Was Sie als Unternehmen tun sollten, wenn Betroffene ihre Datenschutzrechte nach DSGVO ausüben

Auskunftsrecht, Löschungsrecht, Einschränkungsrecht, Datenübertragbarkeitsrecht, Einwirkungsrecht: Die europäische Datenschutz-Grundverordnung (DSGVO) stattet Betroffene mit einem ganzen Bündel an Datenschutz-Werkzeugen aus. Unsere praktische Anleitung hilft Unternehmen in drei konkreten Schritten, datenschutzkonform auf Anfragen von Betroffenen zu reagieren.

Vorab: Wie wichtig ist die Reaktion auf Anfragen betroffener Personen?

Ein Kunde, der einen Datenschutzverstoß wittert, sich einen Überblick über die zu seiner Person gespeicherten Daten verschaffen möchte oder einfach nur nach einem Mittel sucht, einen Rabatt zu erzwingen, kann durch die Ausübung eines seiner aktiven Datenschutzrechte (Art. 15 ff. DSGVO) ein unvorbereitetes Unternehmen in Aufruhr versetzen: Schnell wird die Drohung, sich bei nicht fristgerechter bzw. nicht zufriedenstellender Rückmeldung an die Datenschutzbehörde zu wenden, zur echten Gefahr. Denn die Aufsichtsbehörde muss tätig werden, wenn ein Betroffener sich an sie wendet (Art. 57 Abs. 1 lit. f DSGVO).

Bei ernstzunehmenden Anliegen ist es dann nur noch eine Frage der Zeit, bis das Schreiben der Behörde eintrifft, in dem die anstehende Prüfung der Verarbeitungstätigkeiten bzw. der Datenschutzdokumente angekündigt wird. Wer dann immer noch unvorbereitet ist, riskiert hohe Bußgelder (Art. 83 DSGVO) und ggfs. eine negative Berichterstattung. Beides kann, je nach Branche und Größe des Unternehmens, bestandsgefährdend sein.

Damit es gar nicht erst zu einer Behördenprüfung kommt, empfiehlt es sich, mithilfe eines zuverlässigen Datenschutzmanagementsystems auf datenschutzrelevante Anfragen von Betroffenen im Vorhinein gut vorbereitet zu sein, um im Fall der Fälle schnell und professionell reagieren zu können. Insbesondere die folgenden drei Punkte sollten dabei beachtet werden:

1. Keine vorschnellen Reaktionen und Auskünfte – professionelle Prüfung ist gefragt

Anfragen datenschutzrechtlicher Natur sollten bestenfalls ausschließlich über eine zentrale Datenschutz-E-Mailadresse (z. B.: datenschutz@meinefirma.de) eingehen. Eine solche Adresse muss zwingend in den Datenschutzhinweisen auf der Website und an sämtlichen anderen Orten, an denen das Unternehmen seinen Informationspflichten (Art. 13, 14 DSGVO) nachkommt, leicht auffindbar sein. So, wie die Datenschutzadresse „irrtümlicherweise“ vom Kunden vielfach für Beschwerden, Produktbestellungen und sogar Arbeitsplatzbewerbungen „missbraucht“ wird, gehen umgekehrt auch zahlreiche echte Datenschutzanfragen direkt beim Kundenservice ein. Dieser sollte zum Umgang mit eingehenden Anfragen entsprechend sensibilisiert sein, z. B. über eine Vor-Ort- bzw. Online-Datenschutzschulung und / oder einen Workshop zur datenschutzkonformen Kundenbetreuung.

Es sollten auf keinen Fall „mal eben“ angefragte Auskünfte beantwortet und/ oder Daten gelöscht werden, um sich der Sache zu entledigen. Eingegangene Betroffenenanfragen sollten vielmehr zunächst vom Datenschutzbeauftragten bzw. Datenschutzkoordinator geprüft werden. Folgende Punkte gilt es insbesondere zu prüfen:

  • Welcher rechtliche Anspruch (Art. 15 ff. DSGVO) wurde konkret geltend gemacht? Werden mehrere Ansprüche zugleich geltend gemacht?
  • Hat sich der Betroffene an das richtige Unternehmen gewandt? Ggf. Weiterleitung der Anfrage an die verantwortliche Stelle.
  • Besteht hinsichtlich des geltend gemachten Rechts bereits ein definierter Prozess (Richtlinie) im Unternehmen, der nun befolgt werden kann?
  • Hat sich der Betroffene ausreichend identifiziert oder bedarf es einer (schonend auszugestaltenden) Identitätsüberprüfung? Abgleich der vom Betroffenen in seinem Schreiben gemachten Angaben mit denen, die in den Systemen zu finden sind.
  • Werden / wurden überhaupt Daten zum Betroffenen verarbeitet? – Rücksprache mit dem Kundenservice und / oder anderen Bereichen, in denen personenbezogene Daten verarbeitet werden. Wenn trotz erfolgter interner Rücksprache Unklarheit besteht: Rückfrage an den Betroffenen, welche Daten gemeint sind.
  • Ist der Anspruch berechtigt oder mangelt es ggf. an einer Begründung (insb. im Falle eines Berichtigungsanspruchs)?
  • Sind alle Wünsche der Person vom geltend gemachten Betroffenenrecht umfasst?
  • Würde die Beantwortung der Anfrage die Rechte anderer Betroffenen oder des Unternehmens (z. B. Geschäftsgeheimnisse) beeinträchtigen? Falls ja: Kann / muss dem Anliegen des Betroffenen trotzdem nachgekommen werden?
  • Stehen dem Anliegen des Betroffenen sonstige rechtliche Anforderungen (z. B. an die Speicherdauer der Daten) entgegen?
  • In welcher rechtlichen Frist muss das Anliegen des Betroffenen erfüllt werden?
  • Bestehen bereits Vorlagen (Dokumente), die für die Beantwortung des Anliegens genutzt werden können?

2. Keine unstrukturierte Bearbeitung – professionelle Koordination ist gefragt

Ist die Berechtigung des oder der geltend gemachten Rechte(s) einmal geklärt, geht es darum, eine zügige und rechtlich einwandfreie Beantwortung der Betroffenenanfrage sicherzustellen. Hierzu ist regelmäßig die Einbindung verschiedener Unternehmensbereiche erforderlich.

Hat der Betroffene z.B. einen berechtigten Anspruch auf Löschung bzw. Sperrung (mancher) seiner Daten, bedarf es u.U. der Einbindung der IT, um alle bzw. ausgewählte Datensätze zu löschen bzw. zu sperren. Macht der Betroffene von seinem Auskunftsrecht Gebrauch, sollte der Datenschutzkoordinator Rücksprache mit allen Abteilungen halten, in denen Daten zum Betroffenen verarbeitet werden (könnten). Folgende Vorkehrungen sollten für eine professionelle Koordination u. a. getroffen werden:

  • Auskunftsrecht, Löschungsrecht, Einschränkungsrecht, Berichtigungsrecht (Art. 16 bis 18 DSGVO): Leicht verständliche Hinweise (Anleitung in Schritten) für den Datenschutzkoordinator bzw. die einzelnen Abteilungen dazu, wie ein berechtigtes Anliegen des Betroffenen erfüllt werden muss.
  • Auskunftsrecht (Art. 15 DSGVO): Vorlage für das Beauskunften von Daten, Datenempfängern, Löschfristen, Verarbeitungszwecken etc.
  • Datenübertragbarkeitsrecht (Art. 20 DSGVO): Umsetzung technischer und organisatorischer Instrumente, die einen sicheren Datentransfer ermöglichen.
  • Einwirkungsrecht (Art. 22 Abs. 3 DSGVO): Prozess für die menschliche Überprüfung einer automatisierten Einzelentscheidung und des Betroffenenstandpunkts.
  • Mitteilungspflicht bei Berichtigung oder Löschung (Art. 19 DSGVO): Vorlage für die Information von Geschäftspartnern, Auftragnehmern und anderen, denen in der Vergangenheit personenbezogene Daten zum Betroffenen mitgeteilt wurden. Ggf. Vorlage für die Information des Betroffenen über die einzelnen Empfänger.
  • Widerspruchsrecht und Widerrufsrecht (Art. 21, Art. 7 Abs. 3 DSGVO): Führen einer Widerrufs- bzw. Widerspruchsliste in den Bereichen Marketing und ggf. Analytics, um zu verhindern, dass eine weitere Ansprache bzw. Analyse des Kunden erfolgt. Sicherstellen, dass sämtliche Widersprüche bzw. Widerrufe an die zuständige Stelle im Unternehmen weitergeleitet werden und nichts „unter den Tisch gekehrt“ wird.

3. Keine unkontrollierte Datenherausgabe – professionelle Kommunikation ist gefragt

Die Bearbeitung mancher Betroffenenrechte erfordert die Datenherausgabe an den Betroffenen und / oder an andere Stellen. Eine Herausgabe personenbezogener Daten ist stets „heiß“ und sollte niemals unbedacht erfolgen – auch dann nicht, wenn der erste und zweite Schritt dieser Anleitung erfolgreich durchgeführt wurden, also das Anliegen des Betroffenen juristisch geprüft und erforderliche Maßnahmen, wie z.B. Löschung, Berichtigung oder das Ausfüllen eines Auskunftsblatts erfolgten.

Jetzt gilt es sicherzustellen, dass die ggf. erforderliche Information des Betroffenen und / oder anderer Stellen in sicherer und nachweisbarer Weise (Art. 32 DSGVO, Art. 5 Abs. 2 DSGVO) erfolgt und dass auch nur genau die Daten kommuniziert werden, die kommuniziert werden dürfen. Folgende Punkte sind hierbei u. a. zu beachten:

  • Auskunftsrecht (1): Information per Telefon nur bei ausdrücklichem Wunsch des Betroffenen. Das Unternehmen sollte im Zweifel nachweisen können, dass es der Auskunft rechtskonform nachgekommen ist. Bei einer telefonischen Auskunft wäre zudem regelmäßig nicht sichergestellt, dass es sich beim Gesprächspartner auch wirklich um den Betroffenen handelt.
  • Auskunftsrecht (2): Einsatz einer sicheren Verschlüsselungstechnologie, wenn die Daten per E-Mail an den Betroffenen gesendet werden sollen. Sofern Containerpasswörter verwendet werden, sollte dem Betroffenen das Passwort telefonisch bzw. auf einem getrennten Kanal durchgegeben werden.
  • Löschungsrecht, Berichtigungsrecht, Einschränkungsrecht: Bestätigung der erfolgten Löschung, Berichtigung bzw. Einschränkung. Die Löschbestätigung sollte anschließend ebenfalls gelöscht werden. Sofern gar keine Daten zum Betroffenen vorlagen (vgl. Schritt 2): Versenden einer sogenannten „Negativauskunft“ – also die Information darüber, dass keine Daten gespeichert sind.

Fazit: Der gute Prozess macht bei den Betroffenenrechten den Unterschied.

Detaillierte Prozessbeschreibungen schaden oftmals mehr, als dass sie zu irgendetwas nützen. Bei den Betroffenenrechten ist das ausnahmsweise anders: Wer hier mittels Schulungen, Richtlinien, Powerpoint-Präsentationen und Vorlagen seine Belegschaft gut vorbereitet und Zuständigkeiten in Konzepten klar definiert, minimiert das Risiko einer späteren Eskalation in der Kommunikation mit dem Betroffenen.

Insbesondere in Unternehmen, in denen Datenschutzanfragen zur Tagesordnung gehören, sollten diese möglichst eigenständig von den internen Datenschutzkoordinatoren bearbeitet werden können, um ein schnelles Reagieren sicherzustellen. Der (externe) betriebliche Datenschutzbeauftragte sollte jedoch bei Unklarheiten stets hinzugezogen werden.

Bitte bewerten Sie diese Inhalte!
[0 Bewertung(en)/ratings]
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.