Es würde mich interessieren, wie die Verantwortlichen-Vertreter in der Community mit Anträgen nach Art 15 umgehen. Meine Fragen:
Ohne Anhalt auf vorhandene Daten sollte eine kunden- und bürgerfreundliche Rückfrage zur Konkretisierung des Anliegens gestellt werden. Sehen Sie das auch so?
Setzen Sie als Unternehmen oder als Behörde eine Frist für die Beantwortung? Behörden tragen das Risiko von Untätigkeitsklagen. Gibt es damit Erfahrungen?
Wie lange bewahren Sie die Anträge/die Vorgänge auf ?
Erteilen Sie den Antragsteller*innen Informationen nach Art 13?
zu 1: Wenn in der Anfrage nicht genügend Infos sind um die Person zu identfizieren und Fake-Anfragen von Betrügern etc auszuschließen sollte man rückfragen um Datenschutzvorfälle zu vermeiden. Ansonsten sollte man die Anfrage beantworten
Zu 2: Es gibt Firsten in der die Firma antworten muss - sollte in der Zeit die betroffene Person nicht antworten kann man mal nachfragen - andernfalls hast du alles getan was du kannst du hast in der Frist geantwortet und nachgehakt - die Mails etc hast du als Beleg
Zu 4: Naja die Infos stehen in der DSE, daher verweisen wir entsprechend
Hallo zusammen,
1.1 Nachfrage bei nicht eindeutiger Identifikation der anfragenden Person.
1.2 Nachfrage bei nicht eindeutiger Identifikation der in Betracht kommenden Daten.
2. Frist nach Art.12 Abs. 3 DSGVO: 1 Monat. Wenn nichts dagegen spricht, vorher eine Eingangsbestätigung.
3. Aufbewahrung: 3 Jahre, nach 24. TB NRW (2019), S. 53.
4. Information nach Art. 13: Ja, wenn nicht eindeutig bereits vorher bekannt, im Zweifel mit der Eingangsbestätigung.
Hi,
bei uns geht es genauso wie es @Collonium beschrieben hat. Einzig die Aufbewahrung ist nur 2 Jahre lang. Da halten wir uns an die Orientierungshilfe vom BayLfD zum Recht auf Auskunft (Randnummer 157), da das unsere zuständige Aufsichtsbehörde ist.
Behörden müssen eben nicht die in diesem Fall 3-jährige Verjährungsfrist für Ordnungswidrigkeiten im Blick haben (§ 31 OWiG).
D. dem von der Aufsichtsbehörde NRW schon die Ansicht ins Körbchen gelegt wurde, nach dem Umsetzen von Betroffenenanträgen gar nichts aufbewahren zu dürfen. Der nicht daran denkt, auf diesen Nachweis zur Rechenschaftspflicht zu verzichten, weil die Grundsätze der Datenminimierung und Speicherbegrenzung sich auch mir knapper zweckgebundener Dokumentation einhalten lassen; und Art. 11 DSGVO “ist nicht verpflichtet” sagt, jedoch nicht “darf nicht”.
…bei externen DSB könnte im Innenverhältnis auch noch § 195 BGB (auch 3 Jahre) zur Geltendmachung von privatrechtlichen Ansprüchen aus der Bearbeitung bzw. dem Vorgang in Betracht kommen…
Aber DSB sind nicht Verantwortliche und hätten die korrekte Umsetzung nicht nachzuweisen.
D., der zum Nachweis der erbrachten Leistungen höchstens die Anzahlen (evtl. Datenschutzberichte) führen würde; sonst bräuchte man vollständige Kopien aller Vorgänge. Allerhöchstens Fallnamen und Art des Rechts. Allerallerhöchstens… (Nein. Mehr nicht.)
Behörden bezahlen keine Bußgelder. Sie müssen aber ein Klagerisiko hinsichtlich immateriellen Schadensersatzes im Blick haben.
Also § 195 BGB: regelmäßige Verjährungsfrist von 3 Jahren?
Der Workflow muss die interne Abfrage in allen Abteilungen beinhalten, wo Daten vorhanden sein könnten. Der anzulegende und aufzubewahrende Vorgang muss diese interne Recherche darstellen. Sehen Sie das auch so?