Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Clarify that we are requesting a copy in access templates (DE + EN) #1167

Merged
merged 1 commit into from Jul 4, 2021
Merged

Clarify that we are requesting a copy in access templates (DE + EN) #1167

Show file tree
Hide file tree
Changes from all commits
Commits
Show all changes
1 commit
Select commit
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Jump to
Jump to file
Failed to load files.
Diff view
Diff view
Clarify that we are requesting a copy in access templates (DE + EN) 
In the subject literature, there is a bit of a divide concerning the
relationship between Art. 15(1) and (3) GDPR. Basically, those are the
two differing opinions:

1. The "The controller shall provide a copy of the personal data
   undergoing processing." from Art. 15(3) GDPR mandates how, in
   particular, to give the data subject "access to the personal data"
   according to Art. 15(1) GDPR.

   As such, a request according to Art. 15(1) GDPR includes a request
   for a copy.
2. Art. 15(1) and (3) GDPR are separate rights. A data subject that
   wants a copy of their data explicitly has to request that according
   to Art. 15(3) GDPR.

We believe that by requesting "all personal data concerning me that
you have stored", as we did until now in our access template, it is
obvious that we are in fact requesting a copy of said data.
From countless access requests using our template that we have
submitted ourselves or have been told about by our users, we have also
not seen a single case where a controller interpreted our wording
differently.

However, a user recently kindly forwarded us a response from a data
protection authority to a complaint that did not provide a copy after
they requested access using our template. The authority ruled that it
was not clear from the request that the user in fact asked for a copy
and as such the controller acted correctly.

While we don't agree with the authority's assessment, one of our
primary goals with our request templates is to provide legal certainty
to our users.
As such, we have decided to change the access templates to explicitly
ask for a copy according to Art. 15(3) GDPR. This ensures that there
can be no more misunderstandings in the future and that our users have
a strong legal case for defending against controllers that don't
provide them with a copy of their data.

For reference, this is some of the literature on this topic (only in
German, unfortunately):

* BeckOK DatenschutzR/Schmidt-Wudy, 34. Ed. 1.11.2020, DS-GVO Art. 15
  Rn. 86, beck-online
* Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 23
* Paal/Pauly/Paal, 3. Aufl. 2021, DS-GVO Art. 15 Rn. 33
  • Loading branch information
@baltpeter
baltpeter committed Jun 29, 2021
commit 9195228ca2838b1c7fcc688b2dfb4d5439452913
15 changes: 7 additions & 8 deletions templates/de/access-bundesjustizamt.txt
View file
Open in desktop
Expand Up @@ -2,14 +2,13 @@ Guten Tag,

ich bitte hiermit um Auskunft gemäß Art. 15 DSGVO. Bitte bestätigen Sie mir, ob Sie mich betreffende personenbezogene Daten verarbeiten (vgl. Art. 4 Nr. 1 und 2 DSGVO).

In diesem Fall bitte ich Sie im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über
1. <italic>sämtliche</italic> personenbezogenen Daten, die Sie zu meiner Person gespeichert haben, einschließlich eventueller mich betreffender pseudonymisierter Daten im Sinne des Art. 4 Nr. 5 DSGVO;
2. die Verarbeitungszwecke;
3. die Kategorien personenbezogener Daten, die verarbeitet werden;
4. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
5. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
6. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
7. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.
Falls dem so sein sollte, stellen Sie mir bitte im Sinne des Art. 15 Abs. 3 DSGVO eine Kopie <italic>sämtlicher</italic> personenbezogener Daten, die Sie zu meiner Person verarbeiten, einschließlich eventueller mich betreffender pseudonymisierter Daten im Sinne des Art. 4 Nr. 5 DSGVO, zur Verfügung. Weiterhin bitte ich Sie in diesem Fall im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über:
1. die Verarbeitungszwecke;
2. die Kategorien personenbezogener Daten, die verarbeitet werden;
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
6. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.

Falls Sie mich betreffende anonymisierte Daten verarbeiten, bitte ich Sie darum, mir das nicht nur mitzuteilen, sondern auch das verwendete Verfahren verständlich zu erläutern.

Expand Down
15 changes: 7 additions & 8 deletions templates/de/access-bundespolizei.txt
View file
Open in desktop
Expand Up @@ -2,14 +2,13 @@ Guten Tag,

ich bitte hiermit um Auskunft gemäß Art. 15 DSGVO und §57 Abs. 1 BDSG. Bitte bestätigen Sie mir, ob Sie mich betreffende personenbezogene Daten verarbeiten (vgl. Art. 4 Nr. 1 und 2 DSGVO).

In diesem Fall bitte ich Sie im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über
1. <italic>sämtliche</italic> personenbezogenen Daten, die Sie zu meiner Person gespeichert haben – dies schließt insbesondere aber nicht ausschließlich personenbezogene Datensätze im Bundespolizeiaktennachweis (BAN) sowie in Vorgangsverwaltungsanwendungen wie @rtus und eventuelle mich betreffende pseudonymisierte Daten im Sinne des Art. 4 Nr. 5 DSGVO ein;
2. die verfügbaren Informationen über die Herkunft der Daten;
3. die Verarbeitungszwecke;
4. die Kategorien personenbezogener Daten, die verarbeitet werden;
5. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, unter besonderer Berücksichtigung einer Übermittlung an Polizeidienststellen, Staatsanwaltschaften, Verfassungsschutzbehörden, den Bundesnachrichtendienst, den militärischen Abschirmdienst und andere Behörden des Bundesministeriums der Verteidigung sowie Behörden der Finanzverwaltung;
6. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
7. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.
Falls dem so sein sollte, stellen Sie mir bitte im Sinne des Art. 15 Abs. 3 DSGVO eine Kopie <italic>sämtlicher</italic> personenbezogener Daten, die Sie zu meiner Person verarbeiten (dies schließt insbesondere aber nicht ausschließlich personenbezogene Datensätze im Bundespolizeiaktennachweis (BAN) sowie in Vorgangsverwaltungsanwendungen wie @rtus ein), einschließlich eventueller mich betreffender pseudonymisierter Daten im Sinne des Art. 4 Nr. 5 DSGVO, zur Verfügung. Weiterhin bitte ich Sie in diesem Fall im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über:
1. die verfügbaren Informationen über die Herkunft der Daten;
2. die Verarbeitungszwecke;
3. die Kategorien personenbezogener Daten, die verarbeitet werden;
4. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, unter besonderer Berücksichtigung einer Übermittlung an Polizeidienststellen, Staatsanwaltschaften, Verfassungsschutzbehörden, den Bundesnachrichtendienst, den militärischen Abschirmdienst und andere Behörden des Bundesministeriums der Verteidigung sowie Behörden der Finanzverwaltung;
5. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
6. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.

Falls Sie mich betreffende anonymisierte Daten verarbeiten, bitte ich Sie darum, mir das nicht nur mitzuteilen, sondern auch das verwendete Verfahren verständlich zu erläutern.

Expand Down
15 changes: 7 additions & 8 deletions templates/de/access-default.txt
View file
Open in desktop
Expand Up @@ -2,14 +2,13 @@ Guten Tag,

ich bitte hiermit um Auskunft gemäß Art. 15 DSGVO. Bitte bestätigen Sie mir, ob Sie mich betreffende personenbezogene Daten verarbeiten (vgl. Art. 4 Nr. 1 und 2 DSGVO).

In diesem Fall bitte ich Sie im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über
1. <italic>sämtliche</italic> personenbezogenen Daten, die Sie zu meiner Person gespeichert haben, einschließlich eventueller mich betreffender pseudonymisierter Daten im Sinne des Art. 4 Nr. 5 DSGVO;
2. die Verarbeitungszwecke;
3. die Kategorien personenbezogener Daten, die verarbeitet werden;
4. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
5. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
6. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
7. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.
Falls dem so sein sollte, stellen Sie mir bitte im Sinne des Art. 15 Abs. 3 DSGVO eine Kopie <italic>sämtlicher</italic> personenbezogener Daten, die Sie zu meiner Person verarbeiten, einschließlich eventueller mich betreffender pseudonymisierter Daten im Sinne des Art. 4 Nr. 5 DSGVO, zur Verfügung. Weiterhin bitte ich Sie in diesem Fall im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über:
1. die Verarbeitungszwecke;
2. die Kategorien personenbezogener Daten, die verarbeitet werden;
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
6. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.

Falls Sie mich betreffende anonymisierte Daten verarbeiten, bitte ich Sie darum, mir das nicht nur mitzuteilen, sondern auch das verwendete Verfahren verständlich zu erläutern.

Expand Down
15 changes: 7 additions & 8 deletions templates/de/access-drk-brandenburg-datenleck.txt
View file
Open in desktop
Expand Up @@ -5,14 +5,13 @@ Sollte ich betroffen sein, teilen Sie mir bitte mit, auf welche meiner personenb

Weiterhin bitte ich hiermit um Auskunft gemäß Art. 15 DSGVO. Bitte bestätigen Sie mir, ob Sie mich betreffende personenbezogene Daten verarbeiten (vgl. Art. 4 Nr. 1 und 2 DSGVO).

In diesem Fall bitte ich Sie im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über
1. <italic>sämtliche</italic> personenbezogenen Daten, die Sie zu meiner Person gespeichert haben, einschließlich eventueller mich betreffender pseudonymisierter Daten im Sinne des Art. 4 Nr. 5 DSGVO;
2. die Verarbeitungszwecke;
3. die Kategorien personenbezogener Daten, die verarbeitet werden;
4. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
5. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
6. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
7. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.
Falls dem so sein sollte, stellen Sie mir bitte im Sinne des Art. 15 Abs. 3 DSGVO eine Kopie <italic>sämtlicher</italic> personenbezogener Daten, die Sie zu meiner Person verarbeiten, einschließlich eventueller mich betreffender pseudonymisierter Daten im Sinne des Art. 4 Nr. 5 DSGVO, zur Verfügung. Weiterhin bitte ich Sie in diesem Fall im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über:
1. die Verarbeitungszwecke;
2. die Kategorien personenbezogener Daten, die verarbeitet werden;
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
6. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.

Falls Sie mich betreffende anonymisierte Daten verarbeiten, bitte ich Sie darum, mir das nicht nur mitzuteilen, sondern auch das verwendete Verfahren verständlich zu erläutern.

Expand Down
2 changes: 1 addition & 1 deletion templates/de/access-evangelische-kirche.txt
View file
Open in desktop
Expand Up @@ -2,7 +2,7 @@ Guten Tag,

ich bitte hiermit um Auskunft gemäß § 19 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Bitte bestätigen Sie mir, ob Sie mich betreffende personenbezogene Daten verarbeiten (vgl. § 4 Nr. 1 und 3 DSG-EKD).

In diesem Fall bitte ich Sie im Sinne des § 19 Abs. 1 DSG-EKD um Auskunft über
In diesem Fall bitte ich Sie im Sinne des § 19 Abs. 1 DSG-EKD um Auskunft über:
1. <italic>sämtliche</italic> personenbezogenen Daten, die Sie zu meiner Person gespeichert haben;
2. die Verarbeitungszwecke;
3. die Kategorien personenbezogener Daten, die verarbeitet werden;
Expand Down
15 changes: 7 additions & 8 deletions templates/de/access-katholische-kirche.txt
View file
Open in desktop
Expand Up @@ -2,14 +2,13 @@ Guten Tag,

ich bitte hiermit um Auskunft gemäß § 17 des Gesetzes über den Kirchlichen Datenschutz (KDG). Bitte bestätigen Sie mir, ob Sie mich betreffende personenbezogene Daten verarbeiten (vgl. § 4 Nr. 1 und 3 KDG).

In diesem Fall bitte ich Sie im Sinne des § 17 Abs. 1 KDG um Auskunft über
1. <italic>sämtliche</italic> personenbezogenen Daten, die Sie zu meiner Person gespeichert haben;
2. die Verarbeitungszwecke;
3. die Kategorien personenbezogener Daten, die verarbeitet werden;
4. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
5. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
6. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
7. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß § 24 Absätze 1 und 4 KDG und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.
Falls dem so sein sollte, stellen Sie mir bitte im Sinne des § 17 Abs. 3 KDG eine Kopie <italic>sämtlicher</italic> personenbezogener Daten, die Sie zu meiner Person verarbeiten, einschließlich eventueller mich betreffender pseudonymisierter Daten im Sinne des § 4 Nr. 6 KDG, zur Verfügung. Weiterhin bitte ich Sie in diesem Fall im Sinne des § 17 Abs. 1 KDG um Auskunft über:
1. die Verarbeitungszwecke;
2. die Kategorien personenbezogener Daten, die verarbeitet werden;
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
6. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß § 24 Absätze 1 und 4 KDG und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.

Sofern Sie meine personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermitteln, bitte ich gemäß § 17 Abs. 2 KDG über die geeigneten Garantien gemäß § 40 KDG im Zusammenhang mit der Übermittlung unterrichtet zu werden.
[data_portability>
Expand Down
15 changes: 7 additions & 8 deletions templates/de/access-lka-nds.txt
View file
Open in desktop
Expand Up @@ -2,14 +2,13 @@ Guten Tag,

ich bitte hiermit um Auskunft gemäß Art. 15 DSGVO iVm. §51 NDSG. Bitte bestätigen Sie mir, ob Sie mich betreffende personenbezogene Daten verarbeiten (vgl. Art. 4 Nr. 1 und 2 DSGVO).

In diesem Fall bitte ich Sie im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über
1. <italic>sämtliche</italic> personenbezogenen Daten, die Sie zu meiner Person gespeichert haben, einschließlich eventueller mich betreffender pseudonymisierter Daten im Sinne des Art. 4 Nr. 5 DSGVO;
2. die Verarbeitungszwecke;
3. die Kategorien personenbezogener Daten, die verarbeitet werden;
4. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
5. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
6. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
7. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.
Falls dem so sein sollte, stellen Sie mir bitte im Sinne des Art. 15 Abs. 3 DSGVO eine Kopie <italic>sämtlicher</italic> personenbezogener Daten, die Sie zu meiner Person verarbeiten, einschließlich eventueller mich betreffender pseudonymisierter Daten im Sinne des Art. 4 Nr. 5 DSGVO, zur Verfügung. Weiterhin bitte ich Sie in diesem Fall im Sinne des Art. 15 Abs. 1 DSGVO um Auskunft über:
1. die Verarbeitungszwecke;
2. die Kategorien personenbezogener Daten, die verarbeitet werden;
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. wenn die personenbezogenen Daten nicht bei mir erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten;
6. falls zutreffend, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – sofern gegeben – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person.

Falls Sie mich betreffende anonymisierte Daten verarbeiten, bitte ich Sie darum, mir das nicht nur mitzuteilen, sondern auch das verwendete Verfahren verständlich zu erläutern.

Expand Down