Welche Daten von mir verarbeitet eigentlich die Firma XY?
Diese Frage kann jeder formlos und ohne Begründung jedem für die Datenverarbeitung Verantwortlichen stellen. Artikel 15 DSGVO räumt jedem ein Recht auf Auskunft über die personenbezogenen Daten, die von ihm verarbeitet werden, sowie auf folgende Informationen ein:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
Auch wenn keine Daten vorhanden sind, muss eine Auskunft erteilt werden. In diesen Fällen spricht man von einer „Negativauskunft“.
Was passiert mit den Daten, die im Zusammenhang mit dem Auskunftsersuchen angefallen sind?
Wird vom Auskunftsrecht Gebrauch gemacht, fallen in jedem Fall personenbezogene Daten an, denn der Betroffene muss ja sagen, wer er ist, damit nachvollzogen werden kann, ob und wenn ja, welche Daten von ihm verarbeitet werden oder wurden.
Die nordrhein-westfälische Landesdatenschutzbeauftragte spricht sich für eine Aufbewahrung des Auskunftsnachweises aus. Da die Nichterteilung einer Auskunft gem. Artikel 83 DSGVO bußgeldbewehrt ist, hat der Verantwortliche ein berechtigtes Interesse gem. Artikel 6 Abs. 1 lit. f DSGVO nachzuweisen, wann er welche Auskunft erteilt hat. Da die Verfolgungsverjährungsfrist für diesen Fall drei Jahre beträgt, ist eine auf dieses Interesse gestützte Aufbewahrung für höchstens drei Jahre nach Ansicht der Landesdatenschutzbeauftragten nicht zu beanstanden.
In ihrem Schreiben weist die Datenschutzbeauftragte darauf hin, dass über die Aufbewahrung der Antwort auf den Auskunftsantrag zeitgleich mit der Antwort zu informieren ist. Dies schließt alle Pflichtangaben gem. Artikel 13 DSGVO ein.
Es wird empfohlen, Auskunftsanfragen und deren Antworten in einer separaten und geschützten Datei zu speichern.