enligt artikel 15 i GDPR
Allmän datasekretess är förankrad i den federala dataskyddslagen och är gemensamt tillämplig med den allmänna dataskyddsförordningen. I samband med användningen av personuppgifter är insamling och användning av sådana uppgifter endast tillåten om den federala dataskyddslagen eller andra rättsliga normer uttryckligen tillåter eller föreskriver detta eller om den registrerade har gett sitt samtycke till användningen.
Eftersom användningen förutsätter tillstånd, är det inte tillåtet att samla in uppgifterna utan tillstånd, behandla dem i efterhand eller använda och sprida dem. I samband med ett anställningsförhållande och en verksamhet som innebär användning av uppgifterna finns det också ett förbud om du inte längre arbetar för arbetsgivaren och inte längre utövar din verksamhet. Ett exempel på detta skulle vara en aktivitet inom ramen för en personalposition.
Man måste därför skilja mellan dataskyddsdirektiv, dataskyddslagar och dataskyddsförordningar. Ett dataskyddsdirektiv ger en viss riktning, vilket leder till en dataskyddslag som BDSG (Federal Data Protection Act) på nationell nivå. Dataskyddslagen skiljer sig därför från land till land och kan alltid vara något annorlunda. Inom ramen för dataskyddsbestämmelserna är dessa emellertid lika bindande på internationell nivå för alla europeiska länder och EU-medlemsstater och är därför skyldiga att följa denna förordning.
Den tyska federala dataskyddslagen har funnits i sin nuvarande form sedan 2018, efter att ha antagits som en del av den allmänna dataskyddsförordningen och ytterligare specificerat denna europeiska förordning. Som ett resultat av detta formulerades uttryckliga föreskrifter och särskilda bestämmelser för Tyskland. Den federala dataskyddslagen reglerar till exempel innehåll som GDPR (General Data Protection Regulation) eller har lämnat den särskilt öppen. Det finns dock även uttryckliga dataskyddslagar på delstatsnivå, t.ex. DSG NRW (dataskyddslagen NRW).
Det råder ingen tvekan om att beaktandet av GDPR (General Data Protection Regulation) är fortfarande spännande i detta avseende, eftersom den ger dig personlig rätt att begära information om dessa uppgifter från de organisationer som behandlar dina personuppgifter.
Den Artikel 15 i den allmänna dataskyddsförordningen garanterar varje individ en viktig rättighet. Enligt denna artikel har registrerade rätt att begära information från ett företag eller en organisation om vilka uppgifter som lagras eller behandlas om dem. I de flesta fall får den registrerade också information om syftet med behandlingen, uppgifternas ursprung eller mottagaren av uppgifterna.
Rätten till information finns gentemot offentliga organ som myndigheter och alla andra organ som företag, föreningar eller klubbar. Syftet med denna information bör vara att få en allmän överblick och en viss kontroll över vilka exakta uppgifter som behandlas och lagras.
Art. 15 GDPR skapar en grund för dig att hävda specifika rättigheter såsom rätten till rättelse, radering, begränsning av behandling eller rätten att invända mot behandling. Det är därför möjligt att få information från den personuppgiftsansvarige om huruvida uppgifter behandlas och, om så är fallet, vilka uppgifter som behandlas. Detta inkluderar uppgifter som rör personen. Ytterligare information finns i artikel 4.1 nr 1 i dataskyddsförordningen. GDPR.
Definitioner
"Personuppgifter" [avser] all slags information som avser en identifierad eller identifierbar fysisk person (nedan kallad den registrerade); en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en onlineidentifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet."
Begreppet data utvidgas därför och avser inte bara en persons stamdata, såsom namn, adress eller födelsedatum. Uppgifter som kommunikation som redan har avslutats eller anteckningar och dokument påverkas också. Begäran om information är i allmänhet kostnadsfri för dig. Ett undantag från detta är om begäran är uppenbart ogrundad eller om det finns en alltför stor anhopning av förfrågningar. En avgift kan då tas ut för informationen.
Rätten till rättelse följer av artikel 16 i GDPR ut. Om du upptäcker att dina personuppgifter är felaktiga har du rätt att kräva att den behandlande organisationen omedelbart rättar dina uppgifter. Detta måste ske "utan onödigt dröjsmål", dvs. utan klandervärd tvekan.
Rätt till rättelse
"Den registrerade skall ha rätt att av den registeransvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av syftet med behandlingen ska den registrerade ha rätt att få ofullständiga personuppgifter kompletterade, inbegripet genom att lämna en kompletterande redogörelse."
Du har också rätt till radering eller begränsning av behandlingen gentemot organet. Du har rätt till radering och begränsning i synnerhet om behandlingen av dina uppgifter inte längre är nödvändig eller insamlingen inte var laglig, du har skrivit en uppsägning mot behandlingen eller har lämnat in en invändning mot behandlingen. Du har också denna rätt om raderingen krävs av rättsliga skäl eller om till exempel en ung person har registrerat sig i ett socialt nätverk. Alla skäl för radering finns i artikel 17 i dataskyddsförordningen.
Som ett undantag från ovan nämnda rättighet måste det nämnas att radering eller begränsning inte sker om behandlingen av uppgifterna tjänar en offentlig uppgift eller det allmänna intresset. Ett annat undantag är om behandlingen av uppgifterna utförs i syfte att bedriva forskning, vetenskap eller statistik och är nödvändig. Den aktuella "folkräkningen 2022" kan nämnas som ett exempel på statistik och bostadssituationen i Tyskland. Deltagande i detta är obligatoriskt och underlåtenhet att följa anmälan kan bestraffas med upp till 5 000,00 euro. I extrema fall kan det till och med krävas att uppgifterna lämnas ut.
För att garantera datasäkerheten har alla anställda vid undersökningscentren tystnadsplikt och datainsamlingen online är krypterad. Uppgifterna vidarebefordras inte heller till tredje part.
Om du vill få information från ett organ i enlighet med avsnitt 15 i GDPR, måste du informeras om följande.
Rätten till information i enlighet med artikel 15 GDPR är uttryckligen inte beviljad utan begränsning. Gränserna för informationen är i första hand andra personers fri- och rättigheter. Enkelt uttryckt handlar det om tredje mans personuppgifter eller affärs- och yrkeshemligheter. Den person som tillhandahåller informationen kan inte alltid vägra att tillhandahålla informationen helt och hållet. Logiskt sett har han eller hon alltid möjlighet att mörka uppgifter om tredje part eller hemligheter för att skydda sin identitet på ett adekvat sätt. Ytterligare begränsningar kan följa av den federala dataskyddslagen eller socialförsäkringslagen X.
Ett exempel på detta är skyddet av den allmänna säkerheten. Detta hänvisar i sin tur till skyddet av den skriftliga rättsordningen, staten och dess institutioner eller medborgarnas enskilda rättsliga intressen.
Dessutom finns det en skyldighet att behålla personuppgifter om de används, till exempel på grund av skatte- eller handelsrättsliga bestämmelser. I regel finns det ingen rätt till information om detta är förknippat med en oproportionerligt hög ansträngning och den person som tillhandahåller informationen kan säkerställa ändamålsbegränsningen av säkerhetskopieringen av uppgifterna genom lämpliga tekniska eller organisatoriska åtgärder. I avsnitt 34 BDSG regleras ytterligare detaljer om begränsningen av rätten till information.
Rätten till information föreligger inte om den registrerade inte ska informeras eller om uppgifterna inte får raderas på grund av rättsliga bestämmelser eller om de uteslutande används för säkerhetskopiering eller kontroll av dataskydd. För att begäran ska kunna avslås måste båda varianterna kräva en oproportionerligt stor ansträngning.
Du kan göra och lämna in själva ansökan, där du anger din rätt till information, i en informell ansökan till det berörda kontoret utan att behöva ange några skäl. Om du går till kontoret personligen eller ber om information per telefon kommer detta i allmänhet inte att beviljas eller vara möjligt. Vid en telefonförfrågan är det vanligtvis inte möjligt att säkerställa att den behöriga personen kan identifieras. Detta följer av principen att det organ som behandlar personuppgifterna måste se till att uppgifterna inte lämnas ut till obehöriga tredje parter.
Ansökan till organet bör därför alltid göras skriftligen eller via säker elektronisk form, t.ex. DE-Mail. Om organet har ett objektivt motiverat tvivel om identiteten kan det begära ytterligare information för att bekräfta identiteten. Detta anges i artikel 12.6 i dataskyddsförordningen.
Behandlingens laglighet
"Utan att det påverkar tillämpningen av artikel 11 får den personuppgiftsansvarige, om denne har rimliga tvivel om identiteten hos den fysiska person som gör den begäran som avses i artiklarna 15-21, begära ytterligare information som är nödvändig för att bekräfta den registrerades identitet."
Det är t.ex. inte ovanligt att den begärande organisationen ber om en kopia av identitetskortet för att kunna göra en sådan bekräftelse. På så sätt säkerställer den sökande åtminstone att namn, adress och födelsedatum kan kontrolleras. Du behöver inte uppge bild, nationalitet eller ID-kortnummer. Dessa uppgifter kan vara överstrukna när ID-kortet begärs ut. Centret måste se till att uppgifterna från ID-handlingen endast används för att kontrollera din identitet och inte ingår i centrets databas. När du gör en ansökan är det därför särskilt tillrådligt att du beskriver exakt vilken information du vill få och om exakt vad. Detta möjliggör snabbare och framför allt mer målinriktad information.
En slutlig vägran att tillhandahålla information till den fysiska personen är sällsynt, men ändå tänkbar. I sådana fall är du fri att lämna in ett klagomål till den behöriga tillsynsmyndigheten för dataskydd. Det är viktigt att du bifogar den korrespondens du har haft med myndigheten fram till dess med ditt klagomål. Det är därför viktigt att du sparar detta. Även av detta skäl är det alltid tillrådligt att avstå från att kontakta organet per telefon eller personligen. Den behöriga tillsynsmyndigheten, t.ex. för delstaten Nordrhein-Westfalen, är LDI (delstatens kommissionär för dataskydd och informationsfrihet).
Vanliga fel som myndigheterna gör i samband med en begäran om information i enlighet med artikel 15 i GDPR är att begäran om information helt enkelt ignoreras, svaret endast innehåller stamdata, begäran inte vidarebefordras inom myndigheten eller att informationen inte tillhandahålls i god tid.
Om information enligt artikel 15 GDPR begärs kan det ordinarie förfarandet delas in i olika faser. I fas 1 skickas begäran om information till det utsedda kontoret. Inom kontoret vidarebefordras ansökan till den ansvarige medarbetaren. Fas 2 innebär vanligtvis att en identitetskontroll utförs på den sökande. Fas 3 är bearbetningsfasen, där all personuppgiftsinformation sammanställs. Fas 4 är svarsfasen, vanligtvis inom en månad. I fas 5 avslutas förfarandet och en dokumentation med definition och lagringstid är resultatet.
Enligt artikel 15 i GDPR är en begäran om information alltid något som endast registrerade personer kan använda sig av. Detta är ett personligt anspråk. Inget talar dock emot representation, t.ex. av en betrodd advokat. Eftersom informationen rör personuppgifter måste advokaten i fråga alltid inhämta en fullmakt och visa upp denna på kontoret. Det är alltså fråga om en särskild legitimering av företrädaren gentemot organet.
En fullmakt som ges till advokaten måste därför uttryckligen hänvisa till den önskade rätten till information i enlighet med artikel 15 GDPR hänvisa. Resultatet av informationen skickas sedan också till advokaten. Eftersom det inte finns några krav på själva fullmakten kan den utfärdas skriftligen, elektroniskt eller muntligen, till exempel. För att säkerställa att begäran om information är framgångsrik kommer den behöriga myndigheten alltid att be om det nödvändiga tillståndet från den person som begär informationen. Detta får dock inte leda till att begäran försvåras för den berörda personen om denne inte själv vill framföra den.
Den GDPR föreskriver också att informationen, liksom korrigering och radering av uppgifterna, måste tillhandahållas omedelbart. Detta måste dock ske senast inom en månad. Om så inte är fallet kan det leda till krav på ersättning för sveda och värk eller skadestånd. Detta regleras på motsvarande sätt i artikel 12.3 i GDPR.
Transparent information [...] till den registrerade
"Den personuppgiftsansvarige ska på begäran ge den registrerade information om de åtgärder som vidtagits i enlighet med artiklarna 15-22. omedelbart, men under alla omständigheter inom en månad från mottagandet av ansökan. Denna period får förlängas med två månader om det är nödvändigt med hänsyn till komplexiteten och antalet förfrågningar. Den personuppgiftsansvarige ska informera den registrerade om varje förlängning av tidsfristen inom en månad från mottagandet av begäran, tillsammans med skälen till förseningen. Om den registrerade lämnar in sin begäran elektroniskt ska han eller hon om möjligt informeras på elektronisk väg, såvida han eller hon inte anger något annat."
Om det ansvariga organet bryter mot denna skyldighet utgör detta en överträdelse av lagen, vilket enligt bestämmelserna i GDPR kan leda till både böter mot organet och ett skadeståndsanspråk eller ersättning för sveda och värk (ideell skada) mot den registrerade. Detta följer av artikel 82 i GDPR.
Ansvar och rätt till ersättning
"Den som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet".
Arbetsdomstolen i Düsseldorf har redan beslutat att det finns ett krav på skadestånd på grund av underlåtenhet att tillhandahålla information eller otillräcklig information i enlighet med artikel 15 i GDPR. Den fann att ett belopp på 500,00 euro i ersättning var lämpligt i varje fall på grund av en försening på två månader. För ytterligare tre månaders försening var ersättningen 1 000,00 euro i varje fall och ytterligare 500,00 euro i två fall för otillräcklig information om innehållet. Svaranden skulle därför betala 5 000,00 euro till den berörda personen. Att läsas under skylten: ArbG Düsseldorf, ZD 2020 649.
Sammanfattningsvis kan sägas att juridisk rådgivning alltid rekommenderas med avseende på den information som begärs enligt den allmänna dataskyddsförordningen (GDPR) om informationen inte har skickats alls, har skickats för sent eller har skickats på ett bristfälligt sätt.
I särskilt komplicerade fall är det dessutom tillrådligt att vända sig direkt till en advokat så att denne kan lämna in begäran om information i enlighet med artikel 15 i GDPR. Som redan nämnts ovan finns det en möjlighet att skadeståndsanspråk eller ersättning för smärta och lidande kan uppstå, vilket kan hävdas av en advokat i domstolsförfaranden. Detta säkerställer också att det ansvariga organet hanterar dina personuppgifter korrekt i framtiden.
Vi är glada att kunna vara rätt kontakt för dig och kommer att ta full hänsyn till dina önskemål om skydd av personuppgifter.
Huvudkontor - Kerpen
Patrick Baumfalk, advokat
Huvudgata 147
50169 Kerpen
Tyskland
Filialkontor - Witten
Patrick Baumfalk, advokat
Berliner Strasse 4
58452 Witten
Tyskland
Vår samarbetspartner i USA, FL, Merritt Island, Spacecoast och Miami, USA:
Alexander Thorlton, Esq. - Tysk-amerikanska fastighets- och immigrationsrättscentret, LLC
Webdesign & SEO från Baumfalks tjänster