Es würde mich interessieren, wie die Verantwortlichen-Vertreter in der Community mit Anträgen nach Art 15 umgehen. Meine Fragen:
Ohne Anhalt auf vorhandene Daten sollte eine kunden- und bürgerfreundliche Rückfrage zur Konkretisierung des Anliegens gestellt werden. Sehen Sie das auch so?
Setzen Sie als Unternehmen oder als Behörde eine Frist für die Beantwortung? Behörden tragen das Risiko von Untätigkeitsklagen. Gibt es damit Erfahrungen?
Wie lange bewahren Sie die Anträge/die Vorgänge auf ?
Erteilen Sie den Antragsteller*innen Informationen nach Art 13?
zu 1: Wenn in der Anfrage nicht genügend Infos sind um die Person zu identfizieren und Fake-Anfragen von Betrügern etc auszuschließen sollte man rückfragen um Datenschutzvorfälle zu vermeiden. Ansonsten sollte man die Anfrage beantworten
Zu 2: Es gibt Firsten in der die Firma antworten muss - sollte in der Zeit die betroffene Person nicht antworten kann man mal nachfragen - andernfalls hast du alles getan was du kannst du hast in der Frist geantwortet und nachgehakt - die Mails etc hast du als Beleg
Zu 4: Naja die Infos stehen in der DSE, daher verweisen wir entsprechend
Hallo zusammen,
1.1 Nachfrage bei nicht eindeutiger Identifikation der anfragenden Person.
1.2 Nachfrage bei nicht eindeutiger Identifikation der in Betracht kommenden Daten.
2. Frist nach Art.12 Abs. 3 DSGVO: 1 Monat. Wenn nichts dagegen spricht, vorher eine Eingangsbestätigung.
3. Aufbewahrung: 3 Jahre, nach 24. TB NRW (2019), S. 53.
4. Information nach Art. 13: Ja, wenn nicht eindeutig bereits vorher bekannt, im Zweifel mit der Eingangsbestätigung.
Hi,
bei uns geht es genauso wie es @Collonium beschrieben hat. Einzig die Aufbewahrung ist nur 2 Jahre lang. Da halten wir uns an die Orientierungshilfe vom BayLfD zum Recht auf Auskunft (Randnummer 157), da das unsere zuständige Aufsichtsbehörde ist.
Behörden müssen eben nicht die in diesem Fall 3-jährige Verjährungsfrist für Ordnungswidrigkeiten im Blick haben (§ 31 OWiG).
D. dem von der Aufsichtsbehörde NRW schon die Ansicht ins Körbchen gelegt wurde, nach dem Umsetzen von Betroffenenanträgen gar nichts aufbewahren zu dürfen. Der nicht daran denkt, auf diesen Nachweis zur Rechenschaftspflicht zu verzichten, weil die Grundsätze der Datenminimierung und Speicherbegrenzung sich auch mir knapper zweckgebundener Dokumentation einhalten lassen; und Art. 11 DSGVO “ist nicht verpflichtet” sagt, jedoch nicht “darf nicht”.
…bei externen DSB könnte im Innenverhältnis auch noch § 195 BGB (auch 3 Jahre) zur Geltendmachung von privatrechtlichen Ansprüchen aus der Bearbeitung bzw. dem Vorgang in Betracht kommen…
Aber DSB sind nicht Verantwortliche und hätten die korrekte Umsetzung nicht nachzuweisen.
D., der zum Nachweis der erbrachten Leistungen höchstens die Anzahlen (evtl. Datenschutzberichte) führen würde; sonst bräuchte man vollständige Kopien aller Vorgänge. Allerhöchstens Fallnamen und Art des Rechts. Allerallerhöchstens… (Nein. Mehr nicht.)
Behörden bezahlen keine Bußgelder. Sie müssen aber ein Klagerisiko hinsichtlich immateriellen Schadensersatzes im Blick haben.
Also § 195 BGB: regelmäßige Verjährungsfrist von 3 Jahren?
Der Workflow muss die interne Abfrage in allen Abteilungen beinhalten, wo Daten vorhanden sein könnten. Der anzulegende und aufzubewahrende Vorgang muss diese interne Recherche darstellen. Sehen Sie das auch so?
Hallo zusammen,
ich komme auf das Thema zurück, weil die Überschrift passt.
Mich würde interessieren, wie das interne Verfahren zur Erlangung der Informationen in der Praxis aussieht.
In der Regel wird die Aufgabe, Auskunftsansprüche zu beantworten wohl beim DSB hängen bleiben.
Wie geht Ihr vor?
Schreibt Ihr manuell alle Abteilungen an, in denen personenbezogene Daten verarbeitet werden?
Nutzt Ihr eine Software-Lösung?
Danke im Voraus für Eure Einblicke
ja, die Anträge gehen beim DSB ein. Er setzt das Räderwerk manuell in Gang:
In jeder Abteilung ist eine Ansprechperson für den Datenschutz, die dort die Daten recherchiert.
Hat nur eine Abteilung Daten, erteilt diese die Auskunft.
Haben mehr Abteilungen Daten, werden Sie gebündelt und der operative Datenschutz erteilt die Antwort zentral.
Es ist keine originäre Aufgabe des DSB. Er Sie sollte aber informiert werden.
Erfahrungsgemäß ist es kein Massenverfahren bzw. nicht als solches abwickelbar.
danke für Deine Antwort. Das deckt sich mit meinem Ablauf. Allerdings ist es so, dass die Abteilungen mir die Rückmeldungen geben und ich die Antwort erteile.
VG
dedsb
bisherige Erfahrung: Betroffene haben Auskunftsersuchen an andere Stellen als DSB gerichtet. Vielleicht nicht ganz abwegig: Manchmal ist der Wunsch nach Auskunft eine Reaktion auf Post des Absenders/der Absenderin, die bei der betroffenen Person ein ungutes Gefühl auslöst.
Kommt die involvierte Firma/Abteilung wie vorgeschrieben nach Posteingang auf mich zu, übernehme ich die Antwort und lasse mir die Daten zuliefern (oder unterstütze, wenn die Stelle bei der Recherche Hilfe benötigt - bin in der IT tätig).
Kommt die involvierte Firma/Abteilung entgegen der Unternehmensregelungen erst auf mich zu, nachdem das Auskunftersuchen längstverfristet ist, und ist meine erste Information über den Vorgang etwa 6 Wochen nach Posteingang ein Antwortentwurf, der an Schwachsinn nicht zu überbieten ist, lehne ich eine “Zusammenarbeit” in aller Deutlichkeit ab. (Faktisch geht´s dann nämlich nicht um Zusammenarbeit (die war in den 6 Wochen zuvor schließlich auch kein Thema), sondern darum, dem/der DSB die (vermeintliche) “Verantwortung” für den eigenen Mist unterzuschieben.)
Viele Grüße
Trinity
Ich berate auch nur, stelle Fragen (Checkliste an Art. 15 orientiert), kopiere Textbausteine als Vorschlag zusammen. Die Daten selbst sehe ich selten. Will ich eigentlich nicht sehen. Die Auskunft erteilt die angesprochene Einheit. Falls Anträge an den DSB eingehen, trotzdem die zuständige Stelle, weil die auf den Daten sitzt.
In dieser Sache habe ich eine weitere Frage in die Runde:
Ein Auskunftsantrag mit der Bitte um Information über vorhandene Daten enthält lediglich Name, Anschrift, E-Mail-Adresse
Die Recherche ergibt: Es sind sehr heikle Unterlagen vorhanden unter dem Namen und mit der E-Mail-Adresse. Die Anschrift ist jedoch eine andere. Um Kopien wird nicht gebeten.
Wir werden um eine Konkretisierung nach Art 12 Abs. 6 DSGVO bitten.
Wenn wir die Identität zweifelsfrei abgeglichen haben, planen wir die vorhandenen Unterlagen nicht zu beschreiben, sondern nach 15 III herauszugeben.
Meine Fragen:
Wie verfahren Sie beim Identifikationsabgleich? Würden Sie eine E-Mail-Adresse ausreichen lassen?
Haben Sie zum Identifikationsabgleich Erfahrungen mit oder Infos von Ihrer Aufsichtsbehörde?
Wie gehen Sie bei einem Auskunftsantrag vor, bei dem nur um Auskunft über die vorhandenen Daten gebeten wurde und nicht nach Kopien?
Grundsätzlich ist es so, dass eine Kopie immer zu erfolgen hat, Art. 15 (3) DSGVO lautet
“Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung…”
Das bedeutet, dass eine Kopie nicht angefragt werden muss, sondern automatisch zu erfolgen hat und nach derzeitiger Rechtssprechung auch indirekte Daten (Kommunikation über die Betroffene, Gesprächsnotizen) umfasst.
Ich bin der Meinung, dass bezüglich der Identifikation - gerade aus dem Arbeitsrechtlichen Bereich - einige Entscheidungen vorliegen die besagen, dass wenn über den Kommunikationskanal in den letzten 6 (?) Monaten Kontakt bestand, davon auszugehen ist, dass es sich um die Betroffene handelt.
Ich denke aber auch, dass insbesondere wenn die Daten persönlicher/sensibler Natur sind, ihr unabhängig davon nicht falsch verfahrt die Identität nochmals verifizieren zu wollen, dass lässt sich im theoretischen Beschwerdefall der Behörde gegenüber auch eigentlich gut begründen.
Für die Identifikation kenne ich aus der Praxis 4 Methoden (wobei selten hierauf zurückgegriffen wird, da meistens die Kommunikationswege bereits bekannt sind):
Selten genutzte, weil meist unpraktisch: Vorbeikommen und Identifikationspapier vorzeigen (mit internen Vermerk, dass diese gesichtet wurden, keine Kopie).
Nutzung einer dritten Kommunikationsart (z. B. wenn im System eine Telefonnummer hinterlegt ist, anrufen und die Anfrage bestätigen lassen)
Abfrage von bekannten, aber nicht öffentlichen Infos (z. B. die im System vorhandene gespeicherte Steuernummer, oder 2-3 anderer Datenpunkte, quasi wie eine Sicherheitsfrage)
Datenschutzrechtlicher last resort, oder im Falle besonders sensibler Daten: Personalausweiskopie verlangen. Dies muss aber unbedingt auf verschlüsselten Kommunikationswegen geschehen und die Betroffene muss zwingend drauf hingewiesen werden, welche Felder sie schwärzen kann, so empfiehlt es auch das BSI. Auch hier sollte direkt nach Sichtung auch schon die Löschung erfolgen, nachdem ein interner Vermerk angelegt wurde, dass die Identität bestätigt wurde.
Bei der Identifizierung werde ich wohl auf Nummer 3 zurückgreifen müssen, denn die Antragstellerin hat nur den gleichen Namen und die gleiche E-Mail wie aufgefundene - sehr heikle Daten - nicht jedoch die gleiche Anschrift. Andererseits war uns klar, dass die vorhandene Anschrift nur befristet gelten konnte…..
Mit einer Ausweiskopie würde ich nur erfahren, dass Antragsteller und der Ausweisinhaber identisch sind, aber nicht dass Betroffener und der Antragsteller identisch sind.