von RA Mag. Clemens Handl Einleitung Die DSGVO sieht – neben Pflichten für Personen, Unternehmen oder Stellen, die über die Verarbeitung von personenbezogenen Daten natürlicher Personen entscheiden ("Verantwortliche") – umfassende Rechte für Personen vor, deren Daten verarbeitet wurden ("Betroffene"). Dem Betroffenen steht unter anderem das Recht zu, vom Verantwortlichen darüber informiert zu werden, wem gegenüber Daten offengelegt oder übermittelt wurden ("Empfänger"). Der Umfang dieses Auskunftsrechts war kürzlich Gegenstand einer Entscheidung des Obersten Gerichtshofs (OGH 18. Entlastungspaket: Hartz-IV-Zuschuss – Wie hoch ist er und wann wird er ausgezahlt?. 02. 2021, 6 Ob 159/20f). Strittig ist im Wesentlichen, ob die Empfänger vom Verantwortlichen nur abstrakt nach ihrer Kategorie (zB Bank, Versicherungsunternehmen etc. ) oder konkret (zB. AB Bank AG, XY Versicherungs GmbH etc. ) beauskunftet werden müssen. Auskunftsrecht des Betroffenen Nach Art 15 Abs 1 lit c DSGVO hat der Betroffene das Recht, Auskunft darüber zu verlangen, an welche Empfänger oder Kategorien von Empfängern Daten offengelegt wurden oder noch offengelegt werden.
(1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen.
Sind z. B. die Empfänger solcher Daten zahlreich oder ist die Frequenz der Übermittlungen an eine geringere Zahl von Empfängern hoch, könnte die Pflicht, die Information über die Empfänger oder Kategorien der Empfänger sowie über den Inhalt der übermittelten Daten genauso lange aufzubewahren, den für die Verarbeitung Verantwortlichen über Gebühr belasten. " Die Aufbewahrung der Empfängerdaten für den Zeitraum von lediglich einem Jahr ist unter Berücksichtigung der Verantwortlicheninteressen zu kurz. Die Kosten für Massenspeicher werden immer geringer, sodass eine Aufbewahrung über einen Mindestzeitraum von jedenfalls fünf Jahren erwartet werden kann. 13 Die Auskunft über die Empfänger von Daten bezieht sich zudem auf den genauen Inhalt der den Empfängern übermittelten oder in sonstiger Weise offengelegten Informationen. Kategorien von empfängern datenschutz. [13] Dies schließt eine Information über die von einer Übermittlung oder Offenlegung konkret betroffenen Daten mit ein. Ob diese im Rahmen des "allgemeinen Teils" der Auskunft erfolgen muss oder in den "besonderen Teil" verschoben werden kann, ist fraglich.
DSGVO In Deutschland werden diese Vorgaben in § 70 Bundesdatenschutzgesetz konkretisiert. Neben den Verantwortlichen sind auch Auftragsverarbeiter, d. h. natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten, zur Führung des Verzeichnisses über Verarbeitungstätigkeiten verpflichtet. Deren Verzeichnis muss zusätzlich den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter enthalten. Kategorien von empfängern zugestellt. Rechtsfolgen [ Bearbeiten | Quelltext bearbeiten] Die Verantwortlichen, deren Auftragsverarbeiter sowie deren Vertreter sind verpflichtet, ihr Verzeichnis von Verarbeitungstätigkeiten auf Verlangen der Aufsichtsbehörde zur Verfügung zu stellen. Bei Verstößen gegen die DSGVO sieht Art. 83 DSGVO Bußgelder vor, so auch bei Verletzung der Verpflichtungen nach Art. 30. Der mögliche Bußgeldrahmen beläuft sich hierbei auf bis zu 10 Millionen Euro oder 2% des Jahresumsatzes. [1] Weblinks [ Bearbeiten | Quelltext bearbeiten] DSGVO Hinweise und Muster zum neuen Verzeichnis von Verarbeitungstätigkeiten, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Einzelnachweise [ Bearbeiten | Quelltext bearbeiten] ↑ Verzeichnis von Verarbeitungstätigkeiten, aufgerufen am 26. September 2019
Das heißt, nicht nur der Name, eine Kennnummer oder die Standortdaten gehören zu den personenbezogenen Daten. Diese können sehr genau einer Person zugeordnet werden. Zu den personenbezogenen Daten gehören außerdem Informationen, wie die Aufzeichnungen über Arbeitszeiten, oder Anmerkungen zu einem Dokument, mit denen beispielsweise ein Prüfling identifiziert werden könnte. Der Begriff der Personenbezogenen Daten ist, so wie die Daten im Gesetz definiert sind und die Rechtsprechung formuliert wird, möglichst weit auszulegen. Warum werden personenbezogene Daten kategorisiert? Der Gesetzgeber sieht vor, das personenbezogene Daten einer unterschiedlichen Schutzbedürftigkeit unterliegen. Das heißt, dass manche Informationen strenger geschützt werden müssen, als andere. ᐅ Verzeichnis von Verarbeitungstätigkeiten: IT-Abteilung bei "Kategorien von Empfängern". Wenn man bedenkt, dass beispielsweise die Augenfarbe eines Menschen andere Rückschlüsse auf diesen zulässt als seine Sozialversicherungsnummer, ist dies nur verständlich. Die allgemeinen personenbezogenen Daten Die meisten Daten lassen sich umgangssprachlich mit dem Begriff allgemeine personenbezogenen Daten zusammenfassen, die keiner besonderen Schutzwürdigkeit unterliegen.
Nach dem Wortlaut der Bestimmung kommen drei unterschiedliche Auslegungsvarianten in Betracht: (i) Entweder der Betroffene kann wählen, ob er die konkreten Empfänger oder bloß die Kategorien der Empfänger erfahren will, oder (ii) der Verantwortliche kann diese Entscheidung treffen. Nach einer dritten Variante besteht kein Wahlrecht, sondern (iii) der Verantwortliche muss zwingend so präzise wie möglich beauskunften. Hat der Verantwortliche die Daten Dritten noch nicht offengelegt, muss er so konkret wie möglich angeben, wem gegenüber er die Daten offenlegen will. § 6 Rechte des Betroffenen / c) Empfänger oder Kategorien von Empfängern | Deutsches Anwalt Office Premium | Recht | Haufe. Steht der konkrete Empfänger bereits fest oder wurden die Daten bereits übermittelt, so muss der Name des Empfängers offengelegt werden. Ist noch nicht absehbar, wer Empfänger sein soll, was beispielsweise dann der Fall sein könnte, wenn ein Lieferant noch nicht beauftragt wurde, so wäre in diesem Fall lediglich die Kategorie (zB Hostingprovider) bekannt zu geben. Der Oberste Gerichtshof hat in seiner Entscheidung festgestellt, dass eher ein Wahlrecht des Betroffenen vorliegt, da in Art 15 Abs 1 DSGVO ein Recht des Betroffenen und keine Pflicht des Verantwortlichen geregelt wird.