Betroffenenrechte gemäß DSGVO
Die DSGVO sieht verschiedene Pflichten im Umgang mit den Personen vor, deren Daten erhoben wurden. Zu welchen Auskünften sind Sie gesetzlich verpflichtet und welche Rechte haben Ihre Kunden? Unsere Datenschutzberatung klärt auf
Betroffenenrechte bestehen neben dem Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit auch aus den Informationspflichten des Verantwortlichen über die Datenverarbeitung.
Die damit verbundenen Aufgaben für den Verantwortlichen sowie jegliche notwendigen Informationen finden Sie in diesem Text.
Was sind Betroffenenrechte?
Betroffene sind alle Menschen, von denen Sie personenbezogene Daten speichern und verarbeiten. Die DSGVO räumt diesen Personen umfangreiche Rechte ein, mit denen sie entscheiden können, was mit ihren Daten geschieht. Diese Rechte werden als Betroffenenrechte bezeichnet und sind in Artikel 12 ff. DSGVO aufgelistet. Sie dienen den Betroffenen als Steuerungs- und Kontrollelement hinsichtlich der Verarbeitung ihrer personenbezogenen Daten.
Welche Betroffenenrechte gibt es?
In vielen Fällen wird die Datenauskunft nur der erste Schritt sein, weil die Betroffenen eine bestimmte Absicht mit der Anfrage verbinden. Denn der Betroffene darf von Ihnen verlangen, die ihn betreffenden Daten umgehend – innerhalb eines Monats – zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken.
Außerdem darf er Widerspruch gegen die Datenverarbeitung einlegen und sich bei der Aufsichtsbehörde über die Verarbeitung oder unzureichende Auskünfte hierzu beschweren.
Jeder Privatperson stehen laut DSGVO die folgenden Rechte bezüglich ihrer Daten zu, die alle innerhalb eines Monats von Ihnen bearbeitet bzw. begründet abgelehnt werden müssen.
Recht auf transparente Information und Kommunikation
Wenn Sie personenbezogene Daten erheben möchten, müssen Sie den Betreffenden zuvor ausführlich und leicht verständlich über die Art und Zweck der Datenverarbeitung informieren (Art. 13 und 14 DSGVO). Folgende Informationen müssen in schriftlicher (elektronischer) Form an Betroffene zum Zeitpunkt der Datenerhebung zugänglich gemacht werden:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Zwecke der Verarbeitung und Rechtsgrundlage
- ggf. Berechtigtes Interesse des Verantwortlichen
- ggf. Empfänger oder Kategorien von Empfängern
- Absicht der Übermittlung in ein Drittland sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission
- Dauer der Datenspeicherung
- Bestehen seiner Rechte
- Recht auf Widerspruch einer Einwilligung
- Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
- Information über mögliche Konsequenzen einer Nichtbereitstellung
- das Bestehen einer automatisierten Entscheidungsfindung
- das Bestehen anderer Zwecke zur Verarbeitung der erhobenen personenbezogenen Daten
Recht auf Auskunft
Der Betroffene kann von den Verantwortlichen eine Bestätigung verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat die Person das Recht auf Auskunft über die Verarbeitungszwecke, -dauer und Weitergabe an Dritte.
Welche Informationen stehen Betroffenen zu?
- Welche Daten dieser Person aus welchen Kategorien wurden/werden von Ihnen verarbeitet?
- Woher stammen die Daten, falls nicht vom Betroffenen selbst?
- Zu welchem Zweck wurden oder werden sie verarbeitet?
- Wer hat diese Daten erhalten oder wird sie künftig erhalten (Empfängerkategorien oder einzelne Empfänger)?
- Befinden sich die Datenempfänger in Drittländern außerhalb der EU; falls ja, in welchen? Welche Garantien wurden laut Artikel 46 DSGVO dazu gegeben?
- Wie lange beabsichtigen Sie die Daten zu speichern?
- Findet mit diesen Daten eine automatisierte Verarbeitung (Profiling, Scoring) statt, die einen signifikanten Einfluss auf die Person hat (beispielsweise automatisierte Entscheidungsfindungen per KI-Profiling)? Falls ja, welche Tragweite haben die auf diesem Wege getroffenen Entscheidungen und welche Auswirkungen entstehen dem Betroffenen hierdurch? An wen wurden diese Daten übermittelt?
Zudem müssen Sie Name und Kontaktdaten des Verantwortlichen für die Datenerhebung sowie ggf. seines Vertreters und die Kontaktdaten des zuständigen Datenschutzbeauftragten angeben und den Betroffenen auf seine Rechte hinweisen, was die weitere Datenverwendung angeht.
Recht auf Berichtigung
Stellt der Betroffene aufgrund seiner Anfrage bei Ihnen fest, dass Sie falsche oder unvollständige Daten über ihn gespeichert haben, kann er die unverzügliche Berichtigung bzw. Ergänzung dieser Daten verlangen (Art. 16 DGSVO). Informieren Sie den Betroffenen umgehend, sobald Sie seine Daten geändert haben.
Recht auf Widerspruch
Jeder, dessen Daten Sie verarbeiten, hat das Recht, seine Einwilligung in die Datenverarbeitung (Opt-In) jederzeit und ohne Begründung zu widerrufen (Art. 21 DGSVO). Dies gilt natürlich in jedem Fall, wenn die Einwilligung in die Datenverarbeitung für Werbezwecke gar nicht erteilt wurde. Die Datenverarbeitung muss bei einem Widerspruch in allen Bereichen, in denen ihnen widersprochen wurde – beispielsweise Direktmarketing – sofort und vollständig beendet werden. Auch die Verwendung für Nutzerprofile und andere Auswertungen muss sofort eingestellt werden.
Eingeschränkt ist das Widerspruchsrecht
- bei Daten, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden
- gegenüber öffentlichen Stellen bei einem zwingenden öffentlichen Interesse oder einer zur Verarbeitung verpflichtenden Rechtsvorschrift ein
Der Betroffene kann auch Sie beauftragen, eine Weiterverarbeitung durch einen von Ihnen beauftragten Dritten zu unterbinden und seine Daten dort löschen zu lassen (Beispiel: Sie haben Daten an Facebook übergeben. Der Nutzer war sich bei seiner Einwilligung darüber nicht im Klaren und kann Sie verpflichten, seine Daten bei Facebook löschen zu lassen).
Informieren Sie den Betroffenen umgehend, sobald Sie die Verarbeitung seiner Daten beendet haben.
Recht auf Löschung/Vergessenwerden
Alle Personen, deren Daten Sie verarbeiten, dürfen verlangen, dass Sie diese Daten löschen, sobald der Zweck der Erhebung erfüllt ist (Art. 17 DGSVO). Dieses Recht wird auch das „Recht auf Vergessenwerden“ genannt. Wenn Sie beispielsweise in Ihrem Shop den Namen und die Adressdaten eines Bestellers erhoben haben und der Kaufvorgang samt Bezahlung abgeschlossen ist, darf der Kunde verlangen, dass Sie seine Daten löschen. Auch wenn der Kunde seine Einwilligung in die Datenverarbeitung vor der Lieferung zurückzieht, müssen Sie den Datensatz löschen – ist die Lieferung allerdings bereits erfolgt, haben Sie das Recht, die Daten bis zur Vertragserfüllung zu speichern. Gelöscht werden müssen Daten, wenn
- sie unrechtmäßig bzw. nicht konform zu Art. 6 DSGVO erfasst worden sind,
- die Frist für ihre Speicherung abgelaufen ist,
- sich der Zweck der Datenerfassung und -verarbeitung geändert hat,
- der Zweck, für den die Daten erhoben wurden, erfüllt ist,
- die Löschung zur Einhaltung der Gesetze der EU oder eines Mitgliedstaates erforderlich ist,
- die Daten erfasst worden sind, als die betroffene Person minderjährig war und damit eine ungültige Einwilligung erteilt hat,
- der Betroffene die Löschung verlangt.
Als Datenschutzverantwortlicher müssen Sie bei allen genannten Punkten außer dem letzten selbst darauf achten, dass die Daten von Ihrem Unternehmen aus zeitnah gelöscht werden. Es handelt sich hierbei nicht um eine Löschung nur auf Antrag! Sie müssen darüber hinaus sicherstellen, dass alle gesammelten und verteilten personenbezogenen Daten gelöscht werden – auch jene, die von Drittparteien verarbeitet worden sind oder veröffentlicht wurden.
Wichtig: Das Recht auf Vergessenwerden gilt nur innerhalb der europäischen Union. Es besteht bespielweise nicht in den Trefferlisten von in den USA gehosteten oder anderen regionalen Versionen von Suchmaschinen (EUGH-Urteil in der Rechtssache C-507/17).
Hier darf der Suchmaschinenbetreiber darüber entscheiden, ob das Recht auf öffentliche Information oder das Persönlichkeitsrecht des Betroffenen überwiegt (EUGH-Urteil in der Rechtssache C-136/17).
Recht auf Datenübertragbarkeit
Der Betroffene hat das Anrecht, eine vollständige Kopie der dem Unternehmen vorliegenden personenbezogenen Daten zu verlangen und diese anderen Verantwortlichen zu übermitteln – auch maschinell (Art. 20 DGSVO). Hierzu ist ein übliches maschinenlesbares Format zu wählen, etwa eine .csv-Datei.
Die Daten können auch direkt an einen vom Betroffenen beauftragten Dritten übermittelt werden. Hiermit soll der Wechsel beispielsweise von Strom- und Telefonanbietern, aber auch zwischen Plattformen wie sozialen Medien erleichtert werden, indem der gesamte Datenbestand transferiert und die erneute Eingabe der Daten minimiert wird. Für die direkte Übermittlung an einen Dritten muss die Verarbeitung auf einem Vertrag oder einer Einwilligung beruhen und in einem automatisierten Verfahren erfolgen können.
Recht auf Einschränkung der Verarbeitung
Der Betroffene hat nach Art. 18 DGSVO das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
- die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, oder
- die Verarbeitung unrechtmäßig ist und die betroffene Person statt einer Löschung die Einschränkung der Nutzung der personenbezogenen Daten verlangt, oder
- der Verantwortliche die personenbezogenen Daten für die Zwecke der ursprünglichen Verarbeitung nicht länger benötigt, sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
- die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Recht zur Beschwerde
Wenn der Betroffene den Eindruck gewinnt, dass Sie die Daten nicht in seinem Sinne bzw. wie vereinbart vornehmen, also beispielsweise seine personenbezogenen Daten nicht korrigieren oder löschen, hat er das Recht, sich bei der Aufsichtsbehörde zu beschweren. Aus diesem Grund muss auf Ihrer Website auch die für Sie zuständige Aufsichtsbehörde angegeben werden.
Außerdem kann ein hohes Bußgeld gegen Ihr Unternehmen verhängt werden, wenn Sie Betroffenenanfragen ignorieren oder zu spät beantworten. Die Aufsichtsbehörde muss in jedem Fall tätig werden, wenn sich ein Betroffener an sie wendet (Artikel 57 Absatz 1f DSGVO). Dies kann bei ernsthaften Problemen zu einer behördlichen Prüfung nach Artikel 83 DSGVO führen, die bei mangelnder Vorbereitung sehr teuer werden kann. Sie sollten also Betroffenenanfragen immer innerhalb von einem Monat beantworten können und dafür eine organisatorische Ablaufstruktur vorhalten.
Art. 22 DSGVO: Automatisierte Entscheidung im Einzelfall
Ein besonderes und auch neues Recht ist jenes auf Unbetroffenheit von maschinellen Entscheidungsprozessen. Hinter dieser eher abstrakten Formulierung verbirgt sich die Entscheidungsfindung allein auf Basis von Datenauswertungen, etwa durch künstliche Intelligenz generiert aus Nutzerprofilen.
Die Vorschrift verbietet es, ausschließlich automatisierte Verarbeitungsprozesse zur Entscheidungsgrundlage für die Begründung oder Ablehnung rechtlicher Beziehungen mit Betroffenen zu machen. Dies betrifft etwa das Profiling, aber auch die vollautomatisierte Kreditwürdigkeitsbeurteilung allein auf Datenbankbasis.
Rein maschinell basierten Entscheidungen, die ihn persönlich oder rechtlich erheblich beeinträchtigen, kann der Betroffene ab sofort anfechten.
Diese Recht entfällt, wenn die Entscheidung
- für den Abschluss oder die Erfüllung eines Vertrags zwischen dem Betroffenen und dem Verantwortlichen notwendig ist
- wegen bestehender Rechtsvorschriften unterliegt zulässig ist (und diese Vorschriften angemessene Maßnahmen zur Wahrung der Rechte sowie der berechtigten Interessen der betroffenen Person enthalten oder
- mit expliziter Zustimmung der betroffenen Person erfolgt.
Verarbeitet Ihr Unternehmen tatsächlich personenbezogene Daten dieses Betroffenen, dann darf er/sie weitere konkrete Auskünfte von Ihnen bzw. Ihrem Datenschutzbeauftragten verlangen. Die entsprechenden Rechte sind in Art. 12 ff. DSGVO festgehalten. Sie müssen dann folgende Angaben innerhalb eines Monats wahrheitsgemäß liefern:
Welche Ausnahmen von Betroffenenrechten gibt es?
Ausnahmen vom Recht auf transparente Information und Kommunikation
Das Recht auf transparente Information und Kommunikation greift nicht, wenn:
- die Aufgabenerfüllung einer öffentlichen Stelle gefährdet wird
- damit eine Gefährdung der öffentlichen Sicherheit und Ordnung verbunden ist
- die Betroffenen bereits über die Informationen verfügen
- die Informationen mit Forschung, Wissenschaft oder Archiven verbunden ist
- es sich um allgemein anerkannte Geheimnisse Dritter handelt
- eine Übermittlung an eine Sicherheitsbehörde erfolgt
- es mit einem unverhältnismäßigen Aufwand verbunden ist
- die Übermittlung an eine öffentliche Stelle gefährdet wird
- Ansprüche geltend gemacht werden
- die vertragliche oder gesetzliche Aufbewahrungspflicht gilt
- andere Rechtsvorschriften greifen
Ausnahmen vom Recht auf Löschung
Das Recht auf Löschung ist ausgesetzt, sofern gesetzliche Aufbewahrungsfristen für die Daten bestehen oder wenn die Verarbeitung oder Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. In diesen Fällen kann der Betroffene aber die weitere Verarbeitung der Daten beschränken. Auch bei einem öffentlichen Interesse im Bereich der öffentlichen Gesundheit, Archiv-, Forschungs- und Statistikzwecken kann die Löschung verweigert werden. Informieren Sie den Betroffenen umgehend, sobald Sie seine Daten gelöscht haben. Anschließend wird auch die Bestätigung der Löschung gelöscht.
Tip: Es empfiehlt sich, bereits im Vorhinein ein detailliertes Löschkonzept aufzustellen, damit die Löschungen zuverlässig, vollständig und schnellstmöglich durchgeführt werden können.
Ausnahmen vom Recht auf Einschränkung der Verarbeitung
- im Bereich der Forschung und Statistik, wenn durch eine Einschränkung der ursprüngliche Zweck nicht mehr erreicht oder ernsthaft beeinträchtigt würde
- Betroffenen steht ebenfalls kein Einschränkungsrecht zu, wenn dadurch Archivzwecke im öffentlichen Interesse ernsthaft beeinträchtigt würden. Ausnahme von der Ausnahme ist ein Verlangen auf Einschränkung, um eigene Ansprüche geltend zu machen. In diesem Fall spielen auch Archivzwecke keine Rolle
Was sind Betroffenenanfragen?
Aufgrund des Auskunftsrechts können Betroffene beim Unternehmen eine Anfrage stellen, um Informationen über die von ihnen verarbeiteten personenbezogenen Daten zu erhalten. Diese Betroffenenanfragen verlangen einen sorgsamen Umgang und eine schnelle Antwort durch das Unternehmen. Eine Betroffenenanfrage scheint auf den ersten Blick mit viel Arbeit und Aufwand verbunden zu sein.
Es ist ratsam, bereits vor dem Eintreffen der ersten Auskunftsanfrage im Voraus den Ablauf einer sogenannten Betroffenenauskunft organisatorisch durchzuplanen (Stichwort Checkliste) und vor allem eine sorgfältige Dokumentation zu führen. Die Implementation eines Prozesses wird eine fristgerechte und korrekte Bearbeitung der Anträge gewährleisten. Für die gute Vorbereitung auf eine Betroffenenanfrage ist es außerdem wichtig, ein gut strukturiertes Datenschutzkonzept zu erstellen und Mitarbeiter über den Umgang mit personenbezogenen Daten zu sensibilisieren.
Denn wenn eine solche Betroffenenanfrage kommt, müssen Sie sie schnellstmöglich und umfassend beantworten können. Wenn Sie sich eine Ablaufstruktur überlegt haben, nach der Sie sich im Fall einer Anfrage richten können, kann vieles automatisiert und damit deutlich schneller erfolgen.
Wie sieht eine Betroffenenanfrage aus?
Betroffene brauchen die Anfrage nicht zu begründen und müssen auch nicht in irgendeiner Beziehung zu Ihrem Unternehmen stehen. Diese Anfrage müssen Sie wahrheitsgemäß beantworten. Liegen Ihnen zu dieser Person keine Daten vor oder wurden diese unumkehrbar anonymisiert, müssen Sie eine Negativauskunft erteilen.
Der Fragesteller darf seine Anfrage formlos und auf jedem beliebigen Weg (telefonisch, postalisch, per E-Mail…) stellen. Er braucht sich weder auf die DSGVO zu beziehen noch das Wort „Betroffenenanfrage“ oder „Auskunftsersuchen“ zu verwenden.
Schon die einfache Frage „Woher haben Sie meine Daten?“ oder „Ich habe eine Frage zum Datenschutz“, eine Beschwerde über unerwünschte Werbung/Anrufe/Spam oder der Wunsch nach Dateneinsicht oder nach Kontakt zum Datenschutzbeauftragten kann eine Betroffenenanfrage sein.
Wer ist für die Bearbeitung von Betroffenenanfragen zuständig?
Gemäß Artikel 12 Abs. 1 DSGO muss die für Betroffenenanfragen verantwortliche Person geeignete Maßnahmen ergreifen, um die angeforderten Informationen zu übermitteln. Dabei muss es sich bei dieser Person nicht um eine interne Person handeln. Sie haben hier die Möglichkeit, eine externe Datenschutzberatung als Dienstleister in Anspruch nehmen. Beachten Sie jedoch dabei, dass der Verantwortliche derjenige bleibt, der die Informationen zusammenträgt und die Betroffenenanfrage beantwortet.
Was ist bei Betroffenenanfragen zu beachten?
Beim Umgang mit Betroffenenanfragen muss der Verantwortliche bestimmte formale Voraussetzungen einhalten.
Form- und fristgerechte Beantwortung
Artikel 12 Abs. 1 DSGVO sieht vor, dass die relevanten Informationen in präziser, verständlicher und leicht zugänglicher Form sowie einer klaren und einfachen Sprache zu übermitteln. Dabei kann dies entweder schriftlich oder beispielsweise elektronisch erfolgen.
Darüber hinaus ist muss die Betroffenenanfrage unverzüglich aber spätestens innerhalb eines Monats bearbeitet werden. Eine Fristverlängerung von zwei Monaten ist unter bestimmen Umständen möglich. Diese Verlängerung muss der betroffenen Person jedoch rechtzeitig mitgeteilt werden. Eine Zustimmung der Betroffenen ist nicht erforderlich.
Der konkrete Wortlaut im Gesetz lautet:
„Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.“
Die Frist von einem Monat läuft ab dem Eingangstag der Anfrage. Stellen Sie eine redundante Auskunftserteilungsmöglichkeit sicher, denn Krankheit oder Urlaub des Datenschutzbeauftragten werden als Begründung für eine verspätete Antwort nicht akzeptiert.
Ist die Anfrage unklar gestellt, sollten Sie eine Rückfrage an den Betroffenen stellen, welche Daten genau gemeint sind, um nicht wegen einer Fehlantwort Fristüberschreitungen zu riskieren.
Identitätsprüfung
Sollte der oder die Verantwortliche für eine Betroffenenanfrage Zweifel an der Identität des oder der Betroffenen hegen oder nicht in der Lage sein, den oder die Betroffene/n zu identifizieren, ist ein Identitätsnachweis erforderlich. Dabei ist zu beachten, dass der oder die Verantwortliche der betroffenen Person verschiedene Möglichkeiten zum Identitätsnachweis anbieten muss. Beim Vorlegen eines Personalausweises muss die verantwortliche Person darauf achten, dass bis auf Namen, Anschrift, Geburtsdatum und Gültigkeitsdauer alle sonstigen Ausweisdaten geschwärzt werden (Grundsatz der Datenminimierung Art. 5 Abs. 1 lit c DSGVO).
Sollte die betroffene Person dem nicht nachkommen und keinen Nachweis vorlegen, kann die verantwortliche Person gemäß Artikel 12 Abs. 2 DSGVO die Tätigkeit zur Betroffenenanfrage einstellen.
Wer kann das Betroffenenrecht geltend machen?
Nach Artikel 15 der DSGVO haben alle Menschen, deren Daten in Ihrem Unternehmen verarbeitet werden, das Recht, Auskünfte hierüber zu erhalten. Diese Auskünfte müssen Sie unverzüglich, mindestens aber innerhalb einer angemessenen Frist (üblicherweise maximal einem Monat) erteilen.
Jeder Betroffene hat gemäß Datenschutz-Grundverordnung umfangreiche Rechte. Welche personenbezogenen Daten werden in welcher Form und zu welchem Zweck im Unternehmen verarbeitet und gespeichert?
Um dieses Informationsrecht geltend zu machen, können die Betroffenen eine Anfrage auf Auskunftserteilung bei dem jeweiligen Unternehmen stellen.
Bei den Betroffenen kann es sich sowohl um Kunden, Besucher der Unternehmenswebsite oder auch um Mitarbeiter und Lieferanten handeln. All diese Personengruppen sind dazu berechtigt, eine Betroffenenanfrage zu stellen und für den Fall, dass von der jeweiligen Person Daten vorliegen, Informationen vom Unternehmen zu verlangen.
Wie muss die Auskunft erfolgen?
Ihre Antwort muss in verständlicher Form, präzise und transparent erfolgen (einfache und klare Sprache, wenig Fachausdrücke, keine Fachkenntnisse voraussetzen) und für den Fragesteller als Laien leicht technisch zugänglich sein, also ein gängiges Datenformat haben.
Um die Beantwortung zu dokumentieren, sollten Sie immer einen schriftlichen Antwortweg wählen. Die DSGVO sieht vor, dass elektronisch gestellte Anfragen auch elektronisch beantwortet werden, hierbei sind Sie aber für die Daten- und Übermittlungssicherheit verantwortlich.
Die Auskunft muss kostenlos sein
Diese Auskunft muss für den Anfragenden kostenlos erteilt werden. Nur zusätzliche Kopien dürfen Sie eventuell in Rechnung stellen. Falls Sie über sehr große Datenmengen über diese Person verfügen, dürfen Sie eine Präzisierung der Anfrage verlangen. Der Betroffene darf diese Anfrage in „angemessenen Zeitabständen“ wiederholen, ohne dass Sie dafür Aufwendungen abrechnen dürften – etwa um die Umsetzung von Änderungen oder Löschungen zu überprüfen. Welche Zeiträume hierbei als angemessen gelten, werden die Gerichte noch zu klären haben.
Generell haben Sie nur wenige Möglichkeiten, die Auskunft einzuschränken – hier könnten nur die Wahrung der Rechte anderer Personen oder Geschäftsgeheimnisse eine Rolle spielen. Eine komplette Verweigerung der Auskunft dürfte in keinem Fall möglich sein.
Sollte es in Ihrem Unternehmen zu einer Datenschutzpanne gekommen sein, durch die Daten von Betroffenen in falsche Hände oder die Öffentlichkeit geraten sind, müssen Sie von sich aus die hiervon Betroffenen über das Datenleck informieren, wenn für sie ein hohes Risiko besteht (Artikel 34 DSGVO).
Hierzu müssen Sie eine Risikoabwägung und eine Datenschutz-Folgenabschätzung vornehmen. In Fällen mit hohem Risiko für Rechte und Freiheiten der Betroffenen kann auch die Aufsichtsbehörde von Ihnen fordern, dass Sie die Betroffenen informieren.
In 7 Schritten zur DSGVO-Konformen Datenauskunft
Eine unzureichende Beantwortung von Betroffenenanfragen kann eine Beschwerde bei der Aufsichtsbehörde nach sich ziehen. Daher ist es wichtig, dass bevor Sie eine Anfrage überhaupt erreicht, Ihre Dokumentation nach DSGVO vollständig ist.
Die Datenauskunft und die daraus folgenden Schritte sollten immer und ausschließlich vom Datenschutzbeauftragten durchgeführt werden und nicht etwa „kurz mal nebenbei“ vom Kundendienst oder einem Sachbearbeiter.
Zum einen sieht sich der Betroffene ernster genommen und gewinnt einen professionelleren Eindruck, wenn ein Experte sein Anliegen bearbeitet. Zum anderen haben Kundendienstmitarbeiter nicht die Befugnisse und Möglichkeiten, in sämtliche Systeme einzugreifen, um auch wirklich alle Daten wunschgemäß einzusehen, zu verändern oder zu löschen. Eine unvollständige Datenauskunft oder gar eine nicht vollständige Löschung von Daten kann zur Anzeige bei den Aufsichtsbehörden führen.
Für die Erfassung einer Datenschutzanfrage empfiehlt sich ein Ticketsystem, in dem die einzelnen Bearbeitungsschritte mit Zeitstempel versehen und gut dokumentierbar nachverfolgt werden können.
Vermerken Sie den Eingangszeitpunkt (Fristberechnung) der Anfrage im Dokument. In Konzernen ist diejenige Gesellschaft für Beantwortung zuständig, die die Datenverarbeitung auch tatsächlich vornimmt. Wenn Sie Auftragsverarbeiter für ein anderes Unternehmen sind, leiten Sie die Anfrage umgehend an den Verantwortlichen Ihres Auftraggebers weiter. Das genaue Verfahren sollte in Ihrem Auftragsverarbeitungsvertrag geregelt sein.
Nutzen Sie dafür am besten den Kommunikationsweg, den der Fragesteller für seine Anfrage gewählt hat, und dokumentieren Sie diese Bestätigung.
Da Sie die Auskunft nur dem Betroffenen selbst oder einer von ihm bevollmächtigten Person erteilen dürfen, müssen Sie zunächst überprüfen, ob der Fragende tatsächlich der Betroffene ist. Nutzen Sie neben dem Namen zusätzliche Identifizierungsmerkmale wie Geburtsdatum, Anschrift oder Kundennummer oder lassen Sie sich hierfür beispielsweise den Personalausweis vorlegen (Sie dürfen diesen aber nicht kopieren!), insbesondere wenn es sich um besonders schützenswerte Daten (Patientenakte etc.) handelt.
Eine Betroffenenauskunft umfasst auf Verlangen des Betroffenen eine Kopie aller personenbezogenen Daten, die das Unternehmen über den Betroffenen besitzt, samt den Antworten auf die oben genannten Fragen. Solange nicht gerichtlich geklärt wurde, wie umfangreich diese Informationen mindestens ausfallen müssen, sollten Sie ALLE Daten über diese Person samt allen Verarbeitungsvorgängen und über alle Abteilungsgrenzen hinweg aus allen Datenverarbeitungsprogrammen kopieren (Verzeichnis der Verarbeitungstätigkeiten nutzen!). Sollten in diesen Unterlagen auch personenbezogene Informationen zu anderen Personen oder zu Geschäftsgeheimnissen enthalten sein, machen Sie diese unkenntlich.
In diesem Schritt sollten Sie beispielsweise Namensgleichheiten ausschließen.
Nutzen Sie für die Auskunft und die Übermittlung der Datenkopien ein sicheres Verfahren. Wenn Sie eine elektronische Auskunft versenden möchten, verschlüsseln Sie die entsprechende E-Mail und alle Anlagen (z. B. geschütztes PDF). Bei großen Datenmengen kann auch ein verschlüsselter Datenträger oder eine abgesicherte Datenverbindung infrage kommen. Eine mündliche Auskunft ist zwar möglich, wenn die Identität des Gegenübers geprüft werden konnte, allerdings ist die Dokumentation schwierig, daher sollten mündliche Auskünfte nur auf Verlagen des Betroffenen erteilt werden.
Je nach Dokumentationssystem kann dies elektronisch oder per Datenschutzordner geschehen.
Entwickeln Sie ein transparentes Widerspruchssystem, bei dem der Nutzer entweder im Kundenkonto oder per Formular/E-Mail der Nutzung seiner Daten für Werbezwecke möglichst leicht widersprechen kann. Auf dieses System sollten Sie den Kunden bereits hinweisen, wenn Sie seine Daten erheben.
Als externer Datenschutzbeauftragter übernehmen wir u.a. die Beantwortung von Betroffenenanfragen für Ihr Unternehmen.
Die externen Datenschutzbeauftragter der Cortina Consult
Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich