Wie sollten Anträge von Personen, die ihre Datenschutzrechte ausüben, bearbeitet werden?

Antwort

Personen können Ihr Unternehmen/Ihre Organisation kontaktieren, um ihre Rechte (Recht auf Auskunft, Berichtigung, Löschung, Übertragbarkeit usw.), die ihnen nach der Datenschutz-Grundverordnung zustehen, auszuüben. Werden personenbezogene Daten auf elektronischem Wege verarbeitet, so sollte Ihr Unternehmen/Ihre Organisation dafür sorgen, dass Anträge elektronisch gestellt werden können. Ihr Unternehmen/Ihre Organisation muss den Antrag der betroffenen Person unverzüglich und grundsätzlich spätestens innerhalb eines Monats nach Eingang des Antrags beantworten.

Ihr Unternehmen/Ihre Organisation darf zur Bestätigung der Identität der antragstellenden Person zusätzliche Informationen anfordern.

Wenn Ihr Unternehmen/Ihre Organisation den Antrag abweist, muss es die Person über die Gründe dafür sowie ihr Recht unterrichten, Beschwerde bei der Datenschutzbehörde und einen gerichtlichen Rechtsbehelf einzulegen.

Die Bearbeitung der Anträge von Personen ist unentgeltlich durchzuführen. Bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger Wiederholung, exzessiven Anfragen können Sie ein angemessenes Entgelt verlangen oder sich weigern, tätig zu werden.

Beispiel

Eine Person, die bereits im Vormonat Zugang zu all ihren personenbezogenen Daten hatte, reicht erneut denselben Antrag auf Zugang zu denselben personenbezogenen Daten ein. Sie können die Person entweder darüber informieren, dass Sie den Antrag ablehnen, oder ein angemessenes Entgelt verlangen.

Referenzen

• Artikel 12, 15-22; Erwägungsgründe 59, 63, 64, 65, 66, 67, 68, 69, 70, 71
• Leitlinien 4/2018 zur Akkreditierung von Zertifizierungsstellen gemäß Artikel 43 der Datenschutz-Grundverordnung (2016/679)
• Leitlinien 1/2018 über Zertifizierungen und Zertifizierungskriterien nach Artikel 42 und 43 der Verordnung 2016/679 – überarbeitete Fassung nach öffentlicher Konsultation

A person who accessed all his personal data the month before, lodges again the same request for access to the same personal data. You may consider either informing them that you reject their request or requesting a reasonable fee.

• Article 12 and Articles 15 to 22 and Recitals (59) and (63) to (71) of the GDPR
• EDPB guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)
• EDPB guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - revised version after public consultation