Wissen
» Weitere Themenlinks
- Awarenessbildung
- Checklisten Datenschutz und ISMS
- Datenschutzrecht
- Datenschutz - Vorfallsbeispiele
- Informationssicherheit - Vorfallsbeispiele
- Kritische Infrastrukturen
- Wissen - Meldungsarchiv
Hier finden Sie alle archivierte Beiträge der "Neuesten Meldungen"
(Neueste Beiträge immer oben, ältere darunter. Es wird keine Haftung für Links oder Inhalte übernommen)
2023-05-08
Das Recht auf Erhalt einer Kopie im Rahmen einer DSGVO-Auskunft
Das österr. Bundesverwaltungsgericht (als 2. Instanz in Datenschutzangelegenheiten) hat den Europäischen Gerichtshof in einer Rechtssache angerufen, in der es um die Klarstellung ging, was mit dem Auskunftsrecht nach Art 15 DSGVO unter einer Kopie der personenbezogenen Daten genau zu verstehen sei. Im genannten Art 15 in Abs 3 der DSGVO wird als Betroffenenrecht angeführt: "Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung." Gegenstand war ein Verfahren, in dem man Rechtssicherheit darüber erlangen wollte, ob die Verpflichtung erfüllt sei, wenn der Verantwortliche die personenbezogenen Daten als Tabelle in aggregierter Form übermittelt, oder ob sie auch die Übermittlung von Auszügen aus Dokumenten oder gar ganzen Dokumenten umfassen würde bzw. Auszüge aus Datenbanken, in denen diese Daten wiedergegeben werden. Das Urteil des EUGH Zl. C-487/21 vom 04. Mai 2023 finden Sie über den Link am Ende des Beitrags.
Hier sind die wichtigsten Ergebnisse aus dem EUGH-Urteil:
- Der EuGH hielt fest, dass Art. 15 Abs. 3 DSGVO dahingehend auszulegen ist, dass er der betroffenen Person das Recht verleiht, eine originalgetreue Reproduktion ihrer personenbezogenen Daten, die Gegenstand der Datenverarbeitung sind, zu erhalten. Der Begriff der „Kopie“ umfasse also nicht zwingend ein Dokument als solches, sondern beziehe sich auf die personenbezogenen Daten, die darin enthalten sind und die Gegenstand der Verarbeitung sind.
- Das Recht, eine originalgetreue und verständliche Reproduktion aller betreffenden personenbezogenen Daten zu bekommen, umfasst dem EuGH zufolge somit auch das Recht, unter Umständen tatsächlich eine Kopie von Auszügen aus Dokumenten, von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erlangen. Dies gelte unter der Voraussetzung, dass die Zurverfügungstellung einer solchen Kopie unerlässlich sei, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen. Dabei seien allerdings auch die Rechte und Freiheiten anderer zu berücksichtigen, deren Daten wirkungsvoll zu schwärzen bzw. zu verschleiern sind.
- Der EuGH betonte, dass es der betroffenen Person durch die Ausübung ihres Auskunftsrechts ermöglicht werden muss, die Richtigkeit der sie betreffenden Daten und die Rechtmäßigkeit ihrer Verarbeitung zu überprüfen. Das Auskunftsrecht sei erforderlich, um die durch die DSGVO verliehenen Rechte (wie das Recht auf Berichtigung, jenes auf Löschung, jenes auf Widerspruch oder jenes auf Einlegung eines gerichtlichen Rechtsbehelfs) geltend machen zu können. Die zur Verfügung gestellten Informationen sollten daher in präziser, transparenter, verständlicher und leicht zugänglicher Form übermittelt werden.
2023-01-16
Recht auf Nennung aller Empfänger von personenbez. Daten in der DSGVO-Auskunft
In der Datenschutzgrundverordnung ist beim Recht auf Auskunft in Art 15 Abs 1 lit c verankert, dass der betroffenen (eine Auskunft begehrenden) Person die Empfänger:innen oder Kategorien von Empfängern offenzulegen sind, an die der Verantwortliche personenbezogene Daten weitergeleitet hat oder das noch tun wird. Manche Verantwortliche haben das so ausgelegt, als ob sie ein Wahlrecht gegenüber der betroffenen Person hätten, ob sie die einzelnen Empfänger:innen oder lediglich Kategorien von Empfängern, zB "Werbepartner" beauskunften könnten. Dagegen wurde Beschwerde geführt und der EUGH hat am 12. Jan. 2023 dazu ein Urteil veröffentlicht.
Hier sind die wichtigsten Ergebnisse aus dem EUGH-Urteil:
- Der EuGH hielt fest, dass Art. 15 Abs. 1 lit c DSGVO dahingehend auszulegen ist, dass er der betroffenen Person das Recht verleiht, Informationen über die konkreten Empfänger:innen ihrer personenbezogenen Daten auf Verlangen zu erhalten. Nur in Fällen, in denen der Verantwortliche diese Empfänger nicht identifizieren kann oder es sich von Seiten der auskunftsbegehrenden Person offensichtlich um eine unbegründete oder exzessive Anfrage handelt, kann die Angabe von Empfängerkategorien genügen. Auch besondere Vertraulichkeitsinteressen oder rechtliche Einschränkungen können die Auskunftserteilung beeinflussen. Die Ausnahmeregelung ist allerdings eng auszulegen und wird daher nur selten zutreffen. Die Verletzung der Auskunftspflichten sind mit einem Strafrahmen von bis zu 20 Mio EUR oder 4% des weltweit erzielten Jahresumsatzes bedroht.
- Hintergrund der Entscheidung ist, dass es der betroffenen Person möglich sein muss, ihre Rechte nach der DSGVO auch gegenüber Empfänger:innen durchzusetzen, die ihre Daten verarbeiten, was naturgemäß nur möglich ist, wenn deren Identität bekannt ist. Dazu ist Transparenz erforderlich.
- Exkurs: Grundsätzlich besteht bereits aus der Informationspflicht gem. Art 13 und Art 14 DSGVO die Pflicht, Empfänger bzw. Empfängerkategorien anzugeben. Nachdem es sich dabei aber meistens noch nicht um bereits durchgeführte Datenweitergaben handelt, könnte hierbei die Angabe der Empfängerkategorien ausreichen, vor allem, wenn die konkreten Empfänger:innen noch nicht bekannt sind. Für eine Auskunftserteilung besteht diese Möglichkeit nicht, dort muss auch die beabsichtigte Weitergabe konkretisiert werden.
2022-09-20
Unvereinbarkeit für Datenschutzbeauftragte: Hohe Strafe verhängt
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ein Bußgeld von 525.000 EUR gegen ein Unternehmen verhängt, dessen Geschäftsführer - trotz vorangegangener Verwarnung - gleichzeitig Datenschutzbeauftragter sein wollte.
2022-06-28
Vorsicht mit Passwort-Checkern
Im Internet werden einige Passwort-Checker angeboten. Man soll sein Passwort eingeben und erfährt dann, ob es sicher genug ist. Wer das echte Passwort eingibt riskiert aber bei einigen Plattformen, dass es gleich gestohlen wird.
2021-02-26
Berliner Datenschutzbeauftragter hat viele Videokonferenz-Tools auf Datenschutzkonformität geprüft
Zurück zur Hauptseite ● Impressum ● Datenschutzerklärung ● www.informationssicherheit.at
