Mit dem Laden des Videos werden personenbezogene Daten an YouTube (Google LLC) übermittelt und Sie akzeptieren die Datenschutzerklärung des Anbieters.
Mehr erfahren
Datenauskunft richtig einfordern! Musterschreiben, DSGVO Art15
Habt ihr euch schonmal gefragt, wie Ihr eine Datenauskunft bei einem Unternehmen einfordert? Offensichtlich steckt da mehr dahinter als die plumpe Übermittlung von ein paar Informationen die euch betreffen. Was genau Ihr alles einfordern dürft, wann eine Datenauskunft als vollständig gilt und was Ihr tun könnt wenn ein Unternehmen diese Pflicht nicht richtig erfüllt, zeige ich euch jetzt. Mit einer Schritt für Schritt Anleitung und den passenden Musterschreiben. Los gehts!
Liebe Datenschutzys, ich freue mich das ihr wieder eingeschaltet habt. Heute zeige ich euch Schritt für Schritt wie ihr euer Recht auf Auskunft zu euren personenbezogenen Daten richtig wahrnehmen könnt und packe die passende Musterschreiben natürlich direkt mit dazu. Wenn ihr Lust auf solche Tutorials habt und selbst eine Frage zum Datenschutz oder der IT-Sicherheit habt, dann schreibt sie in die Kommentare und ich versuche sie in einem Video für euch zu beantworten. Also abonniert gerne den Kanal und dann geht es auch schon los mit der Frage…
Was ist das Recht auf Auskunft?
Das Recht auf Auskunft ist in der DSGVO unter Art. 15 Abs. 1 festgehalten und besagt:
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
– die Verarbeitungszwecke;
– die Kategorien personenbezogener Daten, die verarbeitet werden;
– die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
– falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
– das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
– das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
– wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
– das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Wir dürfen also ein ganze Menge Informationen von den Unternehmen verlangen. Doch wie meine Erfahrung zeigt, liegt lesen und verstehen wohl nicht im Umfang der Arbeitsbeschreibung der meisten Unternehmen. Weshalb diese die Datenauskunft regelmäßig unvollständig versemmeln. Damit euch das nicht passiert oder ihr zumindest eine rechtlich saubere Grundlage schafft, sollte eure Anfrage auf alle diese Punkte vernünftig eingehen. Im Musterschreiben auf unserer Webseite findet ihr daher genau das vor. [Geil oder?]
Aber euer Auskunftsrecht geht noch weiter und besagt laut DSGVO Artikel 15 Abs. 2 weiter:
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
Dies schließt alle Datenübertragungen in die USA und damit zu Microsoft, Apple, Google, Facebook, WhatsApp usw. aus. Ausführliche Erklärung liefern dazu weitere Videos auf diesem Kanal die ich euch gerne hier verlinke. Bedeutet eure Daten dürfen durch keine Unternehmen per WhatsApp versendet werden, es sei denn ihr habt aktiv, freiwillig und transparent informiert eingewilligt. Aber damit nicht genug denn es geht weiter mit Abs. 3 wo es heißt…
Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
Okay, dass heißt eine Kopie steht euch kostenfrei zu. Selbst bei so Drecksläden wie der Schufa. Also bitte nichts für die Auskunft bezahlen, sondern eine Auskunft nach Art. 15 DSGVO einreichen. Wie besagt könnt ihr dies per E-Mail tun. In jedem Fall muss das Unternehmen eure Anfrage erst legitimieren. Das kann auf verschiedenen Wegen passieren und deshalb schauen wir uns jetzt mal den dazu Prozess an.
Wie fordere ich meine Auskunftsrecht ein?
Wie gerade gesagt geht das per Brief oder Telefax [Des deutschen Bürokraten fortschrittlichste Technologie] und auch E-Mail. Dafür nutzt ihr das Musterschreiben auf unserer Webseite. Wenn ihr mit dem Unternehmen eine geschäftliche Beziehung pflegt, dann könnt ihr zur Legitimierung bestimmte Informationen beifügen, die eure Auskunft schneller legitimieren. Zum Beispiel eine Vertragsnummer oder ähnliches. Stellt ihr die Anfrage per E-Mail, so achtet darauf die selbe Adresse zu nutzen mit der ihr euer Konto beim Anbieter betreibt. Dann geht es ebenfalls schneller. Zur Legitimation ist das Unternehmen verpflichtet bevor es Informationen versendet. Sollte das nicht passieren, so könnt ihr dieses Verhalten bei der Aufsichtsbehörde anzeigen. Ich empfehle das auch zu tun, denn sonst kann ja jeder einfach Auskunft über eure Daten erlangen. [So wie beim Finanzamt mit Angabe von Name und Steuernummer am Telefon. Geht ganz einfach. Probierts mal aus.]
Das Unternehmen hat dann nach erhalt eures Auskunftsgesuchs bis zu vier Wochen Zeit wirklich alle Informationen lückenlos bereitzustellen. Sollten Angaben zu Datenübermittlungen an Dritte fehlen oder die damit verbundenen Zwecke oder auch nur der Umfang der Daten nicht stimmen, so liegt ein Verstoß gegen die DSGVO vor und ihr solltet dies melden.
Okay, wir haben also unser Auskunftsgesuch eingereicht. Jetzt muss binnen 72 Stunden vom Unternehmen geantwortet werden und der Prozess der Legitimation ausführlich geschildert werden. Dann darf die Auskunft erteilt werden und die Frist von vier Wochen gilt weiterhin. Bekommt ihr eine für euch ausreichende Antwort ist alles super und ihr könnt zufrieden sein. Und wenn nicht?
Was machen wir mit einer unvollständigen Auskunft?
In diesem Falle meldet ihr den Vorgang sofort bei der zuständigen Aufsichtsbehörde. Diese findet ihr ganz leicht, indem ihr den Ort des Unternehmenssitzes und Datenschutz Aufsichtsbehörde in eine Suchmaschine eintippelt. [Datenschutzys nutzen gerne Ecosia oder Startpage und nicht Google] Dann wird euch die Behörde des entsprechenden Landes oder Bundeslandes ausgegeben. Auf deren Webseite findet ihr ein Formular zur Meldung von Datenschutzverstößen und füllt dieses dann aus. Braucht ihr dazu auch ein Video oder geht das klar, schreibt es gerne in die Kommentare.
Falls ihr wollt könnt ihr das Unternehmen darüber informieren, müsst dies aber nicht tun. Bleibt nur noch die Frage
Wann habe ich einen Schadenersatzanspruch?
Schadenersatzanspurch habt ihr immer dann, wenn das Unternehmen sich bei der Datenverarbeitung nicht an die DSGVO gehalten hat. Wenn ihr also eine Datenauskunft erhaltet und diese unvollständig ist oder unrechtmäßige Vorgänge beinhaltet, dann entsteht für euch ein Schadenersatzanspruch. Wie genau ihr damit umgeht habe ich euch im Video „Geld verdienen mit der DSGVO?“ vorgestellt und hier gerne verlinkt.
Abschließen noch ein Hinweis zu Unternehmen die euch Werbemails senden ohne eure Zustimmung. Bei diesen könnt ihr diesen Weg ebenfalls anwenden und in den meisten Fällen, müssen die dann Strafen zahlen. Warum? Weil die meisten davon nicht aufpassen woher die Daten aus ihren E-Mailverteilern stammen und können euch damit auch nicht den Nachweis eurer Einwilligung erbringen.
Damit sind wir am Ende und ihr hoffentlich ein Stückchen besser informiert. Falls euch das Video gefallen hat lasst einen Daumen nach oben da und abonniert den Kanal für mehr Datenschutz Tutorials. Außerdem empfehlt den Kanal gerne weiter und helft uns die größte Datenschutz-Community Deutschlands zu werden. Hier sind noch ein paar weitere Video und ich bin raus. Tschau!
Musterschreiben für die Datenauskunft gem. DSGVO Art. 15
Betreff:
Auskunftsersuchen nach Art. 15 Absatz 1 der Datenschutz-Grundverordnung (DS-GVO)
Volltext:
Sehr geehrte Damen und Herren,
hiermit erbitte ich von Ihnen gemäß Artikel 15 Absatz 1 DS-GVO unentgeltliche und schriftliche Auskunft, ob Sie mich betreffende personenbezogene Daten verarbeiten (Definition des Begriffs „Verarbeitung“ siehe Art. 4 Nr. 2 DS-GVO). Falls ja, schließe ich folgende Fragen an:
- Welche mich betreffenden personenbezogenen Daten verarbeiten Sie?
- Zu welchem Zweck (welchen Zwecken) verarbeiten Sie diese Daten?
- Woher stammen diese mich betreffenden Daten?
- Haben Sie diese Daten an Dritte übermittelt oder planen Sie, diese an Dritte zu übermitteln? Wenn ja, an wen, wann und zu welchem Zweck (welchen Zwecken)?
- Wie lange werden Sie meine Daten verarbeiten (Stichwort Datenlöschkonzept)?
- Haben Sie hinsichtlich meiner Person ein Profil angelegt? Falls ja, teilen Sie mir den Inhalt dieses Profils und die Art und Weise des Zustandekommens dieses Profils bitte mit.
- (Welchen aktuellen Scorewert übermitteln Sie hinsichtlich meiner Person und welche genaue Bedeutung hat dieser Scorewert? An wen haben Sie meinen Scorewert in den letzten 12 Monaten übermittelt? Welche einzelnen Daten liegen dieser Scorewertberechnung zugrunde? Woher haben Sie diese Daten?) Nur bei Auskunftteilen z.B. Schufa usw. sonst die Frage entfernen
- Verarbeiten Sie die mich betreffenden Daten mithilfe einer weiteren automatisierten Entscheidungsfindung? Falls ja, erläutern Sie bitte mit aussagekräftigen Informationen die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen des bzw. der eingesetzten Verfahren.
Ihre schriftliche Stellungnahme per Briefpost erwarte ich unverzüglich, spätestens aber innerhalb eines Monats (Artikel 12 Abs. 3 DS-GVO) nach Eingang dieses Schreibens.
Vielen Dank im Voraus. Mit freundlichen Grüßen,
