Das Thema "Auskunftsrechte der Betroffenen" hat es vor der Einführung der DSGVO nicht in dieser Ausprägung gegeben. Daher gehen wir im Folgenden auf die wesentlichen Punkte dazu ein.
Im Erwägungsgrund 63 wird beschrieben, dass eine betroffene Person ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten besitzt und dieses Recht problemlos und in angemessenen Abständen wahrnehmen kann. Jede betroffene Person kann und soll so erfahren, zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden, wie lange sie gespeichert werden und wer die Empfänger der personenbezogenen Daten sind.
Wann und wie muss die Kanzlei Auskunft geben?
In Art. 15 DSGVO findet man eine konkrete Auflistung der Informationen, die der Verantwortliche der betroffenen Person auf Anfrage mitteilen muss. Das Recht auf Auskunft umfasst folgende personenbezogenen Daten und Informationen:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden (z. B. das aktuell bestehende Abkommen "Privacy Shield" mit den USA). Da dies in einer "normalen" Steuerkanzlei eher eine Seltenheit darstellt, wollen wir auf diese Konstellation nicht weiter eingehen.
Der Verantwortliche muss die Informationen "unverzüglich", spätestens einen Monat nach Eingang des Auskunftsersuchens, zur Verfügung stellen. Diese Frist kann in Ausnahmefällen um zwei Monate verlängert werden.
In welcher Form ist die Auskunft zu erteilen?
Die betroffene Person ist auf Anfrage darüber zu informieren, ob der Verantwortliche – z. B. die Steuerkanzlei – personenbezogene Daten der Person verarbeitet oder nicht. Ist das der Fall, muss der betroffenen Person neben den oben geschilderten Informationen auch eine Kopie ihrer personenbezogenen Daten zur Verfügung gestellt werden. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern die betroffene Person nichts anderes angibt.
Die Pflicht zur Herausgabe einer Datenkopie stellt den Verantwortlichen in der Praxis sicherlich vor eine ganz neue Herausforderung. Konkret sind mit dieser Kopie tatsächlich 1-zu-1-Kopien der vorhandenen Datenbestände gemeint. Eine Akte ist zu Kopieren oder, wenn die Anfrage in elektronischer Form gestellt wird, in digitalisierter Form zur Verfügung zu stellen. Gleiches gilt für E-Mails, Korrespondenz, Aufzeichnungen, Auswertungen etc. Da die personenbezogenen Daten des Antragstellers bei der Nutzung von Software zur Verarbeitung der Daten meistens in einer Datenbank gespeichert sind, muss dieser Kopie auch ein Auszug der Datensätze in Dateiform beiliegen, in denen personenbezogene Daten des Antragstellers enthalten sind.
Hier ist wieder der Rückschluss zum Verzeichnis der Verarbeitungstätigkeiten notwendig. Ohne dieses ist es für den Verantwortlichen kaum möglich, in einem überschaubaren Zeitraum nachzuvollziehen, welche Daten eines Antragstellers an welchen Stellen in welcher Form vorliegen.
Diese neue Herausforderung technischer und organisatorischer Art und ist auf Anhieb ohne weitere Vorbereitung wahrscheinlich nicht zu erfüllen. Daher ist es im ersten Schritt empfehlenswert, im Verzeichnis der Verarbeitungstätigkeiten einen Hinweis festzuhalten, wo sich die zu einem Verfahren befindlichen Datenbestände körperlich befinden (Aktenschrank, Archiv, genauer Ablageort im Dateisystems auf dem Server, Datenbank welches Herstellers etc.). So sind die Daten im Falle einer Anfrage zum einen schneller zusammenzutragen. Zum anderen kann in dem zu definierenden Prozess für Bearbeitung einer Anfrage bereits festgelegt w...