Artikel 15 der Datenschutz-Grundverordnung – verankert in der niederländischen Datenschutz-Grundverordnung (AVG) – gibt jeder Person das eindeutige Recht, zu erfahren, ob eine Organisation ihre personenbezogenen Daten verarbeitet, eine Kopie zu erhalten und den Kontext wie Zwecke, Empfänger und Aufbewahrungsfristen einzusehen. Dieses Recht ist das Rückgrat von Transparenz und Rechenschaftspflicht: Es ermöglicht Einzelpersonen zu überprüfen, was über sie gespeichert ist, und zwingt Unternehmen, ihre Datenpraktiken sauber, dokumentiert und vertretbar zu halten.
Ob Sie Ihre eigene Personalakte anfordern oder sich auf die Auskunftsanfrage eines Kunden vorbereiten: Die Kenntnis des genauen Geltungsbereichs und der Grenzen von Artikel 15 verringert das Risiko von Bußgeldern, Streitigkeiten und Reputationsschäden. Auf den folgenden Seiten übersetzen wir den Gesetzestext in verständliches Englisch, führen betroffene Personen Schritt für Schritt durch eine Antragsvorlage, informieren Verantwortliche über Fristen, Gebühren und Redaktionspflichten, weisen auf die niederländischen Vorschriften der Autoriteit Persoonsgegevens hin und bieten abschließend praktische Checklisten für beide Seiten.
Entschlüsselung von Artikel 15 AVG in einfachem Englisch
„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten…“ – Artikel 15 Absatz 1 Datenschutz
Im Klartext: Sie können jede Organisation fragen „Speichern Sie Daten über mich? Wenn ja, zeigen Sie mir, welche Daten Sie teilen, warum, mit wem und wie lange Sie sie aufbewahren.“ Dies ist der Kern des Auskunftsrechts gemäß der DSGVO; der Geltungsbereich von Artikel 15 AVG in den Niederlanden ist identisch, da das niederländische Uitvoeringswet AVG die Durchsetzung lediglich lokalisiert, ohne den Inhalt zu ändern.
Wenn Sie einen Antrag stellen, haben Sie Anspruch auf acht konkrete Punkte:
- Bestätigung der Verarbeitung
- Eine Kopie der personenbezogenen Daten
- die Verarbeitungszwecke
- Betroffene Datenkategorien
- Empfänger bzw. Empfängerkategorien
- Geplante Speicherdauer bzw. Kriterien für deren Festlegung
- Weitere DSGVO-Rechte, die Sie ausüben können
- Schutzmaßnahmen für jegliche Übertragungen außerhalb des EWR
Das Recht ist persönlich – nur die betroffene Person (oder ein berechtigter Vertreter) kann es geltend machen – und es ist Absolute hinsichtlich des Erhalts Ihrer eigenen Daten. Verantwortliche können den Zugriff jedoch einschränken oder verweigern, wenn andere Grundrechte (Geschäftsgeheimnisse, Privatsphäre Dritter) beeinträchtigt würden.
Rechtstext vs. Laienbegriffe
| Artikel 15 Klausel | Was es wirklich bedeutet |
|---|---|
| 15 (1) Bestätigung | Fragen Sie „Ja/Nein“, wenn Ihre Daten verarbeitet werden. |
| 15 (1) Zugang | Holen Sie sich die tatsächlichen Daten und den Kontext. |
| 15 (1) (c) Empfänger | Erfahren Sie, wer die Daten innerhalb und außerhalb des Unternehmens sieht oder erhält. |
| 15 (2) Drittlandtransfers | Informieren Sie sich über Daten, die außerhalb des EWR gesendet werden, und die verwendeten Schutzmaßnahmen. |
| 15 (3) Kopieren | Erhalten Sie die Informationen kostenlos in einem wiederverwendbaren digitalen Format. |
Die wichtigsten Erkenntnisse auf einen Blick
- Wie lange darf ein Controller dauern? Ein Monat, erweiterbar auf drei für komplexe Fälle.
- Können sie mir etwas berechnen? Nein, es sei denn, die Anfrage ist „offensichtlich unbegründet oder übertrieben“.
- In welchem Format erhalte ich die Daten? Sichere elektronische Datei (z. B. PDF oder CSV), sofern Sie nichts anderes verlangen.
- Muss ich ein spezielles Formular verwenden? Nein; E-Mail, Brief oder sogar ein Telefonanruf zählen.
- Was passiert, wenn sie nichts über mich in der Hand haben? Das müssen sie mir innerhalb derselben Frist schriftlich mitteilen.
Wer kann das Recht ausüben und gegenüber wem?
Gemäß Artikel 4 Absatz 1 DSGVO betroffene Person ist jede lebende, identifizierbare natürliche Person – ob Kunde, Mitarbeiter, Patient oder minderjähriger Schüler. Jeder von ihnen kann das Auskunftsrecht gemäß der DSGVO geltend machen: Der Geltungsbereich von Artikel 15 des AVG diskriminiert nicht nach Alter, Nationalität oder Wohnsitz. Anfragen sind zu richten an: Controller: die Partei, die entscheidet warum und wie die Daten verarbeitet werden. Ein Cloud-Anbieter oder Lohnbüro, das die Daten lediglich speichert, ist ein Prozessor; es muss die Anfrage an den Controller weiterleiten, kann aber direkte Anweisungen nicht ablehnen.
Einwohner der Niederlande können ihre Anfrage auch an ein ausländisches Unternehmen richten, das auf den niederländischen Markt abzielt (z. B. ein in Irland ansässiges soziales Netzwerk). Die Frist von einem Monat beginnt mit dem Eingang der Anfrage beim Verantwortlichen, unabhängig davon, wo sich dessen Server befinden.
Besondere Situationen: Vertreter, Verstorbene, Eltern und Erziehungsberechtigte
- Minderjährige und geschäftsunfähige Erwachsene: Ein Elternteil, Vormund oder Pfleger kann gemäß Buch 1 des niederländischen Bürgerlichen Gesetzbuchs in ihrem Namen handeln.
- Schulen und Arbeitgeber: Schüler und Mitarbeiter sich kann einen Antrag auf Auskunft über personenbezogene Daten (SAR) stellen; Vertreter sind optional und nicht erforderlich.
- Verstorbene Personen fallen nicht unter die DSGVO, Ärzte, Notare und Versicherer müssen jedoch weiterhin die Vorschriften zur beruflichen Schweigepflicht einhalten, bevor sie entsprechende Akten offenlegen.
Gemeinsame Verantwortung der Verantwortlichen in gemeinsam genutzten Systemen
Wenn zwei oder mehr Organisationen gemeinsam die Zwecke oder Mittel der Verarbeitung bestimmen (Artikel 26 DSGVO) – zum Beispiel ein Arbeitgeber und sein HR-Software-Anbieter – sind sie Gemeinsam VerantwortlicheSie müssen transparent vereinbaren, wer Anfragen gemäß Artikel 15 beantwortet, und die betroffene Person informieren, aber jeder bleibt haftbar, wenn der andere es vermasselt.
Was offengelegt werden muss: Daten und ergänzende Informationen
Wenn Sie das Auskunftsrecht gemäß der DSGVO geltend machen, ist der Verantwortliche gemäß Artikel 15 AVG verpflichtet, zwei Dinge herauszugeben: die tatsächliche personenbezogene Daten und ein Paket von kontextuelle DetailsStellen Sie sich vor, Sie erhalten sowohl das Foto als auch die Bildunterschrift. Die Gesetzgebung unterteilt die Offenlegungspflicht in acht Kategorien, die unten aufgeführt sind.
| Art. 15 Abs. 1 Ziffer | Was Sie erhalten sollten |
|---|---|
| (a) Bestätigung | Eine klare ja Nein ob Ihre Daten verarbeitet werden |
| (b) Zwecke | Die Gründe für die Existenz der Daten (z. B. Gehaltsabrechnung, Marketing) |
| c) Kategorien | Typen wie Kontaktdaten, Kaufhistorie, GPS-Protokolle |
| d) Empfänger | Interne Teams und externe Partner oder Auftragsverarbeiter |
| (e) Aufbewahrung | Genauer Zeitraum bzw. Kriterien (z. B. „7 Jahre für Steuerrecht“) |
| f) Rechte | Erinnerung: Sie können Daten berichtigen, löschen, einschränken, widersprechen oder sich beschweren |
| g) Quelle | Woher die Daten stammen, wenn sie nicht bei Ihnen erhoben wurden |
| (h) Übermittlungen | Sicherheitsvorkehrungen für Sendungen außerhalb des EWR |
Personenbezogene Daten umfassen mehr als nur Namen und Nummern. Sie umfassen Verhaltensprofile, abgeleitete Kredit-Scores, Videoüberwachungsaufnahmen, Sprachaufzeichnungen, Geräte-IDs und sogar scheinbar langweilige Metadaten wie Anmeldezeitstempel – alles, was direkt oder indirekt mit einer identifizierbaren Person verknüpft werden kann.
Erläuterung der „Kopie der personenbezogenen Daten“
A Kopieren bedeutet eine verständliche Reproduktion, nicht die Original-Papierdatei. Erwarten Sie:
- Ein PDF Ihrer Lohn- und Gehaltsabrechnung
- CSV-Export von CRM-Notizen
- ZIP mit Audiodateien von Supportanrufen
Wenn Sie die Anfrage per E-Mail gesendet haben, sollte die Standardzustellung ebenfalls elektronisch und in einem „allgemein verwendeten“ Format erfolgen, sofern Sie nicht um Papier bitten.
Persönliche Daten vs. Dokumente: Wo ist die Grenze zu ziehen?
Controller dürfen nur die Ausschnitte extrahieren, die sich auf Sie beziehen. Beispielsweise können in einem Besprechungsprotokoll mit mehreren Mitarbeitern Ihre mündlichen Bemerkungen offengelegt werden, während die Kommentare von Kollegen redigiert werden. Umgekehrt kann ein unterschriebenes Arbeitsvertrag wird vollständig offengelegt, da jede Klausel Sie betrifft.
Obligatorische Zusatzinformationen
Neben der Datenkopie muss der Verantwortliche folgende Informationen erläutern: Zweck, Kategorien, Empfänger, Aufbewahrung, verfügbare Rechte, Datenquellen, die Logik hinter automatisierten Entscheidungen (falls vorhanden) und Übertragungsgarantien. Achten Sie auf vage Antworten – „für Geschäftszwecke“ oder „so lange wie nötig gespeichert“ werden die Autoriteit Persoonsgegevens wahrscheinlich nicht zufriedenstellen. Umfassende, verständliche Erklärungen sind der beste Schutz vor Beschwerden und Bußgeldern.
So reichen Sie in den Niederlanden eine Anfrage zum Zugriff auf personenbezogene Daten (SAR) ein und bearbeiten sie
Eine Anfrage auf Auskunft über personenbezogene Daten kann auf jede beliebige Art und Weise gestellt werden – per Telefon, E-Mail, Brief, Social-Media-DM oder sogar ein Chatbot. Artikel 12 DSGVO verbietet es Verantwortlichen, ein bestimmtes Formular anzufordern. Daher reicht „Ich möchte eine Kopie aller personenbezogenen Daten, die Sie über mich gespeichert haben“ aus, um die Frist zu starten. Am besten ist es jedoch, ein schriftliches Protokoll einzureichen, damit beide Seiten die Fristen im Auge behalten können. Sobald die Anfrage eingeht, muss der Verantwortliche unverzüglich (1) den Eingang bestätigen und (2) die ein Monat Bei Schweigen oder Verzögerung nach diesem ersten Monat besteht die Gefahr einer Beschwerde bei der Autoriteit Persoonsgegevens (AP) und möglicher Geldstrafen.
Nachfolgend finden Sie eine prägnante, zweisprachige Vorlage, die die betroffenen Personen kopieren und einfügen können. Es ist kein juristischer Fachjargon erforderlich.
Subject: Subject Access Request – Article 15 GDPR/AVG
Dear [Controller],
I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data.
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).
Kind regards,
[Name] | [Email] | [Any reference number]
---
Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR
Geachte [Verwerkingsverantwoordelijke],
Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt.
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.
Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]
Controller sollten einen einfachen Aufnahme-Workflow erstellen –[E-Mail geschützt] Postfach, Ticketnummer, automatische Bestätigung – um die Einhaltung später nachzuweisen.
Identitätsprüfung ohne übermäßiges Sammeln von Daten
Der Verantwortliche muss bei der Überprüfung der Anfragen „angemessen“ vorgehen, ohne mehr Daten zu erfassen als nötig. Die AP empfiehlt:
- Ordnen Sie die Anfragedetails nach Möglichkeit den vorhandenen Kontodaten (Benutzername, Client-ID) zu.
- Wenn zusätzliche Nachweise unumgänglich sind, fordern Sie einen redigierten Reisepass an oder Führerschein-Scan mit geschwärzter BSN, Foto und MRZ.
- Bewahren Sie Kopien niemals länger auf, als für die Überprüfung erforderlich ist. Protokollieren Sie die Tatsache der Überprüfung und löschen Sie die Datei anschließend.
Protokollierung und Aufzeichnung zur Rechenschaftspflicht
Ein einfaches SAR-Protokoll stellt die Aufsichtsbehörden – und Ihren Datenschutzbeauftragten – zufrieden. Protokollieren Sie:
- Empfangsdatum und Kanal (E-Mail, Anruf usw.)
- Durchgeführte Schritte zur Identitätsüberprüfung
- Umfang der Daten
- Beteiligte interne Teams
- Datum und Art der Antwort + etwaige beantragte Fristverlängerungen
- Zusammenfassung der bereitgestellten Informationen oder Gründe für die Ablehnung
Durch die Führung dieses Registers wird das Prinzip der „Verantwortlichkeit“ gemäß Artikel 5 unterstützt und es entsteht ein vorgefertigter Prüfpfad, falls der AP an Ihre Tür klopft.
Zeitpläne, Gebühren und Lieferformate der Controller
Wenn die Uhr startet, haben die Controller 1 Monat um eine Anfrage zum Thema Zugang zu beantworten. Sie können einmal verlängern durch bis zu zwei weitere Monate, aber nur bei komplexen oder zahlreichen Anfragen und Sie müssen die Verzögerung innerhalb des ersten Monats begründen. Wenn keine personenbezogenen Daten gespeichert sind, muss der Verantwortliche dennoch innerhalb derselben Frist antworten und dies ausdrücklich mitteilen.
Artikel 12(5) legt eine Null-Gebühren-Regel fest: Der Zugang ist kostenlos. Eine Gebühr ist nur zulässig, wenn eine Anfrage „offensichtlich unbegründet oder übertrieben“– denken Sie an einen Mitarbeiter, der jede Woche identische Kopien anfordert, oder an einen Spammer, der Daten zu Hunderten gefälschter Profile anfordert.
Die Übermittlung muss in einem allgemein gebräuchlichen, sicheren Format erfolgen. Ein kurzer Vergleich:
| Format | Vorteile | Nachteile |
|---|---|---|
| Verschlüsseltes PDF | Lesbar; einfache Redaktion | Schwache Passwörter möglich |
| CSV-Export | Maschinenlesbar; kleine Größe | Für Laien schwieriger |
| Sicheres Portal | 2FA und Prüfpfad | Kostspielige Wartung |
Welcher Weg auch immer gewählt wird, die Verantwortlichen sollten angemessene Präferenzen berücksichtigen und eine proprietäre Bindung vermeiden.
Sichere Übertragung und Datenminimierung
Versenden Sie niemals ungeschützte Tabellenkalkulationen per E-Mail. Verwenden Sie passwortgeschützte Dateien (teilen Sie den Schlüssel separat), HTTPS-Portale mit Zwei-Faktor-Authentifizierung oder Einschreiben für Papierpakete. Bereinigen Sie vor der Übertragung Daten von Drittanbietern mit einer Schwärzungssoftware und entfernen Sie überflüssige Felder. Dies entspricht der Minimierung von Artikel 5(1)(c) und schützt gleichzeitig Mitarbeiter, Geschäftsgeheimnisse und Unbeteiligte.
Berechtigte Gründe für die Einschränkung oder Verweigerung des Zugriffs
Artikel 15 ist zwar mächtig, aber nicht grenzenlos. Absatz 4 und Erwägungsgrund 63 machen deutlich, dass ein Verantwortlicher die Offenlegung einschränken oder sogar verweigern kann, wenn die Weitergabe der Informationen mit anderen Grundrechten kollidieren würde oder schlichtweg unzumutbar wäre. Die Beweislast liegt beim Verantwortlichen: Er muss Dokument warum der vollständige Zugriff diese konkurrierenden Interessen beeinträchtigen würde und wie Sie die Auswirkungen abgemildert haben (z. B. durch teilweises Streichen).
Schutz der Privatsphäre Dritter
Die Offenlegung einer E-Mail-Kette, in der auch Kollegen oder Kunden genannt werden, kann ihr personenbezogene Daten. Die niederländische Rechtsprechung (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) bestätigt, dass Verantwortliche Kennungen Dritter unkenntlich machen oder zusammenfassen dürfen, sofern der Antragsteller den Kontext noch versteht. Techniken:
- Schwarz eingefärbte Namen und Telefonnummern
- Durch neutrale Begriffe ersetzen („ein anderer Mitarbeiter“)
- Liefern Sie Auszüge statt der gesamten Datei
Geschäftsgeheimnisse, geistiges Eigentum und Urheberrecht
Unternehmen müssen ihren algorithmischen Kimono nicht öffnen. Wenn die Offenlegung von Quellcode, Preisformeln oder urheberrechtlich geschütztem Material vertrauliches Know-how preisgeben würde, erlaubt Artikel 15(4) eine angemessene Reaktion. Typische Problemumgehung: Beschreiben Sie die Logik einer automatisierten Entscheidung in einfachem Englisch, nicht den vollständigen Code; geben Sie Auszüge aus einem Vertragsplan an, nicht die proprietäre Vorlage. Erklären Sie stets, warum eine weitergehende Offenlegung kommerziellen Interessen schaden würde.
Verhinderung von Rechtsmissbrauch
Eine Anfrage ist offensichtlich unbegründet oder übertrieben wenn es sich um wiederholte, schikanöse oder absichtlich belastende Maßnahmen handelt – denken Sie an wöchentliche Copy-Paste-SARs, nachdem bereits vollständige Daten übermittelt wurden. Controller können dann:
- Erheben Sie eine „angemessene Gebühr“, die die Verwaltungskosten widerspiegelt. or
- Weigern Sie sich, überhaupt zu handeln.
In jedem Fall müssen Sie Ihren Standpunkt schriftlich begründen und die betroffene Person über ihr Recht informieren, sich bei der Autoriteit Persoonsgegevens zu beschweren.
Wiedergutmachung: Beschwerden und Rechtsstreitigkeiten in den Niederlanden
Wenn ein Verantwortlicher sein Ziel verfehlt, haben die betroffenen Personen schnelle und schrittweise Möglichkeiten, ihr Auskunftsrecht gemäß der DSGVO (im Geltungsbereich von Artikel 15 der DSGVO) durchzusetzen.
- Innerer Anstoß. Senden Sie eine datierte Erinnerung mit Verweis auf Artikel 15 und die abgelaufene Frist. Die meisten Organisationen kommen der Aufforderung nach.
- Autoriteit Persoonsgegevens Beschwerde. Online einreichen. Die AP kann die Offenlegung anordnen, tägliche Strafzahlungen verhängen oder Verwaltungsstrafen erheben. Einfache Fälle werden oft innerhalb von drei Monaten abgeschlossen.
- Zivilgerichtsverfahren. Gemäß Artikel 82 DSGVO Niederländische Gerichte kann einstweilige Verfügungen erlassen und Entschädigungen zusprechen. Jüngste Urteile haben 250–2 500 € für Notfälle zugesprochen, mit Schnellverfahren summarisches Verfahren Bei dringenden Arbeitsverhältnissen gibt es Hilfen.
Grenzüberschreitende Zusammenarbeit und One-Stop-Shop
Ein niederländischer Einwohner kann sich auch dann an die AP wenden, wenn der EU-Hauptsitz des Verantwortlichen anderswo liegt. Die AP leitet die Akte über die DSGVO weiter. One-Stop-Shopund die Europäischer Datenschutzausschuss kann jede regulatorische Sackgasse überwinden – die geografische Lage stellt also kein Hindernis für den Zugriff auf Ihre Daten dar.
Compliance-Blueprint für Organisationen
Ein sauberer SAR-Prozess beginnt lange vor dem Eintreffen der ersten Anfrage. Bauen Sie diese wesentlichen Elemente ein, und 90 % der Zugriffsprobleme verschwinden:
- Veröffentlichen Sie eine kurze, in einfachem Englisch verfasste SAR-Richtlinie und weisen Sie Ihre Mitarbeiter darauf hin.
- Halten Sie Ihr Verzeichnis der Verarbeitungstätigkeiten (RoPA) auf dem neuesten Stand, damit Sie wissen, wo sich die Daten befinden.
- Ordnen Sie Aufbewahrungsfristen und Löschauslöser zu. Veraltete Daten sind Daten, die Sie nie weitergeben müssen.
- Behalten Sie einen schrittweisen Redaktionsworkflow mit einer Überprüfung durch zwei Kontrollen bei.
- Protokollieren Sie jede Anfrage, Entscheidung und Frist für Artikel 5 Rechenschaftspflicht.
- Führen Sie jährlich Planübungen durch, um Geschwindigkeit, Klarheit und Befehlskette zu testen.
Schulen Sie Front-Office, HR und IT darin, mündliche Anfragen zu erkennen und zu priorisieren. Ein verpasster Anruf kann die Strafe in Gang setzen.
Automatisierung und Tools
Verwenden Sie Datenerkennungssoftware, APIs zur ID-Verifizierung und sichere Download-Portale, um Daten schnell zu finden, zu verpacken und zu übertragen – und lassen Sie dabei immer Raum für eine menschliche Sinnprüfung und Kontextprüfung.
Integration mit anderen Rechten betroffener Personen
Gestalten Sie den SAR-Workflow so, dass er in Korrektur-, Löschungs- oder Portabilitätsaktionen verzweigt. Eine kohärente Pipeline vermeidet doppelte Suchvorgänge und inkonsistente Antworten.
Stärkung der Datensubjekte: Praktische Tipps für wirksame Anfragen
Ein klarer, gut abgegrenzter SAR spart allen Beteiligten Zeit und erschwert es dem Lotsen, die Situation zu verzögern. Versuchen Sie folgende Taktiken:
- Genau feststellen was Sie möchten: „Alle E-Mails zwischen mir und Manager Jansen vom 1. Januar bis 31. März 2024.“
- Erwähnen woher dort steht: „HR-System und Helpdesk-Tickets.“
- Geben Sie Ihre bevorzugtes Format (CSV, PDF) und sicherer Kanal.
- Markieren Sie die Dringlichkeit, wenn relevant („bevorstehende Leistungsbeurteilung am 15. Oktober“).
Sobald die Daten vorliegen, suchen Sie nach Fehlern oder Lücken und senden Sie sofort eine Berichtigungs- oder Löschungsanfrage – indem Sie immer die gleiche Beweisspur verfolgen, bleibt die Dynamik erhalten.
Eskalationsstrategie bei Missachtung
Tag 31 und immer noch Funkstille? Bleiben Sie höflich, aber bestimmt:
Subject: Reminder – Article 15 GDPR/AVG request overdue
Dear [Controller],
On [date] I requested access to my personal data. The one-month term has passed without a response.
Please provide the information within seven days or explain the lawful basis for any refusal.
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.
Regards,
[Name]
Dokumentieren Sie jeden Schritt (Daten, E-Mails, Telefonprotokolle). Wenn die zusätzliche Woche abgelaufen ist, reichen Sie eine Online-Beschwerde bei der AP ein und fügen Sie Ihr Beweispaket bei. Gerichte und Aufsichtsbehörden bevorzugen gut organisierte Kläger.
Zusammenfassung Ihres Zugriffsrechts
Artikel 15 DSGVO gibt Einzelpersonen die Kontrolle: Sie können fragen, einsehen und anfechten, was eine Organisation mit Ihren Daten macht. Für Verantwortliche sind klare Verfahren, übersichtliche Aufzeichnungen und sinnvolle Schwärzungen keine Option – sie sind die einzige Möglichkeit, die einmonatige Frist einzuhalten und dem Blick der Autoriteit Persoonsgegevens zu entgehen.
Denken Sie an das grundlegende Playbook:
- Anfrage kann formlos sein,
- Die Antwort muss kostenlos, zeitnah und vollständig erfolgen.
- Grenzen sind eng und müssen begründet werden,
- Eine teilweise Offenlegung ist besser als eine pauschale Ablehnung.
Wenn Sie diese Regeln befolgen, wird das Zugriffsrecht zu einer routinemäßigen Compliance-Aufgabe und nicht zu einem Ärgernis im Gerichtssaal.
Benötigen Sie eine maßgeschneiderte SAR-Vorlage, Hilfe bei der Entwirrung von Drittanbieterdaten oder eine Strategie für einen hartnäckigen Controller? Die Datenschutzanwälte von Law & More sind bereit, einzugreifen – egal, ob Sie eine betroffene Person sind, die Antworten sucht, oder ein Unternehmen, das Gewissheit sucht.