Die DSGVO sieht verschiedene Pflichten im Umgang mit den Personen vor, deren Daten erhoben wurden. Zu welchen Auskünften sind Sie gesetzlich verpflichtet und welche Rechte haben Ihre Kunden? Unsere Datenschutzberatung klärt auf
Betroffenenrechte bestehen neben dem Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit auch aus den Informationspflichten des Verantwortlichen über die Datenverarbeitung.
Die damit verbundenen Aufgaben für den Verantwortlichen sowie jegliche notwendigen Informationen finden Sie in diesem Text.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenBetroffene sind alle Menschen, von denen Sie personenbezogene Daten speichern und verarbeiten. Die DSGVO räumt diesen Personen umfangreiche Rechte ein, mit denen sie entscheiden können, was mit ihren Daten geschieht. Diese Rechte werden als Betroffenenrechte bezeichnet und sind in Artikel 12 ff. DSGVO aufgelistet. Sie dienen den Betroffenen als Steuerungs- und Kontrollelement hinsichtlich der Verarbeitung ihrer personenbezogenen Daten.
In vielen Fällen wird die Datenauskunft nur der erste Schritt sein, weil die Betroffenen eine bestimmte Absicht mit der Anfrage verbinden. Denn der Betroffene darf von Ihnen verlangen, die ihn betreffenden Daten umgehend – innerhalb eines Monats – zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken.
Außerdem darf er Widerspruch gegen die Datenverarbeitung einlegen und sich bei der Aufsichtsbehörde über die Verarbeitung oder unzureichende Auskünfte hierzu beschweren.
Jeder Privatperson stehen laut DSGVO die folgenden Rechte bezüglich ihrer Daten zu, die alle innerhalb eines Monats von Ihnen bearbeitet bzw. begründet abgelehnt werden müssen.
Wenn Sie personenbezogene Daten erheben möchten, müssen Sie den Betreffenden zuvor ausführlich und leicht verständlich über die Art und Zweck der Datenverarbeitung informieren (Art. 13 und 14 DSGVO). Folgende Informationen müssen in schriftlicher (elektronischer) Form an Betroffene zum Zeitpunkt der Datenerhebung zugänglich gemacht werden:
Der Betroffene kann von den Verantwortlichen eine Bestätigung verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat die Person das Recht auf Auskunft über die Verarbeitungszwecke, -dauer und Weitergabe an Dritte.
Zudem müssen Sie Name und Kontaktdaten des Verantwortlichen für die Datenerhebung sowie ggf. seines Vertreters und die Kontaktdaten des zuständigen Datenschutzbeauftragten angeben und den Betroffenen auf seine Rechte hinweisen, was die weitere Datenverwendung angeht.
Sie möchten sich einen ersten schnellen Überblick über die Kosten eines eDSB verschaffen? Nutzen Sie unseren Rechner für eine individuelle Preiskonfiguration.
Stellt der Betroffene aufgrund seiner Anfrage bei Ihnen fest, dass Sie falsche oder unvollständige Daten über ihn gespeichert haben, kann er die unverzügliche Berichtigung bzw. Ergänzung dieser Daten verlangen (Art. 16 DGSVO). Informieren Sie den Betroffenen umgehend, sobald Sie seine Daten geändert haben.
Jeder, dessen Daten Sie verarbeiten, hat das Recht, seine Einwilligung in die Datenverarbeitung (Opt-In) jederzeit und ohne Begründung zu widerrufen (Art. 21 DGSVO). Dies gilt natürlich in jedem Fall, wenn die Einwilligung in die Datenverarbeitung für Werbezwecke gar nicht erteilt wurde. Die Datenverarbeitung muss bei einem Widerspruch in allen Bereichen, in denen ihnen widersprochen wurde – beispielsweise Direktmarketing – sofort und vollständig beendet werden. Auch die Verwendung für Nutzerprofile und andere Auswertungen muss sofort eingestellt werden.
Eingeschränkt ist das Widerspruchsrecht
Der Betroffene kann auch Sie beauftragen, eine Weiterverarbeitung durch einen von Ihnen beauftragten Dritten zu unterbinden und seine Daten dort löschen zu lassen (Beispiel: Sie haben Daten an Facebook übergeben. Der Nutzer war sich bei seiner Einwilligung darüber nicht im Klaren und kann Sie verpflichten, seine Daten bei Facebook löschen zu lassen).
Informieren Sie den Betroffenen umgehend, sobald Sie die Verarbeitung seiner Daten beendet haben.
Alle Personen, deren Daten Sie verarbeiten, dürfen verlangen, dass Sie diese Daten löschen, sobald der Zweck der Erhebung erfüllt ist (Art. 17 DGSVO). Dieses Recht wird auch das „Recht auf Vergessenwerden“ genannt. Wenn Sie beispielsweise in Ihrem Shop den Namen und die Adressdaten eines Bestellers erhoben haben und der Kaufvorgang samt Bezahlung abgeschlossen ist, darf der Kunde verlangen, dass Sie seine Daten löschen. Auch wenn der Kunde seine Einwilligung in die Datenverarbeitung vor der Lieferung zurückzieht, müssen Sie den Datensatz löschen – ist die Lieferung allerdings bereits erfolgt, haben Sie das Recht, die Daten bis zur Vertragserfüllung zu speichern. Gelöscht werden müssen Daten, wenn
Als Datenschutzverantwortlicher müssen Sie bei allen genannten Punkten außer dem letzten selbst darauf achten, dass die Daten von Ihrem Unternehmen aus zeitnah gelöscht werden. Es handelt sich hierbei nicht um eine Löschung nur auf Antrag! Sie müssen darüber hinaus sicherstellen, dass alle gesammelten und verteilten personenbezogenen Daten gelöscht werden – auch jene, die von Drittparteien verarbeitet worden sind oder veröffentlicht wurden.
Wichtig: Das Recht auf Vergessenwerden gilt nur innerhalb der europäischen Union. Es besteht bespielweise nicht in den Trefferlisten von in den USA gehosteten oder anderen regionalen Versionen von Suchmaschinen (EUGH-Urteil in der Rechtssache C-507/17).
Hier darf der Suchmaschinenbetreiber darüber entscheiden, ob das Recht auf öffentliche Information oder das Persönlichkeitsrecht des Betroffenen überwiegt (EUGH-Urteil in der Rechtssache C-136/17).
Der Betroffene hat das Anrecht, eine vollständige Kopie der dem Unternehmen vorliegenden personenbezogenen Daten zu verlangen und diese anderen Verantwortlichen zu übermitteln – auch maschinell (Art. 20 DGSVO). Hierzu ist ein übliches maschinenlesbares Format zu wählen, etwa eine .csv-Datei.
Die Daten können auch direkt an einen vom Betroffenen beauftragten Dritten übermittelt werden. Hiermit soll der Wechsel beispielsweise von Strom- und Telefonanbietern, aber auch zwischen Plattformen wie sozialen Medien erleichtert werden, indem der gesamte Datenbestand transferiert und die erneute Eingabe der Daten minimiert wird. Für die direkte Übermittlung an einen Dritten muss die Verarbeitung auf einem Vertrag oder einer Einwilligung beruhen und in einem automatisierten Verfahren erfolgen können.
Der Betroffene hat nach Art. 18 DGSVO das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
In diesen Fällen dürfen die Daten nur begrenzt verarbeitet, aber noch gespeichert werden. Informieren Sie den Betroffenen davon, sobald Sie die Verarbeitung seiner Daten eingeschränkt haben. Sollte die Einschränkung später wieder aufgehoben werden, sind Sie als Verarbeiter wiederum verpflichtet, den Betroffenen vorab darüber zu informieren, dass seine Daten nun wieder im üblichen Rahmen verarbeitet werden. Unternehmen, die sehr viele Datensätze verwalten, sollten für ein sehr genaues Dokumentationssystem sorgen, in dem die Standardprozesse möglichst automatisiert ablaufen, um die Ein-Monats-Frist nicht zu überschreiten. Ausnahmen finden sich im BDSG-neu (§ 35).
Wenn der Betroffene den Eindruck gewinnt, dass Sie die Daten nicht in seinem Sinne bzw. wie vereinbart vornehmen, also beispielsweise seine personenbezogenen Daten nicht korrigieren oder löschen, hat er das Recht, sich bei der Aufsichtsbehörde zu beschweren. Aus diesem Grund muss auf Ihrer Website auch die für Sie zuständige Aufsichtsbehörde angegeben werden.
Außerdem kann ein hohes Bußgeld gegen Ihr Unternehmen verhängt werden, wenn Sie Betroffenenanfragen ignorieren oder zu spät beantworten. Die Aufsichtsbehörde muss in jedem Fall tätig werden, wenn sich ein Betroffener an sie wendet (Artikel 57 Absatz 1f DSGVO). Dies kann bei ernsthaften Problemen zu einer behördlichen Prüfung nach Artikel 83 DSGVO führen, die bei mangelnder Vorbereitung sehr teuer werden kann. Sie sollten also Betroffenenanfragen immer innerhalb von einem Monat beantworten können und dafür eine organisatorische Ablaufstruktur vorhalten.
Ein besonderes und auch neues Recht ist jenes auf Unbetroffenheit von maschinellen Entscheidungsprozessen. Hinter dieser eher abstrakten Formulierung verbirgt sich die Entscheidungsfindung allein auf Basis von Datenauswertungen, etwa durch künstliche Intelligenz generiert aus Nutzerprofilen.
Die Vorschrift verbietet es, ausschließlich automatisierte Verarbeitungsprozesse zur Entscheidungsgrundlage für die Begründung oder Ablehnung rechtlicher Beziehungen mit Betroffenen zu machen. Dies betrifft etwa das Profiling, aber auch die vollautomatisierte Kreditwürdigkeitsbeurteilung allein auf Datenbankbasis.
Rein maschinell basierten Entscheidungen, die ihn persönlich oder rechtlich erheblich beeinträchtigen, kann der Betroffene ab sofort anfechten.
Diese Recht entfällt, wenn die Entscheidung
Verarbeitet Ihr Unternehmen tatsächlich personenbezogene Daten dieses Betroffenen, dann darf er/sie weitere konkrete Auskünfte von Ihnen bzw. Ihrem Datenschutzbeauftragten verlangen. Die entsprechenden Rechte sind in Art. 12 ff. DSGVO festgehalten. Sie müssen dann folgende Angaben innerhalb eines Monats wahrheitsgemäß liefern:
Datenschutzschulungen für verschiedene Abteilungen effizient umsetzen mit den E-Learnings von Cortina Consult.
Das Recht auf transparente Information und Kommunikation greift nicht, wenn:
Das Recht auf Löschung ist ausgesetzt, sofern gesetzliche Aufbewahrungsfristen für die Daten bestehen oder wenn die Verarbeitung oder Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. In diesen Fällen kann der Betroffene aber die weitere Verarbeitung der Daten beschränken. Auch bei einem öffentlichen Interesse im Bereich der öffentlichen Gesundheit, Archiv-, Forschungs- und Statistikzwecken kann die Löschung verweigert werden. Informieren Sie den Betroffenen umgehend, sobald Sie seine Daten gelöscht haben. Anschließend wird auch die Bestätigung der Löschung gelöscht.
Tip: Es empfiehlt sich, bereits im Vorhinein ein detailliertes Löschkonzept aufzustellen, damit die Löschungen zuverlässig, vollständig und schnellstmöglich durchgeführt werden können.
Aufgrund des Auskunftsrechts können Betroffene beim Unternehmen eine Anfrage stellen, um Informationen über die von ihnen verarbeiteten personenbezogenen Daten zu erhalten. Diese Betroffenenanfragen verlangen einen sorgsamen Umgang und eine schnelle Antwort durch das Unternehmen. Eine Betroffenenanfrage scheint auf den ersten Blick mit viel Arbeit und Aufwand verbunden zu sein.
Es ist ratsam, bereits vor dem Eintreffen der ersten Auskunftsanfrage im Voraus den Ablauf einer sogenannten Betroffenenauskunft organisatorisch durchzuplanen (Stichwort Checkliste) und vor allem eine sorgfältige Dokumentation zu führen. Die Implementation eines Prozesses wird eine fristgerechte und korrekte Bearbeitung der Anträge gewährleisten. Für die gute Vorbereitung auf eine Betroffenenanfrage ist es außerdem wichtig, ein gut strukturiertes Datenschutzkonzept zu erstellen und Mitarbeiter über den Umgang mit personenbezogenen Daten zu sensibilisieren.
Denn wenn eine solche Betroffenenanfrage kommt, müssen Sie sie schnellstmöglich und umfassend beantworten können. Wenn Sie sich eine Ablaufstruktur überlegt haben, nach der Sie sich im Fall einer Anfrage richten können, kann vieles automatisiert und damit deutlich schneller erfolgen.
Betroffene brauchen die Anfrage nicht zu begründen und müssen auch nicht in irgendeiner Beziehung zu Ihrem Unternehmen stehen. Diese Anfrage müssen Sie wahrheitsgemäß beantworten. Liegen Ihnen zu dieser Person keine Daten vor oder wurden diese unumkehrbar anonymisiert, müssen Sie eine Negativauskunft erteilen.
Der Fragesteller darf seine Anfrage formlos und auf jedem beliebigen Weg (telefonisch, postalisch, per E-Mail…) stellen. Er braucht sich weder auf die DSGVO zu beziehen noch das Wort „Betroffenenanfrage“ oder „Auskunftsersuchen“ zu verwenden.
Schon die einfache Frage „Woher haben Sie meine Daten?“ oder „Ich habe eine Frage zum Datenschutz“, eine Beschwerde über unerwünschte Werbung/Anrufe/Spam oder der Wunsch nach Dateneinsicht oder nach Kontakt zum Datenschutzbeauftragten kann eine Betroffenenanfrage sein.
Gemäß Artikel 12 Abs. 1 DSGO muss die für Betroffenenanfragen verantwortliche Person geeignete Maßnahmen ergreifen, um die angeforderten Informationen zu übermitteln. Dabei muss es sich bei dieser Person nicht um eine interne Person handeln. Sie haben hier die Möglichkeit, eine externe Datenschutzberatung als Dienstleister in Anspruch nehmen. Beachten Sie jedoch dabei, dass der Verantwortliche derjenige bleibt, der die Informationen zusammenträgt und die Betroffenenanfrage beantwortet.
Beim Umgang mit Betroffenenanfragen muss der Verantwortliche bestimmte formale Voraussetzungen einhalten.
Artikel 12 Abs. 1 DSGVO sieht vor, dass die relevanten Informationen in präziser, verständlicher und leicht zugänglicher Form sowie einer klaren und einfachen Sprache zu übermitteln. Dabei kann dies entweder schriftlich oder beispielsweise elektronisch erfolgen.
Darüber hinaus ist muss die Betroffenenanfrage unverzüglich aber spätestens innerhalb eines Monats bearbeitet werden. Eine Fristverlängerung von zwei Monaten ist unter bestimmen Umständen möglich. Diese Verlängerung muss der betroffenen Person jedoch rechtzeitig mitgeteilt werden. Eine Zustimmung der Betroffenen ist nicht erforderlich.
Der konkrete Wortlaut im Gesetz lautet:
„Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.“
Die Frist von einem Monat läuft ab dem Eingangstag der Anfrage. Stellen Sie eine redundante Auskunftserteilungsmöglichkeit sicher, denn Krankheit oder Urlaub des Datenschutzbeauftragten werden als Begründung für eine verspätete Antwort nicht akzeptiert.
Ist die Anfrage unklar gestellt, sollten Sie eine Rückfrage an den Betroffenen stellen, welche Daten genau gemeint sind, um nicht wegen einer Fehlantwort Fristüberschreitungen zu riskieren.
Sollte der oder die Verantwortliche für eine Betroffenenanfrage Zweifel an der Identität des oder der Betroffenen hegen oder nicht in der Lage sein, den oder die Betroffene/n zu identifizieren, ist ein Identitätsnachweis erforderlich. Dabei ist zu beachten, dass der oder die Verantwortliche der betroffenen Person verschiedene Möglichkeiten zum Identitätsnachweis anbieten muss. Beim Vorlegen eines Personalausweises muss die verantwortliche Person darauf achten, dass bis auf Namen, Anschrift, Geburtsdatum und Gültigkeitsdauer alle sonstigen Ausweisdaten geschwärzt werden (Grundsatz der Datenminimierung Art. 5 Abs. 1 lit c DSGVO).
Sollte die betroffene Person dem nicht nachkommen und keinen Nachweis vorlegen, kann die verantwortliche Person gemäß Artikel 12 Abs. 2 DSGVO die Tätigkeit zur Betroffenenanfrage einstellen.
Nach Artikel 15 der DSGVO haben alle Menschen, deren Daten in Ihrem Unternehmen verarbeitet werden, das Recht, Auskünfte hierüber zu erhalten. Diese Auskünfte müssen Sie unverzüglich, mindestens aber innerhalb einer angemessenen Frist (üblicherweise maximal einem Monat) erteilen.
Jeder Betroffene hat gemäß Datenschutz-Grundverordnung umfangreiche Rechte. Welche personenbezogenen Daten werden in welcher Form und zu welchem Zweck im Unternehmen verarbeitet und gespeichert?
Um dieses Informationsrecht geltend zu machen, können die Betroffenen eine Anfrage auf Auskunftserteilung bei dem jeweiligen Unternehmen stellen.
Bei den Betroffenen kann es sich sowohl um Kunden, Besucher der Unternehmenswebsite oder auch um Mitarbeiter und Lieferanten handeln. All diese Personengruppen sind dazu berechtigt, eine Betroffenenanfrage zu stellen und für den Fall, dass von der jeweiligen Person Daten vorliegen, Informationen vom Unternehmen zu verlangen.
Ihre Antwort muss in verständlicher Form, präzise und transparent erfolgen (einfache und klare Sprache, wenig Fachausdrücke, keine Fachkenntnisse voraussetzen) und für den Fragesteller als Laien leicht technisch zugänglich sein, also ein gängiges Datenformat haben.
Um die Beantwortung zu dokumentieren, sollten Sie immer einen schriftlichen Antwortweg wählen. Die DSGVO sieht vor, dass elektronisch gestellte Anfragen auch elektronisch beantwortet werden, hierbei sind Sie aber für die Daten- und Übermittlungssicherheit verantwortlich.
Diese Auskunft muss für den Anfragenden kostenlos erteilt werden. Nur zusätzliche Kopien dürfen Sie eventuell in Rechnung stellen. Falls Sie über sehr große Datenmengen über diese Person verfügen, dürfen Sie eine Präzisierung der Anfrage verlangen. Der Betroffene darf diese Anfrage in „angemessenen Zeitabständen“ wiederholen, ohne dass Sie dafür Aufwendungen abrechnen dürften – etwa um die Umsetzung von Änderungen oder Löschungen zu überprüfen. Welche Zeiträume hierbei als angemessen gelten, werden die Gerichte noch zu klären haben.
Generell haben Sie nur wenige Möglichkeiten, die Auskunft einzuschränken – hier könnten nur die Wahrung der Rechte anderer Personen oder Geschäftsgeheimnisse eine Rolle spielen. Eine komplette Verweigerung der Auskunft dürfte in keinem Fall möglich sein.
Sollte es in Ihrem Unternehmen zu einer Datenschutzpanne gekommen sein, durch die Daten von Betroffenen in falsche Hände oder die Öffentlichkeit geraten sind, müssen Sie von sich aus die hiervon Betroffenen über das Datenleck informieren, wenn für sie ein hohes Risiko besteht (Artikel 34 DSGVO).
Hierzu müssen Sie eine Risikoabwägung und eine Datenschutz-Folgenabschätzung vornehmen. In Fällen mit hohem Risiko für Rechte und Freiheiten der Betroffenen kann auch die Aufsichtsbehörde von Ihnen fordern, dass Sie die Betroffenen informieren.
Eine unzureichende Beantwortung von Betroffenenanfragen kann eine Beschwerde bei der Aufsichtsbehörde nach sich ziehen. Daher ist es wichtig, dass bevor Sie eine Anfrage überhaupt erreicht, Ihre Dokumentation nach DSGVO vollständig ist.
Die Datenauskunft und die daraus folgenden Schritte sollten immer und ausschließlich vom Datenschutzbeauftragten durchgeführt werden und nicht etwa „kurz mal nebenbei“ vom Kundendienst oder einem Sachbearbeiter.
Zum einen sieht sich der Betroffene ernster genommen und gewinnt einen professionelleren Eindruck, wenn ein Experte sein Anliegen bearbeitet. Zum anderen haben Kundendienstmitarbeiter nicht die Befugnisse und Möglichkeiten, in sämtliche Systeme einzugreifen, um auch wirklich alle Daten wunschgemäß einzusehen, zu verändern oder zu löschen. Eine unvollständige Datenauskunft oder gar eine nicht vollständige Löschung von Daten kann zur Anzeige bei den Aufsichtsbehörden führen.
Für die Erfassung einer Datenschutzanfrage empfiehlt sich ein Ticketsystem, in dem die einzelnen Bearbeitungsschritte mit Zeitstempel versehen und gut dokumentierbar nachverfolgt werden können.
Vermerken Sie den Eingangszeitpunkt (Fristberechnung) der Anfrage im Dokument. In Konzernen ist diejenige Gesellschaft für Beantwortung zuständig, die die Datenverarbeitung auch tatsächlich vornimmt. Wenn Sie Auftragsverarbeiter für ein anderes Unternehmen sind, leiten Sie die Anfrage umgehend an den Verantwortlichen Ihres Auftraggebers weiter. Das genaue Verfahren sollte in Ihrem Auftragsverarbeitungsvertrag geregelt sein.
Nutzen Sie dafür am besten den Kommunikationsweg, den der Fragesteller für seine Anfrage gewählt hat, und dokumentieren Sie diese Bestätigung.
Da Sie die Auskunft nur dem Betroffenen selbst oder einer von ihm bevollmächtigten Person erteilen dürfen, müssen Sie zunächst überprüfen, ob der Fragende tatsächlich der Betroffene ist. Nutzen Sie neben dem Namen zusätzliche Identifizierungsmerkmale wie Geburtsdatum, Anschrift oder Kundennummer oder lassen Sie sich hierfür beispielsweise den Personalausweis vorlegen (Sie dürfen diesen aber nicht kopieren!), insbesondere wenn es sich um besonders schützenswerte Daten (Patientenakte etc.) handelt.
Eine Betroffenenauskunft umfasst auf Verlangen des Betroffenen eine Kopie aller personenbezogenen Daten, die das Unternehmen über den Betroffenen besitzt, samt den Antworten auf die oben genannten Fragen. Solange nicht gerichtlich geklärt wurde, wie umfangreich diese Informationen mindestens ausfallen müssen, sollten Sie ALLE Daten über diese Person samt allen Verarbeitungsvorgängen und über alle Abteilungsgrenzen hinweg aus allen Datenverarbeitungsprogrammen kopieren (Verzeichnis der Verarbeitungstätigkeiten nutzen!). Sollten in diesen Unterlagen auch personenbezogene Informationen zu anderen Personen oder zu Geschäftsgeheimnissen enthalten sein, machen Sie diese unkenntlich.
In diesem Schritt sollten Sie beispielsweise Namensgleichheiten ausschließen.
Nutzen Sie für die Auskunft und die Übermittlung der Datenkopien ein sicheres Verfahren. Wenn Sie eine elektronische Auskunft versenden möchten, verschlüsseln Sie die entsprechende E-Mail und alle Anlagen (z. B. geschütztes PDF). Bei großen Datenmengen kann auch ein verschlüsselter Datenträger oder eine abgesicherte Datenverbindung infrage kommen. Eine mündliche Auskunft ist zwar möglich, wenn die Identität des Gegenübers geprüft werden konnte, allerdings ist die Dokumentation schwierig, daher sollten mündliche Auskünfte nur auf Verlagen des Betroffenen erteilt werden.
Je nach Dokumentationssystem kann dies elektronisch oder per Datenschutzordner geschehen.
Entwickeln Sie ein transparentes Widerspruchssystem, bei dem der Nutzer entweder im Kundenkonto oder per Formular/E-Mail der Nutzung seiner Daten für Werbezwecke möglichst leicht widersprechen kann. Auf dieses System sollten Sie den Kunden bereits hinweisen, wenn Sie seine Daten erheben.
Einhaltung und Kontrolle des Datenschutzes im Unternehmen durch Cortina Consult.
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
