tragen das Risiko von Untätigkeitsklagen. Gibt es damit Erfahrungen?
Wie lange bewahren Sie die Anträge/die Vorgänge auf ?
Erteilen Sie den Antragsteller*innen Informationen nach Art 13?
zu 1: Wenn in der Anfrage nicht genügend Infos sind um die Person zu identfizieren und Fake-Anfragen von Betrügern etc auszuschließen sollte man rückfragen um Datenschutzvorfälle zu vermeiden. Ansonsten sollte man die Anfrage beantworten
Zu 2: Es gibt Firsten in der die Firma antworten muss - sollte in der Zeit die betroffene Person nicht antworten kann man mal nachfragen - andernfalls hast du alles getan was du kannst du hast in der Frist geantwortet und nachgehakt - die Mails etc hast du als Beleg
Zu 4: Naja die Infos stehen in der DSE, daher verweisen wir entsprechend
Hallo zusammen,
1.1 Nachfrage bei nicht eindeutiger Identifikation der anfragenden Person.
1.2 Nachfrage bei nicht eindeutiger Identifikation der in Betracht kommenden Daten.
2. Frist nach Art.12 Abs. 3 DSGVO: 1 Monat. Wenn nichts dagegen spricht, vorher eine Eingangsbestätigung.
3. Aufbewahrung: 3 Jahre, nach 24. TB NRW (2019), S. 53.
4. Information nach Art. 13: Ja, wenn nicht eindeutig bereits vorher bekannt, im Zweifel mit der Eingangsbestätigung.
Hi,
bei uns geht es genauso wie es @Collonium beschrieben hat. Einzig die Aufbewahrung ist nur 2 Jahre lang. Da halten wir uns an die Orientierungshilfe vom BayLfD zum Recht auf Auskunft (Randnummer 157), da das unsere zuständige Aufsichtsbehörde ist.
Behörden müssen eben nicht die in diesem Fall 3-jährige Verjährungsfrist für Ordnungswidrigkeiten im Blick haben (§ 31 OWiG).
D. dem von der Aufsichtsbehörde NRW schon die Ansicht ins Körbchen gelegt wurde, nach dem Umsetzen von Betroffenenanträgen gar nichts aufbewahren zu dürfen. Der nicht daran denkt, auf diesen Nachweis zur Rechenschaftspflicht zu verzichten, weil die Grundsätze der Datenminimierung und Speicherbegrenzung sich auch mir knapper zweckgebundener Dokumentation einhalten lassen; und Art. 11 DSGVO “ist nicht verpflichtet” sagt, jedoch nicht “darf nicht”.
…bei externen DSB könnte im Innenverhältnis auch noch § 195 BGB (auch 3 Jahre) zur Geltendmachung von privatrechtlichen Ansprüchen aus der Bearbeitung bzw. dem Vorgang in Betracht kommen…
Aber DSB sind nicht Verantwortliche und hätten die korrekte Umsetzung nicht nachzuweisen.
D., der zum Nachweis der erbrachten Leistungen höchstens die Anzahlen (evtl. Datenschutzberichte) führen würde; sonst bräuchte man vollständige Kopien aller Vorgänge. Allerhöchstens Fallnamen und Art des Rechts. Allerallerhöchstens… (Nein. Mehr nicht.)
Behörden bezahlen keine Bußgelder. Sie müssen aber ein Klagerisiko hinsichtlich immateriellen Schadensersatzes im Blick haben.
Also § 195 BGB: regelmäßige Verjährungsfrist von 3 Jahren?
Der Workflow muss die interne Abfrage in allen Abteilungen beinhalten, wo Daten vorhanden sein könnten. Der anzulegende und aufzubewahrende Vorgang muss diese interne Recherche darstellen. Sehen Sie das auch so?
Hallo zusammen,
ich komme auf das Thema zurück, weil die Überschrift passt.
Mich würde interessieren, wie das interne Verfahren zur Erlangung der Informationen in der Praxis aussieht.
In der Regel wird die Aufgabe, Auskunftsansprüche zu beantworten wohl beim DSB hängen bleiben.
Wie geht Ihr vor?
Schreibt Ihr manuell alle Abteilungen an, in denen personenbezogene Daten verarbeitet werden?
Nutzt Ihr eine Software-Lösung?
Danke im Voraus für Eure Einblicke
ja, die Anträge gehen beim DSB ein. Er setzt das Räderwerk manuell in Gang:
In jeder Abteilung ist eine Ansprechperson für den Datenschutz, die dort die Daten recherchiert.
Hat nur eine Abteilung Daten, erteilt diese die Auskunft.
Haben mehr Abteilungen Daten, werden Sie gebündelt und der operative Datenschutz erteilt die Antwort zentral.
Es ist keine originäre Aufgabe des DSB. Er Sie sollte aber informiert werden.
Erfahrungsgemäß ist es kein Massenverfahren bzw. nicht als solches abwickelbar.
danke für Deine Antwort. Das deckt sich mit meinem Ablauf. Allerdings ist es so, dass die Abteilungen mir die Rückmeldungen geben und ich die Antwort erteile.
VG
dedsb
bisherige Erfahrung: Betroffene haben Auskunftsersuchen an andere Stellen als DSB gerichtet. Vielleicht nicht ganz abwegig: Manchmal ist der Wunsch nach Auskunft eine Reaktion auf Post des Absenders/der Absenderin, die bei der betroffenen Person ein ungutes Gefühl auslöst.
Kommt die involvierte Firma/Abteilung wie vorgeschrieben nach Posteingang auf mich zu, übernehme ich die Antwort und lasse mir die Daten zuliefern (oder unterstütze, wenn die Stelle bei der Recherche Hilfe benötigt - bin in der IT tätig).
Kommt die involvierte Firma/Abteilung entgegen der Unternehmensregelungen erst auf mich zu, nachdem das Auskunftersuchen längstverfristet ist, und ist meine erste Information über den Vorgang etwa 6 Wochen nach Posteingang ein Antwortentwurf, der an Schwachsinn nicht zu überbieten ist, lehne ich eine “Zusammenarbeit” in aller Deutlichkeit ab. (Faktisch geht´s dann nämlich nicht um Zusammenarbeit (die war in den 6 Wochen zuvor schließlich auch kein Thema), sondern darum, dem/der DSB die (vermeintliche) “Verantwortung” für den eigenen Mist unterzuschieben.)
Viele Grüße
Trinity
Ich berate auch nur, stelle Fragen (Checkliste an Art. 15 orientiert), kopiere Textbausteine als Vorschlag zusammen. Die Daten selbst sehe ich selten. Will ich eigentlich nicht sehen. Die Auskunft erteilt die angesprochene Einheit. Falls Anträge an den DSB eingehen, trotzdem die zuständige Stelle, weil die auf den Daten sitzt.