Artikel 15 EU-DSGVO: Auskunftsrecht der betroffenen Person
- Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
- Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 4 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
- Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
- Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Kommentar zu Artikel 25 EU-DSGVO:
Was sagt Art. 25 DSGVO aus?
DSGVO Art. 25 konkretisiert den in Art. 24 DSGVO allgemein definierten Verantwortungsbereich des Verantwortlichen bei der Datenverarbeitung mit Ausführungen zu den technisch-organisatorischen Maßnahmen in drei Absätzen:
1. Die von dem Verantwortlichen einzuführenden technisch-organisatorischen Maßnahmen stehen in Beziehung
Unter Berücksichtigung dieser Faktoren richtet der Verantwortliche seine technisch-organisatorischen Maßnahmen
aus.
Die Vorschrift nennt als Beispiel für geeignete Maßnahmen die Pseudonymisierung und verlangt die Aufnahme von Garantien zum Datenschutz in die Verarbeitungstätigkeit selbst.
2. Der Verantwortliche gestaltet die technisch-organisatorischen Maßnahmen mit entsprechenden Voreinstellungen so, dass nur für den jeweiligen Verarbeitungszweck notwendige Daten verarbeitet werden. Diese Anforderung bezieht sich auf
Weiterhin haben Voreinstellungen sicherzustellen, dass personenbezogene Daten nur durch das Tätigwerden einer Person - also nicht automatisiert - einer unbestimmten Anzahl natürlicher Personen zugänglich gemacht werden.
3. Ein genehmigtes Zertifizierungsverfahren nach Art. 42 DSGVO kann unter anderem die Konformität mit den Anforderungen des Art. 25 DSGVO nachweisen.
Wie ist Art. 25 DSGVO zu verstehen?
Während in Art. 24 DSGVO die Basis der technisch-organisatorischen Maßnahmen definiert wird (Was ist zu tun?), erfahren Sie in DSGVO Art. 25 mehr zur inhaltlichen Gestaltung der Maßnahmen (Wie ist es zu tun?):
Die technisch-organisatorischen Maßnahmen haben sich an den Grundsätzen des Datenschutzes durch Technik/Data Protection by Design und an datenschutzfreundlichen Voreinstellungen/ Data Protection by Default auszurichten. Hier geht es um die Einhaltung von Grundsätzen wie Datenminimierung, die durch Maßnahmen wie die der Pseudonymisierung von Daten umgesetzt werden können.
Welche Folgen ergeben sich aus Art. 25 DSGVO?
DSGVO Art. 25 setzt ein ausgearbeitetes und dokumentiertes Datenschutzkonzept im Unternehmen zu seiner Umsetzung voraus. Datenschutzexperte.de kann Ihnen dabei helfen, ein solches Konzept zu entwickeln, zu implementieren und seine Einhaltung zu überwachen. Denken Sie hier etwa an die Prüfung der Umsetzung technisch-organisatorischer Maßnahmen in Ihrem Unternehmen, an die Bestellung eines externen Datenschutzbeauftragten und an eine Datenschutzberatung.