Schnellstart in die EU-DSGVO: Der freundliche Folterfragebogen

Sie möchten sich schnell einen Überblick über die wesentlichen Punkte der neuen EU-DSGVO (EU-Datenschutzgrundverordnung) verschaffen und wissen, was genau da auf Sie zukommt?

In dem unten stehenden fiktiven Brief – auch Folterfragebogen genannt – wird ein Auskunftsersuchen nach Art. 15 EU-DSGVO gestellt. Wenn Sie diese Fragen alle wahrheitsgemäß, vollständig und fristgerecht beantworten können, haben Sie schon ein großen Teil der Anforderungen der EU-DSGVO verstanden und erfüllt. Um Ihnen hier etwas zu helfen, haben Sie die Möglichkeit zu jeder Frage im Brief meine persönlichen Kommentare und eine Beispielantwort anzusehen.

EU-DSGVO Schnellstart
  1. Brief ohne Kommentare lesen oder hier herunterladen
  2. Die Fragen durcharbeiten und – soweit möglich – beantworten
  3. Bei Bedarf meine Kommentare und Beispielantworten zur Hilfe nehmen
  4. Die kommentierte Version gibt es hier als Download!

Super, der Einstieg ist geschafft! Sie wissen jetzt schon einiges mehr über die EU-DSGVO als vorher!

Wenn Sie diesen Brief  und seine Kommentare komplett durcharbeiten, haben Sie schon ein gutes Stück auf dem Weg zu einem modernen Datenschutz gemeistert! Die weiteren Schritte in den folgenden Artikeln sollten Ihnen dann keine großen Probleme mehr bereiten.

Sie können hier sowohl die unkommentierte als auch die kommentierte Version des Briefes herunterladen. Die Beispielbriefe unterliegen keinen urheberrechtlichen Beschränkungen und können von Ihnen nach Lust und Laune verwendet oder verändert werden.

Max Mustermann
Datenschutzweg 17
12345 Musterdorf

Firma
Beispielfirma GmbH
Auf dem Platz 21
D-54321 Musterstadt

Mai 2018

Datenschutzrechtliche Selbstauskunft nach Art. 15 DSGVO

Kommentar

Die Kommentare geben lediglich die Meinung des Verfassers wieder und stellen keine verbindliche Rechtsberatung i. S. d. Rechtsberatungsgesetzes dar. Das wäre ja auch verboten. Meine Weisheiten beziehe ich im Wesentlichen aus dem Gesetzestext, den von der EU veröffentlichten Erwägungsgründen sowie den Webseiten der Datenschutzbeauftragen der Bundes der Länder.

Die Kommentare und Beispiele richten sich an den typischen Verarbeitungsbedarf von KMUs. Bitte beachten Sie, dass insbesondere wenn Sie besonders sensible Daten i. S. d. Art. 9 DSGVO möglicherweise weitergehende Pflichten unterworfen sind!

Beispielantwort

Die Beispielantworten beziehen sich ganz konkret auf die Tätigkeit meine Firma Der Computerfritze. Wir erbringen Service-Dienstleistungen für die Beschaffung, Inbetriebnahme, Fehlerbehebung / Entstörung und Ablösung bzw. Entsorgung von IT-Anlagen (auch Computer genannt

Sehr geehrte Damen und Herren,

nach Art 15 DSGVO habe ich das Recht eine Bestätigung darüber zu verlangen, ob Sie personenbezogene Daten über meine Person gespeichert haben und bitte um entsprechende Mitteilung.

Kommentar

Nach Art. 15 Abs. 1, Satz 1 hat eine betroffene Person das Recht eine Bestätigung darüber zu verlangen, ob Ihr Unternehmen sie betreffende personenbezogene Daten verarbeitet. Dies gilt unabhängig davon, dass Sie auch schon bei der Erhebung der Daten beim Betroffenen nach Art. 13 DSGVO verpflichtet sind, dies der Person mitzuteilen. Haben Sie die Daten nicht bei der betroffenen Person erhoben (z. B. die Daten eines Kunden von einem Geschäftspartner erhalten) sind Sie nach Art. 14 DSGVO verpflichtet dies innerhalb eines Monats (i. d. R max. 1 Monat) – unabhängig von der hier besprochenen Selbstauskunft – der betroffenen Person mitzuteilen!

Sofern Sie keine Daten über die betroffene Person verarbeiten oder die Daten unumkehrbar (!!!) anonymisiert haben, sind Sie dennoch verpflichtet eine Negativauskunft abzugeben (z. B. „Ihre Personendaten sind bei uns weder gespeichert noch anderweitig verarbeitet.“

Beispielantwort

Wie wir Ihnen bereits bei der Terminvereinbarung telefonisch mitgeteilt haben, werden die für die Erfüllung Ihres Auftrages erforderlichen Daten und uns gespeichert und verarbeitet. Die Detailinformationen zu Ihren Daten und deren Verarbeitung erhalten wunschgemäß nachstehend.

Soweit dies zutrifft, mache ich von von meinen Recht auf Auskunft nach Art. 15 DSGVO gebrauch und bitte um vollständig Übermittlung der bei Ihnen über mich gespeicherten persönlichen Daten (z. B. Name, Vorname, Anschrift, Email-Adresse, Geburtsdatum etc.).

Kommentar

Eine betroffene Person hat nach Art. 15 ein Auskunftsrecht welches er in angemessenen Abständen wahrnehmen kann um die Rechtmäßigkeit der Verarbeitung zu prüfen. Eine betroffene Person hat das Recht auf umfassende Auskunft über alle personenbezogenen Daten. In den Erwägungsgründen werden hier auch explizit medizinische Daten (Arztberichte, Diagnosen etc.) aufgeführt.

Sofern sehr umfangreiche Informationen über die betroffene Person verarbeitet werden, kann der Verantwortliche in Ihrem Unternehmen die Präzisierung des Auskunftsanspruch bzw. der Verarbeitungsvorgänge (z. B. „Alle Untersuchungsergebnisse meines Krankenhausaufenthaltes vom 01.01.18-20-01.18“) verlangen.

Eine weitere Grenze findet das Auskunftsrecht in den Rechten und Freiheiten anderer Personen, sowie ggf. Geschäftsgeheimnissen, Recht am geistigen Eigentum und Urheberrecht an Software. Allerdings dürfen diese Gründe nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.

Beispielantwort

Damit wir Ihren Auftrag wunschgemäß und in gewohnt hoher Qualität erledigen konnten, haben wir folgende Daten und Informationen über Sie gespeichert und verarbeitet:
Name, Vorname: Mustermann, Max
Anschrift: Datenschutzweg 17, 12345 Musterstadt
Telefonnummer(n): 01234/5678901, 0123/4567890123
Email-Adresse: max.mustermann@email.com

Darüber hinaus speichern wir im Rahmen unserer Aufzeichnungs- und Dokumentationspflichten und in persönlicher Ansprache mit Ihnen ggf. Zugangsdaten und Passwörter. Die Speicherung dieser Daten erfolgt jedoch nur auf Anweisung des Kunden und dient ausschließlich der Vorbeugung von Datenverlust.

Darüber hinaus bitte ich Sie mir gem. Art 15 DSGVO mir auch folgende Informationen in angemessener Zeit zur Verfügung zu stellen:

1. Welchen Verarbeitungszwecken dient die Speicherung bzw. Verarbeitung meiner Daten?

Kommentar

Der Begriff des „Verarbeitungszweckes“ wurde leider im Gesetzt nicht konkret definiert. Laut den Erwägungsgründen zum Gesetztestext sollte eine betroffene Person das Recht haben die Rechtmäßigkeit der Verarbeitung der sie betreffenden personenbezogenen Daten überprüfen zu können (Erwägungsgrund Nr. 63, Satz 1). „Jede betroffene Person sollte daher ein Anrecht drauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden….“ (Erwägungsgrund Nr. 63, Satz 3).

In diesem Sinne kann es hierbei also nur um die Frage gehen, ob eine Rechtmäßigkeit der Verarbeitung i. S. d. Art. 6 DSGVO gegeben ist. Entsprechend kommen nur folgende Verarbeitungszwecke in Betracht:

a) Zwecke zu denen die betroffene Person eingewilligt hat (z. B. Telefonnummer zur Abstimmung Liefertermin)
b) Verarbeitung ist zur Erfüllung eines Vertrages mit der betroffenen Person erforderlich (z. B. Adresse zur Lieferung)
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z. B. Adresse Rechnungsstellung nach USTG / USTAE)

Artikel 6 DSGVO erwähnt noch einige andere Gründe, die aber im privatrechtlichen Geschäftsverkehr eher wenige relevant sind. Die Verarbeitungszwecken sollten sich also daran orientieren, was Artikel 6 DSGVO vorgibt und wozu die betroffenen Person eingewilligt hat.

Beispielantwort

Name, Vorname, Adresse werden von uns benötigt, damit wir unserer Dienstleistungen und Dokumentation den richtigen Personen zuordnen können. Ferner benötigen wir Ihren Nachnamen und Ihre Adresse damit wir Sie bei VorOrt Terminen aufsuchen können. Und nicht zuletzt schreibt uns das Steuerrecht (USTG) vor, dass eine ordnungsgemäße Rechnung Namen und Adresse des Leistungsempfängers enthalten muss.

Ihr Telefonnummer verwenden wir ausschließlich für Rückfragen oder Terminabstimmungen.

Ihre EMail Adresse benötigen wir, um Ihnen den jeweiligen Arbeitsbericht sowie die Rechnung zukommen zu lassen.

2. Welche Kategorien der mich betreffenden personenbezogener Daten werden von Ihnen verarbeitet?

Kommentar

Die Nennung personenbezogener Daten in einem für alle zugänglichen Verzeichnis würde ja gegen die Grundsätze des Datenschutzes verstoßen. Daher wurden zusätzlich „Kategorien“ von Daten eingeführt, die auch in öffentlichen Verzeichnissen ausgeführt werden können. Dabei gilt, dass die Kategorien so konkret wie möglich den Inhalt der Daten beschreiben soll. z. B. wäre „Kundendaten“ zu ungenau. „Adressdaten“ wäre jedoch eine hinreichend genaue Kategorie, da wir ja alle wissen, das Adressdaten z.B. aus Name und Anschrift bestehen.

Dieser Punkt zielt aber auch auf die Frage ab, ob und inwieweit besondere Kategorien personenbezogener Daten i. S. d. Art. 9 DSVGO verarbeitet werden. Dazu zählen alle Daten aus denen die rassische und ethnische Herkunft oder religiöse / weltanschauliche Überzeugungen hervorgeht, sowie genetische und biometrische Daten die zur Identifizierung einer Person dienen und Daten zum Sexualleben oder zur sexuellen Orientierung einer Person. Die Erhebung und Verarbeitung dieser Daten ist grundsätzlich untersagt!

Allerdings zählen auch schon normale Personaldaten (z. B. Religionszugehörigkeit, Nationalität etc.) zu den besonderen Kategorien i. S. des Art. 9 EU-DSGVO. Hier ist zu beachten, dass Ihnen zumindest bewusst sein sollte, dass es sich hierbei um besondere Kategorien handelt, bei denen der Gesetzgeber auch strengere Regeln für die Erhebung und Verarbeitung vorgibt.

Auf jeden Fall müssen Sie diese Kategorien hier in der Selbstauskunft eindeutig benennen und am Besten auch gleich die Rechtsgrundlage dazu!

Beispielantwort

Wir speichern nur und ausschließlich Adress- und Telefondaten und auch nur soweit es zur Erfüllung unserer Aufgabe erforderlich ist. Auf keinen Fall erheben und verarbeiten wir besondere Kategorien personenbezogener Daten im Sinne des Artikel 9 DSGVO.

3. Welche Empfänger oder Kategorien von Empfängern haben meine Daten von Ihnen bereits erhalten oder werde diese von Ihnen erhalten?

Kommentar

Als Empfänger gelten nach Art 4 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle. Ausnahme sind eigentlich nur bestimmte Behörden (z. B. Ermittlungsbehörden). Wichtig zu Wissen ist, dass zu den Empfänger auch Auftragsverarbeiter (Art. 4 Abs. 1 Nr. 8) zählen. Nutzen Sie also zum Beispiel das zentrale Adressbuch Ihres Email-Anbieters oder nutzen Sie einen Dienstleister um z. B. Rechnungen zu erstellen, sind diese Empfänger hier aufzuführen. Hierbei können auch Kategorien von Empfängern genannt werden (z. B. Steuerberater, Banken, Personalabteilung) . Die Kategorien sollten allerdings so konkret sein, dass für die betroffene Person ein klares Bild über die Verarbeitung seiner personenbezogenen Daten entsteht. Die Kategorie „Mitarbeiter“ wäre z. B. zu ungenau, da diese Kategorie keine Hinweise auf die Art der Datenverarbeitung zulässt.

Beispielantwort

Zur Erstellung unserer Rechnungen nutzen wir als Auftragsverarbeiter einen Online Dienst der Firma Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg. Hier werden aber lediglich Ihre Adressdaten zur Erstellung einer rechtssicheren Rechnung verarbeitet.
Für den täglichen Email-Verkehr nutzen wir die das Webhosting Angebot der Fa. Strato AG, Pascalstraße 10, 10587 Berlin als Auftragsverarbeitung für die Verarbeitung (Senden und Empfangen von Emails. Dabei wird lediglich Ihr Name und Ihre Email-Adresse im zentralen Adressbuch der Firma Computerfritze verarbeitet. Diese Verarbeitung erfogt auf den Mailservern der Fa. Strato.

4. Für welche Dauer werden Sie meine persönlichen Daten speichern bzw. verarbeiten? Oder, sofern Sie hier keine Auskunft geben können, nach welchen Kriterien wird die Dauer der Speicherung bzw. Verarbeitung meiner Personendaten bei Ihnen festgelegt?

Kommentar

Auch hier sollten Sie die Dauer der Speicherung oder Verarbeitung möglichst genau angeben. In der Praxis dürfte dies jedoch schon häufig daran scheitern, dass der genau Zeitpunkt der Datenerfassung in vielen Fällen gar nicht genau dokumentiert wurde oder die verwendete Software diese Informationen einfach nicht verfügbar hält. In diesen Fällen sollten Kriterien definiert werden für die Festlegung der Speicher- bzw. Verarbeitungsdauer.

In vielen Fällen, sind die Speicherfristen ja auch schon durch gesetzliche Regelungen festgelegt. Z. B. muss ich Rechnungsdaten mit Name und Anschrift ja auf jeden Fall 10 Jahre für das Finanzamt aufheben.

Beispielantwort

Durch steuerliche Regelungen sind wir gezwungen Ihre Rechnungsdaten (Name, Adresse) 10 Jahre lang aufzubewahren. Nach Ablauf dieser Frist (letzte Rechnung älter als 10 Jahre) werden Ihre Daten bei uns und unseren Auftragsverarbeitern vollständig gelöscht.

Daten die bei uns im Rahmen unserer Dokumentationspflichten (z. B. auch zum Nachweise der Leistungserbringung) gespeichert und verarbeitet werden, bleiben ebenfalls für 10 Jahre gespeichert, da wir verpflichtet sind sämtliche Geschäftsvorfälle nachvollziehbar aufzuzeichnen (warum kam es hier zu einer Rechnungserstellung). Nach Ablauf von 10 Jahren werden diese Daten entweder gelöscht oder vollständig pseudonymisiert.

Daten die bei uns zu Sicherungszwecken (z. B. bei der Wiederherstellung defekter Datenträger) gespeichert und/oder verarbeitet wurden, werden bei uns innerhalb eines Jahres vollständig von unseren Systemen entfernt, sofern nicht ein ausdrücklicher Auftrag zur dauerhaften Archivierung erteilt wurde.

5. Welche Rechte habe ich die Berichtigung, Löschung und/oder Einschränkung der Verarbeitung meinen Personendaten zu verlangen oder gegen der Verarbeitung meiner Daten zu widersprechen? Und wer ist da bei Ihnen verantwortlich?

Kommentar

Jede von der Verarbeitung betroffenen Person hat jederzeit das Recht die Berichtigungen fehlerhafter sie betreffender Daten zu verlangen (Art. 16 DSGVO).

Die Löschung der personenbezogenen Daten (Art. 17 DSGVO) kann verlangt werden wenn
– der Zweck der zur Speicherung/Verarbeitung der Daten entfällt
– die betroffene Person der die Einwilligung zur Verarbeitung widerruft oder der Verarbeitung widerspricht
– die personenbezogenen Daten zu Unrecht verarbeitet wurden
– gesetzliche Regelungen die Löschung verlangen.

Selbstverständlich können andere rechtl. Gründe dazu führen, dass die Löschung nicht durchgeführt werden darf (z. B. Rechnungsdaten und das liebe USTG). Sofern aber eine gesetzliche Regelung der Löschung nicht widerspricht, ist dem Löschersuchen nachzukommen!

Ein Sonderfall ist die Einschränkung der Verarbeitung. Details hierzu sind in Art. 18 DSGVO aufgeführt. Dabei kann z. B. eine betroffenen Person der Löschung von Daten auch widersprechen (etwa zur Durchsetzung bzw. dem Nachweis eigener Rechtsansprüche) aber dennoch die Erlaubnis zur Verarbeitung der Daten einschränken.

Wichtig ist m. E. noch zu Wissen, dass die Berichtigung, Einschränkung der Verarbeitung und Löschung der Daten den Datenempfängern (Dritte, Auftragsverarbeiter etc.) mitgeteilt werden muss und die betroffenen Person auf Wunsch hierüber auch unterrichtet werden muss (Art. 19 DSGVO)!

Beispielantwort

Selbstverständlich sind auch wir an der Korrektheit Ihrer Daten interessiert. Bitte teilen Sie uns mit wenn Sie fehlerhafte Daten entdecken, damit wir diese korrigieren können.

Gerne Löschen wir Ihre Daten wenn Sie uns einen entsprechenden Wunsch mitteilen. Bitte beachten Sie dabei aber, dass wir aufgrund gesetzlicher Verpflichtungen (Steuerrecht) dazu gezwungen sind, bestimmte Daten (z. B. Adressdaten in Zusammenhang mit Rechnungen) 10 Jahre lang aufzuheben. Alle Daten zu deren Speicherung wir nicht gesetzlich verpflichtet sind, löschen wir selbstverständlich wenn Sie das wünschen!

6. Welche Rechte habe ich um mich bei Nichteinhaltung des DSGVO zu beschweren? Und welche Aufsichtsbehörde ist hier zuständig?

Kommentar

Nach Art. 77 DSGVO hat jede betroffene Person das recht auf eine Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der Daten der DSGVO widerspricht.

Zuständig ist i. d.R. die Aufsichtsbehörde des Aufenthaltsortes der betroffenen Person, ihres Arbeitsplatzes oder die Behörde am Ort des mutmaßlichen Verstoßes. In Deutschland sind dies i. d. R. Die Landesbeauftragen für Datenschutz.
Hinweis: Bei Konzernen und Unternehmen mit mehreren Standorten ist die Zuordnung der Aufsichtsbehörden nicht immer ganz einfach herauszufinden!

Beispielantwort

Sind Sie der Meinung, dass wir den Schutz Ihrer Daten nicht hinreichend entsprechend den Regelungen der DSGVO gewährleisten, steht es Ihnen jederzeit frei bei dem Landesbeauftragen für Datenschutz eine Beschwerde zu führen. Den Datenschutzbeauftragen des Landes NRW erreichen Sie unter folgender Anschrift:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211/38424-0
Fax: 0211/38424-10
E-Mail: poststelle@ldi.nrw.de

7. Sofern Sie personenbezogene Daten verarbeiten, die Sie nicht von mir persönlich erhalten haben, teilen Sie mir bitte auch alle verfügbaren Informationen über die Herkunft der Daten mit.

Kommentar

Sofern Sie personenbezogene Daten über Dritte bezogen haben (z. B. die Visitenkarte eines Kunden durch Ihr Empfehlungsnetzwerk oder tolle Adressdatenbanken gekauft haben) sind Sie verpflichtet dies der betroffenen Personen mitzuteilen! Darüber hinaus ist in Art. 14 Abs. 1 definiert welche Informationen Sie noch mitteilen müssen, z. B. Namen des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, Zweck und Rechtsgrundlagen der Verarbeitung und noch einiges anderer (die vollstänmdig Liste steht im Gesetzestext). Vorsicht Falle! Lt. DSGVO sind Sie verpflichtet der betroffenen Person mitzuteilen wenn Sie Daten von Dritten erhalten! Wenn Sie also erst hier bei der Anfrage der betzroffenen Person die Übernahme von Daten zugeben, ist dies bereits ein Verstoß nach DSGVO! Bitte beachten Sie auch, dass Sie zur Information der betroffenen Person verpflichtet sind über Änderung des Verarbeitungszweckes zu informieren (z. B. Sie übersenden Ihren Bestandskunden unaufgefordert einen Newsletter und die Kunden haben der Verarbeitung ihrer Email-Adresse für diesen Zweck nicht zugestimmt.)

Beispielantwort

Wir erheben Personendaten ausschließlich bei den betroffenen Personen! In einigen Fällen wurden uns Kontaktdaten von Dritten übermittelt um auf Wunsch der betroffenen Person Kontakt aufzunehmen. In diesen Fällen werden die personenbezogenen Daten ausschließlich für die erste Kontaktaufnahme genutzt und anschließend nur weiter verarbeitet wenn dies durch die betroffenen Person ausdrücklich gewünscht wird. In Ihrem Fall wurden die personenbezogenen Daten (Name, Anschrift) ausschließlich bei Ihnen erhoben.

8. Werden meine persönlichen Daten für eine automatisierte Entscheidungsfindung (z. B. auch Profiling) genutzt? In diesem Falle bitte ich um aussagekräftige Informationen über die involvierte Logik der Verarbeitung (z. B. Algorithmus), die Tragweite und die Auswirkungen der automatisierten Entscheidungsfindung.

Kommentar

Für den Fall dass Sie automatisiert Entscheidungsfindung (Profiling, Scoring usw.) betreiben, sind Sie zu recht umfangreichen Auskünften über die Art und Weise, den Auswirkungen und der verwendeten Technologien (z. B. Entscheidungslogik) verpflichtet. Selbstverständlich müssen Sie dabei keine Geschäftsgeheimnisse verraten. Aber Sie müssen dies zumindest so nachvollziehbar darstellen, dass für die betroffene Person ersichtlich ist, wie ihre Daten verarbeitet werden und welche Folgen die Verarbeitung oder auch der Widerspruch in die Verarbeitung für die betroffene Person haben.

Wenn Sie derartige Technologien betreiben (z. B. um die Solvenz eines neuen Kunden einzuschätzen) beachten Sie bitte unbedingt, dass dabei die Nutzung der besonderen Kategorien an personenbezogenen Daten (Art. 9 DSGVO) nicht (!!!) für das Profiling genutzt werden dürfen.

Beispielantwort

9. Sofern Sie meine personenbezogenen Daten an ein Drittland oder eine internationale Organisation übermittelt haben, bitte ich um Unterrichtung über die geeigneten Garantien gem. Art. 46 DSGVO hinsichtlich der übermittelten Daten.

Kommentar

Für den Fall, dass Sie Daten in Länder übertragen mit denen die EU Kommission keine Vereinbarung über ein angemessenes Schutzniveau getroffen hat (Angemessenheitsbeschluss nach Art 45 DSGVO) sind Sie verpflichtet, entsprechende Garantien aufzuzeigen, die ein angemessenes Schutzniveau sicher stellen. Dies können z. B. konzerninterne Datenschutzbestimmungen sein (bei Übertragung der Daten an eine Konzernstelle im Ausland) oder auch Gesetzte oder vertragliche Vereinbarungen mit dem jeweiligen Drittland oder der jeweiligen Organisiation.

Beispielantwort

Wir übertragen keine personenbezogenen Daten in Drittländer außerhalb des Geltungsbereiches der DSGVO.

Selbstverständlich erwarte ich, dass Sie mir diese Auskünfte entsprechen Art. 15 Abs. 3 DSGVO kostenlos zur Verfügung stellen.

Kommentar

Nach Art. 15 Abs. 3 stellt der Verantwortliche eine Kopie der personenbezogenen Daten kostenlos zur Verfügung. Für weitere Kopien kann ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangt werden. Bitte beachten Sie auch, dass die Auskunft in angemessenen Zeitabständen erneut eingefordert werden darf!

Beispielantwort

Die erteilten Auskünfte sind selbstverständlich für Sie völlig kostenfrei!

Da ich Ihnen diese Anfrage elektronisch übermittle, erwarte ich auch eine elektronische Übermittlung Ihrer Informationen.

Kommentar

Stellt die Person das Auskunftsersuchen elektronisch, so sind die Information nach Art. 15 DSGVO Abs. 3 in einem gängigen elektronischen Format zur Verfügung zu stellen. Geeignet scheint hier aus techn. Sicht das „Portable Document Format“ auch als PDF bekannt. Die betroffene Person kann aber auch andere Wünsche der Datenübermittlung (z. B. Papier) äußern.

WICHTIG: Bevor Sie irgendjemanden irgendwelche Auskünfte erteilen, überprüfen Sie bitte unbedingt die Identität der Person! Dies kann mitunter sehr einfach sein, wenn z. B. eine Person Sie per EMail anschreibt und die EMail-Adresse bei Ihnen ohnehin schon als Kundenadresse unter dem Namen der betroffenen Person geführt wird. Es kann aber auch gar nicht so einfach sein, wenn Sie z. B. von einer Person angerufen werden (ja, die Auskunft kann auch telefonisch verlangt werden).

Beispielantwort

Die Informationen werden Ihnen im vorliegenden Dokument als PDF Datei zur Verfügung gestellt. Auf Wunsch erhalten Sie die Daten und Information auch im ASCII-Text Format.

Bitte beachten Sie auch, dass Auskunftserteilungen gem. Art 12 Abs. 4 DSGVO unverzüglich erfolgen müssen. Sollte ich daher innerhalb eines Monats keine Auskunft von Ihnen erhalten, wende ich mich an die zuständige Aufsichtsbehörde. In diesem Fall müssen Sie gem. Art. 84 Abs. 5 DSGVO mit einer Geldbuße.

Kommentar

Als angemessen gelten z. Zt. 1 Monat für die Bearbeitung einer Auskuntfsanfrage. In Anbetracht der ]möglicherweise recht hohen Bußgelder bei Verstößen gegen die DSGVO rate ich eindringlich dazu, diese Fristen wirklich ernst zu nehmen.

Mit freundlichen Grüßen

Max Mustermann
(Ein Kunde der es Wissen will!)