Aus diesem Grund hat die EU als erste Vereinigung mit der DSGVO dafür gesorgt, dass ein erster großer Schritt notwendig ist, um die eigenen Bürger zu schützen und dem digitalen Raubrittertum eine erste Burg aus Notwehr entgegenzustellen.
Doch was für Rechte haben die Bürger? Was haben Firmen zu beachten, um die Trutzburg sicher zu halten oder zumindest zu erfahren, wer mit personenbezogenen Daten Schindluder treibt?
Zu der ersten und wichtigsten Maßnahme zählt sicher das Auskunftsrechts der betroffenen Personen nach Art. 15 EU-DSGVO
Nach Art. 15 Abs. 1 DSGVO haben Personen nämlich das Recht, von dem Verantwortlichen (Geschäftsleitung einer Firma) eine Bestätigung und Information darüber zu verlangen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat die betroffene Person ein Recht auf Auskunft über diese personenbezogenen Daten und darüber hinausgehende Informationen über deren Verarbeitung. Da bereits eine IP-Adresse personenbezogene Daten darstellt, verarbeitet so gut wie jede Firma und jeder Verein, Behörde und Partei personenbezogene Daten in der Varbeitung. Selbst analoge Daten (Ordner, Karteikästen etc.) beinhalten meistens personenbezogene Daten und sind involviert.
Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten. Zusätzlich hat der Verantwortliche nach Art. 15 Abs. 1 DSGVO auch die folgenden Informationen bereitzustellen:
a) die Verarbeitungszwecke
b) die Kategorien personenbezogener Daten, die verarbeitet werden
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
d) falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, hat die betroffene Person darüber hinaus nach Art. 15 Abs. 2 DSGVO das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO (z.B. vereinbarte Standard-Datenschutzklauseln oder verbindliche interne Datenschutzvorschriften) unterrichtet zu werden.
Modalitäten für die Ausübung der Rechte der betroffenen Person
Nach Art. 12 Abs. 1 der DSGVO können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden. Alle Mitteilungen, die sich auf die Verarbeitung beziehen, sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. Wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch stellt, sind die zur Verfügung zu stellenden Informationen gemäß Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z.B. als PDF Datei).
Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, sind ihr die zu erteilenden Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann in komplexen Fällen um zwei Monate verlängert werden. Über Fristverlängerungen ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang ihres Antrags zu informieren.
Häufigkeit und Kosten der Auskunftserteilung
Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Nach Art. 12 Abs. 5 DSGVO hat der Verantwortliche diese Informationen grundsätzlich kostenlos zur Verfügung zu stellen. Verlangt die betroffene Person über die kostenlos zur Verfügung gestellte Kopie hinaus weitere Kopien, kann der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Außerdem kann der Verantwortliche im Falle unbegründeter oder exzessiver Anträge durch eine betroffene Person gemäß Art. 12 Abs. 5 DSGVO entweder ein angemessenes Entgelt verlangen oder eine Auskunftserteilung verweigern. Allerdings hat der Verantwortliche auch den Nachweis dafür zu erbringen, dass der Antrag ausnahmsweise als unbegründet eingestuft wird. Nach Art. 12 Abs. 4 DSGVO ist die betroffene Person über die Gründe der verweigerten Auskunftserteilung zu informieren.
Die beim Hackerangriff resp. Abgreifen der personenbezogenen Daten in der Politik und bei den Promis sollten also einmal nachprüfen, wo ihre Dten in der Welet herumriesen. Erst mit Kenntnis, kann überhaupt festgestellt werden, wo bei zukünftigen Datenlecks der Hund begraben liegt und es betrifft eben alle Bürger in der EU.