Verantwortliche müssen Auskunft geben: Wann und warum wurden Daten abgefragt?
Nach der Datenschutz-Grundverordnung (DS-GVO) können Betroffene beim Verantwortlichen eine Auskunft über die Verarbeitung ihrer Daten beantragen. Der Europäische Gerichtshof (EuGH) hat nun geurteilt: Wenn jemand, dessen Daten verarbeitet werden (betroffene Person), um Auskunft bittet, müssen Stellen, die die personenbezogenen Daten verarbeiten (Verantwortliche), auch Auskunft darüber geben, wann und warum auf die Daten zugegriffen wurde.
Verantwortliche müssen Auskunft geben: Wann und warum wurden Daten abgefragt?
Die DS-GVO schreibt vor, dass Prozesse der Datenverarbeitung nachvollziehbar sein müssen. Um die Nachvollziehbarkeit sicherstellen zu können, werden sogenannte Protokolldateien geführt. Diese Protokolldateien dokumentieren, wer wann auf welche Daten zugegriffen oder sie bearbeitet hat. Das passiert bei Behörden wie der Polizei ebenso, wie in Unternehmen der privaten Wirtschaft.
Nach dem EuGH-Urteil ist davon auszugehen, dass es im Regelfall ausreicht, der betroffenen Person die protokollierten Datenabfragen mitzuteilen, ohne die Namen der Beschäftigten zu nennen. Die Identität der Beschäftigten, die auf Weisung des Verantwortlichen handeln, muss nach dem EuGH nur preisgegeben werden, wenn dies – etwa bei Zweifeln am tatsächlichen Zweck der Abfrage – im Einzelfall erforderlich ist, um zum Beispiel die Rechtmäßigkeit der Verarbeitung der Daten überprüfen zu können. Dabei müssen die Rechte und Freiheiten des Beschäftigten berücksichtigt werden.
Link zum Urteil:
Link zur Presseinformation: