Menü

DSGVO: So nutzen Sie Ihre Auskunftsrechte

Mit der DSGVO haben Sie bessere Möglichkeiten, Auskunft über die Verarbeitung Ihrer Daten von Unternehmen, Behörden und Vereinen in ganz Europa zu verlangen.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 100 Beiträge

(Bild: Ivan Marc / shutterstock.com)

Von

Die Datenschutz-Grundverordnung der EU regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen grundsätzlich neu. Vor einem Jahr war es dann soweit: Die DSGVO trat nach einer zweijährigen Übergangsfrist endgültig in Kraft. Im Schwerpunkt Ein Jahr DSGVO: eine erste Bilanz ziehen wir ein erstes Fazit über die Auswirkungen und stellen die Änderungen auf den Prüfstand.

Nicht jedes Recht, das mit der Datenschutz-Grundverordnung (DSGVO) kommt, ist wirklich neu. So konnte man in Deutschland nach der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) bereits Auskunft über die Datenverarbeitung verlangen. Dieses Recht war jedoch gegenüber der neuen Regelung deutlich eingeschränkter und nur bei Institutionen mit Sitz in Deutschland möglich. Wer beispielsweise von Unternehmen mit Sitz in einem anderen EU-Mitgliedsstaat Auskunft über die Art und Weise der Verarbeitung seiner Daten verlangte, hatte aufgrund der uneinheitlichen Gesetzeslage große Mühe, an die gewünschten Informationen zu gelangen.

Schwerpunkt: Ein Jahr DSGVO – eine Bilanz

(Bild: mixmagic / shutterstock.com)

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung endgültig in Kraft - und löste trotz zwei Jahren Zeit für Vorbereitungen große Unsicherheit bei Anbietern und Nutzern aus. Nach einem Jahr zeigt die Bilanz, welche Auswirkungen die DSGVO hatte und was sich eigentlich Entscheidendes geändert hat.

Das neue Auskunftsrecht nach Artikel 15 DSGVO ist zu deutlich mehr in der Lage als Verbraucher mit ein paar zusätzlichen Informationen auszustatten. Vielmehr stellt dieses Recht nun das wirksamste Werkzeug gegen die Datensammelwut großer Unternehmen dar. Um den Ansatz der Datenmaximierung zu verstehen, muss zunächst jedoch ein Schritt zurückgegangen werden.

Anfang dieses Jahrzehnts wurde das massenhafte Speichern von Daten zum neuen Trend auserkoren. Vor allem das Speichern von personenbezogenen Daten ist eine typische Anwendung für Big Data. Die Idee: Wenn man von einer ausreichend großen Masse an Personen möglichst viele Daten speichert und diese anschließend auswertet, lassen sich das Konsumverhalten, Vorlieben und politische Entscheidungen vorhersagen und sogar beeinflussen.

Dass dies kein weit hergeholtes Science-Fiction-Szenario ist, zeigen jüngste Datenskandale wie der um das britische Datenanalyse-Unternehmen Cambridge Analytica. Es nutzte einen Exploit in der App-Struktur von Facebook aus, um an die Daten von bis zu 87 Millionen Facebook-Nutzern zu gelangen. Diese Daten wiederum spielten eine große Rolle im Social-Media-Wahlkampf des republikanischen Präsidentschaftskandidaten Donald Trump. Wie groß der Anteil von Cambridge Analytica an dessen Sieg ist, lässt sich nicht mehr nachvollziehen. Dass der Wahlkampf in den sozialen Netzwerken von Trump gewonnen wurde, ist jedoch unbestritten.

Das c't-Sonderheft zur DSGVO

Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.

mehr anzeigen

Das Erfolgsgeheimnis von Big Data besteht also in der Speicherung und Auswertung von möglichst vielen Nutzerdaten. Die DSGVO hingegen soll das genaue Gegenteil bezwecken und schreibt Datenverarbeitern die größtmögliche Sparsamkeit bei der Erhebung von Daten vor.

Mit dem neuen Auskunftsrecht aus der DSGVO besteht nun die Möglichkeit, aktiv zu überprüfen, ob der Grundsatz der Datensparsamkeit und viele andere Vorschriften eingehalten werden. Denn jeder Betroffene kann nun erfragen, welche Kategorien personenbezogener Daten gespeichert und verarbeitet werden, also beispielsweise der Name, die Anschrift oder das Geburtsdatum und sich diese Daten kostenfrei als Kopie zur Verfügung stellen lassen. Ein Augenmerk sollte dabei stets auf die besonderen Kategorien personenbezogener Daten gelegt werden. Das sind äußerst sensible Daten wie medizinische Befunde, die sexuelle Orientierung oder die Zugehörigkeit zu Religionsgemeinschaften. Diese Daten dürfen nur unter sehr engen Voraussetzungen gespeichert und verarbeitet werden.

Doch nicht nur die Einhaltung der Datensparsamkeit lässt sich mit dem Auskunftsrecht überprüfen. Datenverarbeiter müssen auch Auskünfte erteilen, die einen Einblick in die Einhaltung vieler gesetzlicher Pflichten aus der DSGVO gewähren. Dazu gehört unter anderem, wer personenbezogene Daten bislang empfangen hat und in Zukunft noch empfangen wird, die geplante Dauer der Speicherung der Daten sowie deren Herkunft.

Personenbezogene Daten dürfen nur von dazu berechtigten Bearbeitern empfangen werden. Daten sämtlichen Personen innerhalb derselben Institution zur Verfügung zu stellen, wäre ein Verstoß gegen das Gebot der Datenminimierung. Bei dem Rückgriff auf externe Datenverarbeiter schreibt die DSGVO den Abschluss eines Vertrages über die Auftragsverarbeitung vor. Zuletzt muss für die Betroffenen die Herkunft der Daten nachvollziehbar sein, da für jede Erhebung oder Speicherung von Daten eine Einwilligung oder anderweitige Rechtfertigung vorliegen muss.

Darüber hinaus ermöglicht das Auskunftsrecht tiefe Einblicke in den geschäftlichen Betrieb der Datenverarbeiter und lässt damit auch Rückschlüsse auf das Verantwortungsbewusstsein beim Umgang mit personenbezogenen Daten zu. Verbraucher können sich daher auch über die Zwecke der Verarbeitung ihrer Daten informieren lassen. Online-Shops müssen entsprechend ihren Kunden Auskunft erteilen, ob sie deren Daten lediglich zur Abwicklung von Bestellungen nutzen oder ob sie diese beispielsweise automatisiert auswerten.

Bei der Verwendung von automatisierten Entscheidungsfindungen, unter anderem dem Profiling, müssen Datenverarbeiter Informationen über die verwendete Logik und die angestrebte Auswirkung zur Verfügung stellen. Wenn Online-Kaufhäuser wie Amazon ihre Kunden bestimmten Konsumgruppen zuordnen, um Kaufvorschläge zu unterbreiten und damit künftige Kaufentscheidungen zu beeinflussen, muss dies ab sofort transparent gemacht werden.

Auch dürfen Kundendaten nicht ohne Weiteres an Geschäftspartner weitergegeben werden. Ebenso widerspricht das unerlaubte Weiterreichen von E-Mail-Adressen zum Zweck der Newsletter-Versendung der DSGVO. Eine weitere Pflicht der DSGVO für Datenverarbeiter betrifft die Speicherung der Daten. Sobald der Zweck der Datenverarbeitung erfüllt wurde und die weitere Speicherung nicht durch gesetzliche Pflichten vorgeschrieben wird, müssen die Daten unverzüglich gelöscht werden.

Transparent muss nun auch die Weiterleitung von personenbezogenen Daten in Drittstaaten oder an internationale Organisationen sein. Unter Drittstaaten sind hierbei sämtliche Staaten außerhalb der europäischen Union zu verstehen, die demzufolge nicht von der Datenschutz-Grundverordnung betroffen sind.

Weil in den Drittstaaten zumeist ein geringeres Datenschutzniveau existiert, müssen Datenverarbeiter benennen, wohin sie Daten weiterleiten, und Datenschutzgarantien von dem Empfänger der Daten einholen. Erlaubt ist die Übermittlung an Datenverarbeiter in Drittstaaten nur dann, wenn nahezu das gleiche Niveau an Datenschutz beibehalten wird. Damit unternimmt die DSGVO den Versuch, für die Daten von EU-Bürgern einen Schutz über das Territorium der EU hinaus durchzusetzen. Selbstverständlich müssen die Betroffenen auch über diese Garantien informiert werden.

Dieses Gesamtpaket an Auskunftsrechten ist selbst für Juristen nicht leicht zu durchblicken. Damit Verbraucher dennoch ihr Auskunftsrecht wirksam durchsetzen können, sollten sie auf vorformulierte Musterbriefe zurückgreifen. Diese enthalten sämtliche möglichen Auskunftsansprüche. Unter Datenverarbeitern tragen diese Briefe den inoffiziellen Titel "Alptraum-Brief" ("nightmare-letter"), da sie für einen erheblichen Aufwand sorgen und insbesondere in Institutionen, die sich auf die DSGVO nur schlecht vorbereitet haben, viel Arbeitszeit binden.

Eine bekannte Vorlage hinsichtlich der Ansprüche aus dem alten Bundesdatenschutzgesetz gab es bislang bereits unter dem Titel "T5F – Thoms Fassung von Framstags freundlichem Folterfragebogen". Um diese seit 2001 im Netz erhältliche Vorgabe zu ehren, haben wir unseren neuen Fragebogen "ct5F" genannt – "Die c’t-Fassung von Framstags freundlichem Folterfragebogen". Unsere im Folgenden zu findende Vorlage steht zum auch zum Download und zur nichtkommerziellen Nutzung frei zur Verfügung. Unseriöse Versender oder Spammer benutzen Ihre Adresse? Foltern Sie sie!

Datenschutzrechtliche Selbstauskunft nach DSGVO

Betr: Name, Adresse, Sonstige Identifikationsmöglichkeit (z.B. Kundennummer, verwendete E-Mail-Adresse)

Sehr geehrte Damen und Herren,

nach Art. 15 DSGVO habe ich das Recht, von Ihnen eine Bestätigung darüber zu verlangen, ob Sie personenbezogene Daten über meine Person gespeichert haben. Sofern dies der Fall ist, so habe ich ein Recht auf Auskunft über diese Daten.

1. Auskunft über meine bei Ihnen gespeicherten Daten

Ich darf Sie in diesem Fall bitten, mir gemäß Art. 15 Abs. 1 DSGVO folgende Informationen mitzuteilen:

a) Welche Daten über meine Person konkret bei Ihnen gespeichert oder verarbeitet werden (z.B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde).

b) Weiterhin wollen Sie mich bitte über die Verarbeitungszwecke meiner Daten ebenso informieren wie über

c) die Kategorien personenbezogener Daten, die bezüglich meiner Person verarbeitet werden;

d) die Empfänger oder Kategorien von Empfängern, die meine Daten bereits erhalten haben oder künftig noch erhalten werden;

e) die geplante Dauer für die Speicherung meiner Daten, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

f) über das Bestehen meiner Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung meiner Daten, ebenso wie über mein Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DSGVO und mein Beschwerderecht bei der zuständigen Aufsichtsbehörde.

g) Sofern die Daten nicht bei mir erhoben werden, fordere ich Sie auf, mir alle verfügbaren Informationen über die Herkunft der Daten mitzuteilen; sowie

h) mir darzulegen, ob eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO besteht. In diesem Fall wollen Sie mir bitte aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person mitteilen.

i) Wurden meine personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt, wollen Sie mir bitte mitteilen, welche geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung vorgesehen sind.

Bitte stellen Sie mir kostenfrei eine Kopie meiner bei Ihnen gespeicherten personenbezogenen Daten zur Verfügung. Sofern ich diesen Antrag elektronisch stelle und nichts anderes vermerke, so sind mir die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen.

2. Löschung meiner Daten

Weiterhin verlange ich nach Art. 17 DSGVO die unverzügliche Löschung meiner bei Ihnen verarbeiteten personenbezogenen Daten.

Die Voraussetzungen des Art. 17 DSGVO liegen nach meiner Ansicht vor. Sofern ich eine Einwilligung zur Verarbeitung meiner Daten erteilt habe, widerrufe ich diese hiermit, bzw. lege gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung ein. Dies gilt ebenso für das Profiling gemäß Art. 22 DSGVO. Lehnen Sie die Löschung ab, so haben Sie dies mir gegenüber zu begründen.

Sofern Sie meine personenbezogenen Daten öffentlich zugänglich gemacht haben und gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet sind, haben Sie angemessene Maßnahmen zu ergreifen, um sämtliche Empfänger meiner Daten darüber gemäß Art. 19 DSGVO zu informieren, dass ich die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien dieser personenbezogenen Daten verlangt habe.

3. Fristen und Rechtsfolgen

Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Sollte ich innerhalb dieser Frist keine Auskunft von Ihnen erhalten, so werde ich mich an die zuständige Aufsichtsbehörde wenden. Ich mache darauf aufmerksam, dass unterlassene oder nicht vollständige Auskunftserteilungen nach Art. 83 Abs. 5 DSGVO mit einer hohen Geldbuße bedroht sind.

Mit freundlichen Grüßen

(cbo)