Der richtige Umgang mit Anfragen von Betroffenen ist ein großer Gewinn für jedes Unternehmen. Ein routiniertes Vorgehen kann nicht nur Compliance sicherstellen, sondern auch den gesamten Geschäftsablauf optimieren und beschleunigen. Aus diesem Grund sollte die Beantwortung von Betroffenenanfragen fester Bestandteil eines guten Datenschutz-Managementsystems im Unternehmen sein. Doch wie geht man mit Betroffenenanfragen richtig um? Was ist nach der DSGVO zu beachten?
Eine Betroffenenanfrage erkennen
Zunächst muss eine Anfrage von Betroffenen überhaupt als solche erkannt werden. Das hört sich vielleicht einfach an, ist es aber nicht immer! Schließlich sind die Mehrzahl der betroffenen Personen juristische Laien, die vermutlich das Wort „Betroffenenanfrage“ und insbesondere das konkrete Recht, das sie geltend machen wollen, wörtlich gar nicht verwenden werden. Das müssen sie auch nicht! Hier ist der Verantwortliche gefragt, das Richtige aus der Nachricht der betroffenen Person zu entnehmen. So sollten Sie schon bei folgenden Formulierungen davon ausgehen, dass die Nachricht eine Betroffenenanfrage darstellt und daher auch vorsorglich als eine solche behandeln:
- „Ich habe eine Frage zum Datenschutz oder „Ich möchte etwas zum Umgang mit meinen Daten wissen“
- Die Begriffe Information, Auskunft, Sperrung, Einschränkung der Verarbeitung, Löschung, Recht auf Vergessen oder Widerspruch werden verwendet
- „Woher haben Sie meine Daten?“
- Unzulässige, unerwünschte Werbung, Spam wird beanstandet
- „Bitte melden Sie mich vom Newsletter ab“
- „Bitte berichtigen Sie folgende Angaben zu meiner Person“
- Person droht mit Anwalt, Abmahnung oder Meldung an Datenschutzbehörde
- Person verlangt nach dem Datenschutzbeauftragten
Diese Formulierungen können auf die verschiedenen Antragstypen hinweisen, die den jeweiligen Betroffenenrechten der DSGVO zuzuordnen sind:
- Das Recht auf Auskunft (Auskunftsrecht)
- Das Recht auf Datenlöschung
- Das Recht auf Einschränkung der Verarbeitung
- Das Recht auf Datenberichtigung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht gegen eine zuvor erteilte Einwilligung
Die Beantwortung – was ist zu beachten?
Zwar können die Anfragen auf allen möglichen Wegen erteilt werden, wie etwa mündlich, elektronisch, telefonisch oder schriftlich. Die Beantwortung sollte jedoch immer schriftlich oder ggf. auch elektronisch erfolgen. Bei elektronischen Antworten sollte vorsichtig vorgegangen werden, da die Datensicherheit bei der Übertragung gewährleistet werden muss. Außerdem gilt, und das ist auch gesetzlich vorgeschrieben, dass die Beantwortung in präziser, transparenter und verständlicher Form sowie leicht zugänglich für die Betroffenen erfolgen muss. Dringend zu raten ist außerdem, dass der gesamte Vorgang und die gesamte Kommunikation dokumentiert wird!
Des Weiteren gibt es natürlich eine Frist zu beachten. Es ist vorgesehen, dass die Beantwortung unverzüglich, spätestens jedoch binnen eines Monats von Eingang der Betroffenenanfrage an erfolgen muss. Zwar gibt es ausnahmsweise eine Fristverlängerung auf insgesamt drei Monate, aber darauf sollten Sie sich besser nicht verlassen! Nur in seltenen Fällen ist das statthaft.
Außerdem ist zu beachten, dass die betroffene Person immer informiert werden muss, wenn ihrer Anfrage nicht nachgekommen werden kann. Das ist z.B. der Fall, wenn die Person die Löschung ihrer Daten verlangt, dem jedoch gesetzliche Aufbewahrungspflichten entgegenstehen.
Sollte die Anfrage bei dem Auftragsverarbeiter eintreffen, so muss dieser sie nicht beantworten, sondern an den Verantwortlichen weiterleiten. Genaueres sollte der Auftragsverarbeitungsvertrag (AVV) regeln.
Die Beantwortung – der Vorgang
Wie sieht nun das beste Vorgehen aus, wenn eine Betroffenenanfrage eingegangen ist? Folgender grober Ablauf ist zu empfehlen:
- Weiterleitung der Anfrage an den Datenschutzkoordinator des Unternehmens
- Frist festlegen: Eingangszeitpunkt der Anfrage notieren
- Eingangsbestätigung an betroffene Person versenden
- Recherche: Durchsuchen der Datenquellen nach Daten der betroffenen Person
- Identifizierung: Datenschutzkoordinator identifiziert betroffene Person anhand der Datenquellen
- Datenschutzbeauftragter kann jederzeit kontaktiert werden
- Änderung Datenbestand je nach Anfragetyp
- Antwort versenden durch Datenschutzkoordinator
- Dokumentation des Vorgangs durch Datenschutzbeauftragten
Insbesondere der vierte Punkt stößt in der Praxis auf Schwierigkeiten, denn die Daten über die anfragende Person müssen erst einmal gefunden werden. Hier ist ein gut geführtes Verzeichnis über Verarbeitungstätigkeiten (VVT), das die Daten übersichtlich aufführt, enorm hilfreich.
Die Folgen der Betroffenenanfrage
Was genau die Folgen der Betroffenenanfrage sind, richtet sich nach dem konkreten Anfragetyp:
Das Recht auf Auskunft (Auskunftsrecht): Beansprucht die betroffene Person Auskunft, sind ihr die gespeicherten Daten mitzuteilen und die Informationen im gesetzlich definierten Umfang zur Verfügung zu stellen. Konkret hat die Person u.a. ein Auskunftsrecht über die Verarbeitungszwecke der personenbezogenen Daten (z.B. zum Zweck des E-Mail-Marketings), die Kategorien von personenbezogenen Daten, die verarbeitet werden (z.B. Kontaktdaten), die Empfänger der Daten (insbesondere in Staaten außerhalb der EU) und die Speicherdauer der personenbezogenen Daten.
Das Recht auf Datenberichtigung: Das Recht auf Datenberichtigung beinhaltet das Recht, die eine Person betreffenden unrichtigen Daten korrigieren sowie ergänzen zu lassen.
Das Recht auf Einschränkung der Verarbeitung: Hier muss der Verantwortliche sicherstellen, dass die gespeicherten personenbezogenen Daten nicht mehr verarbeitet werden.
Das Recht auf Löschung: Wird die Löschung der personenbezogenen Daten abgefragt, so sind die Konsequenzen selbsterklärend – die entsprechenden Daten müssen gelöscht werden. In manchen Fällen kann jedoch auch eine Anonymisierung ausreichen, wenn eine Reidentifizierung der Person technisch und organisatorisch ausgeschlossen ist.
Recht auf Datenübertragbarkeit: Macht eine Person ihr Recht auf Datenübertragbarkeit geltend, so muss die Person von der verantwortlichen Stelle in einem strukturierten und maschinenlesbaren und gängigen Format die Daten erhalten, wenn die Verarbeitung in einem automatisierten Verfahren und auf Grundlage einer Einwilligung stattfindet oder zur Durchführung eines Vertrags erforderlich ist. Wenn technisch möglich können die Daten auf Wunsch auch direkt an einen anderen Verantwortlichen übermittelt werden.
Recht auf Widerspruch: Mit dem Recht auf Widerspruch wird die an sich erlaubte Datenverarbeitung für die Zukunft unzulässig gemacht. Das Recht kann bei Daten, die auf Grundlage von öffentlichem oder berechtigtem Interesse verarbeitet werden, ausgeübt werden. Jedoch ist zu beachten, dass auch Einwilligungen zurückgezogen werden können.
Fazit: Mit Struktur und Routine Compliance sicherstellen!
Tatsächlich ist es gar nicht so schwierig mit Betroffenenanfragen richtig umzugehen. Wenn sie routiniert einer vorgegebenen Struktur bei der Beantwortung folgen und genau wissen, was bei welchem Anfragetyp zu beachten ist, ist das bereits die halbe Miete.
Der Teufel liegt jedoch im Detail!
Es kommt immer auf den Einzelfall an und darauf, wie die Antworten sprachlich und inhaltlich aufgebaut werden. Eventuell kann es sogar vorkommen, dass von dem üblichen Prozedere abgewichen werden muss. Aus diesem Grund ist zu empfehlen, einen erfahrenen Datenschutzexperten damit zu betrauen, die Betroffenenanfragen innerhalb ihres Datenschutz-Managementsystems zu integrieren und ein ordentliches und vollständiges VVT aufzustellen.
Sprechen Sie die IT- und Rechtsexperten der ISiCO Datenschutz GmbH gerne darauf an! Wir können Ihnen zeigen, wie Sie sicher und korrekt mit Betroffenenanfragen umgehen und können Ihnen bei der Erstellung Ihres VVTs zur Hand gehen! Außerdem schulen wir Ihre Mitarbeiter im richtigen Umgang mit Betroffenenrechten und übernehmen auch gerne die Funktion als Datenschutzbeauftragter für Ihr Unternehmen!