09

Betroffenenrechte

Oha, da will jemand eine Auskunft nach Art.15 DSGVO!

Oha, da will jemand eine Auskunft nach Art.15 DSGVO!

10 Datenpanne
08 Gemeinsames Handeln

Worum geht‘s?

Im Hinblick auf die Betroffenenrechte müssen Sie gewährleisten, dass jede Person die ihr zustehenden Rechte aus der DSGVO auch wahrnehmen, also ausüben kann. Im Grunde kann jede Person bei Ihnen anfragen, ob Sie überhaupt Daten von ihr speichern.

Beim Umgang mit Betroffenenrechten sind bestimmte Fristen einzuhalten. Werden diese Fristen nicht eingehalten, kann das bereits zu empfindlichen Sanktionen führen.

Über das Recht zur Beschwerde bei einer Aufsichtsbehörde müssen Sie nur informieren. Bei der Wahrnehmung anderer Rechte müssen Sie selbst tätig werden.

Nachfolgend beschäftigen wir uns mit

  • dem Prozess zur Erfüllung von Betroffenenanfragen,
  • dem Auskunftsrecht gemäß Art. 15 DSGVO und
  • dem Recht auf Löschen.

Das Auskunftsrecht ist das am häufigsten in Anspruch genommene Recht. Leider kann man hier auch die meisten Fehler machen.

Rechte einer betroffenen Person nach DSGVO
  • Art. 15 DSGVO – Auskunftsrecht der betroffenen Person
    • Erwägungsgründe 63 und 64
  • Art. 16 DSGVO – Recht auf Berichtigung
    • Erwägungsgrund 65
  • Art. 17 DSGVO – Recht auf Löschung („Recht auf Vergessenwerden“)
    • Erwägungsgründe 65 und 66
  • Art. 18 DSGVO – Recht auf Einschränkung der Verarbeitung
    • Erwägungsgrund 67
  • Art. 19 DSGVO – Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
    • Erwägungsgrund 66
  • Art. 20 DSGVO – Recht auf Datenübertragbarkeit
    • Erwägungsgrund 68
  • Art. 21 DSGVO – Widerspruchsrecht
    • Erwägungsgründe 69 und 70
  • Art. 22 DSGVO – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
    • Erwägungsgründe 71, 72 und 91
  • Art. 7 Abs. 3 DSGVO – Bedingungen für die Einwilligung, hier Widerrufsrecht
    • Erwägungsgrund 42
  • Art. 77 DSGVO – Recht auf Beschwerde bei einer Aufsichtsbehörde
    • Erwägungsgrund 141
Basiswissen
Betroffenenrechte

Was ist zu tun?

Je nachdem, welches Recht eine Person ausübt, ist die Anfrage entsprechend einzuordnen und zu bearbeiten. Wir geben Ihnen nachfolgend Empfehlungen für mögliche Szenarien. Werfen Sie in unserer Arbeitshilfe einen Blick auf die FAQ zum Auskunftsverfahren.

FAQ - Häufige Fragen
zum Recht auf Auskunft

Eine Datenschutz-Anfrage erkennen

Eine Anfrage zum Datenschutz kann jede Person formlos stellen. Dies schließt auch Personen ein, von denen Sie vielleicht gar keine Daten verarbeiten. Eine Anfrage zum Datenschutz kann telefonisch, mündlich, persönlich, per E-Mail, per Fax, per Schreiben, per Messenger daherkommen.

Als erstes gilt es sicherzustellen, dass Sie und Ihre Beschäftigten eine Anfrage zum Datenschutz überhaupt erkennen. Dies gilt für JEDE Art der Anfrage zum Datenschutz. Diese Anfrage wird umgehend an die Person weitergeleitet, die sich bei Ihnen um den Datenschutz kümmert – wer das ist, haben Sie ja bereits im ersten Schritt kommuniziert.

Alle Beschäftigten sollten darüber informiert sein, dass bereits die Auskunft darüber, OB überhaupt Daten vorhanden sind, eine unbefugte Offenlegung – also einen Datenschutzvorfall – darstellt, wenn sie an die falsche Person gelangt. Ein anschauliches Beispiel dafür sind Online-Partnerbörsen. Gleiches gilt übrigens auch für die Auskunft, OB jemand einen Termin bei einer ärztlichen oder therapeutischen Einrichtung hat.

Alle Beschäftigte schulen

Schaffen Sie Aufmerksamkeit bei Ihren Beschäftigten. Was ist überhaupt eine „Anfrage zum Datenschutz“ oder ein „Auskunftsersuchen nach Art. 15 DSGVO“? Eine offene Kommunikation zu Datenschutzthemen und Schulungen hilft den Beschäftigten dabei, Anfragen zum Datenschutz zu erkennen, diese ernst zu nehmen und intern weiterzugeben. Eindeutige Meldewege und Fristen unterstützen die Beschäftigten dabei.

Datenschutz-Schulungen zeigen Ihren Beschäftigten, dass diese sich mit dem Thema beschäftigen müssen. Sie können so Anfragen zum Datenschutz besser erkennen und einschätzen. Eine schriftliche Richtlinie klärt darüber auf, wie mit Anfragen zum Datenschutz und Betroffenenrechten generell umzugehen ist.

Schritt für Schritt
Organisieren

Nachfolgend sehen Sie, wie sich ein einfacher Prozessablauf bildlich darstellen lässt. An diesem können sich Beschäftigte orientieren, ohne erst viel lesen zu müssen.

Die Identitätsprüfung

ACHTUNG Stolperstein! – BEVOR Sie antworten!

Ein wirklich ganz wichtiger Schritt: Wenn Sie einer anfragenden Person bestimmte Daten oder deren Vorhandensein mitteilen wollen, dann müssen Sie VORHER die Identität der anfragenden Person sicherstellen und gegebenenfalls überprüfen. Hier lauert sonst die sehr reale Gefahr, dass Daten oder Informationen unerlaubt offengelegt werden und Sie sich einen handfesten Datenschutzvorfall ins Haus holen.

Wenn Sie begründete Zweifel an der Identität der anfragenden Person haben, dann können Sie weitere Informationen anfordern, die erforderlich sind, um die Identität der betroffenen Person zu bestätigen. So können Sie sicherstellen, dass die Auskunft nur an die richtige, betroffene Person erteilt wird.

Als Verantwortlicher sollten Sie intern festlegen

  • wann eine Identität ausreichend festgestellt wurde und
  • auf welchem Weg Informationen erteilt werden sollen.

Achten Sie darauf, dass Sie es der anfragenden Person nicht unnötig schwer machen.

Nutzen Sie für die interne Organisation eine Unternehmensrichtlinie oder Arbeitsanweisung. Mehr dazu efahren Sie im Schritt 06 - Klare Regeln.

Das Auskunftsrecht nach Art. 15 DSGVO

Das Auskunftsrecht unterscheidet sich von den anderen Rechten, weil es hier gegebenenfalls mehr zu tun gibt und mehr zu beachten ist. Das wird besonders deutlich, wenn die Daten (noch) nicht komplett digitalisiert und auf Knopfdruck verfügbar sind.

Hier sehen Sie ein weiteres Beispiel zur Umsetzung eines einfachen Prozess-Schaubildes. Bildliche Darstellungen können dabei helfen, die Vorgaben für alle Beschäftigten zu verdeutlichen.

Sind denn überhaupt personenbezogene Daten vorhanden?

Eine Person möchte wissen, OB Sie personenbezogene Daten von ihr verarbeiten. Vielleicht hat diese Person gerade Werbung von Ihnen erhalten und fragt sich, was sie mit Ihnen zu tun hat.

  1. Sie könnten der Person in einem ersten Schritt zum Beispiel antworten, dass Sie die Anfrage erhalten haben und sich um das Anliegen kümmern.
  2. Nun schauen Sie nach, ob Sie überhaupt personenbezogene Daten zu dieser Person haben.

    Sollten Sie bereits über ein gut geführtes Verzeichnis der Verarbeitungstätigkeiten (VVT) verfügen, können Sie diese Daten in der Regel dort einfach ablesen und der anfragenden Person Auskunft erteilen. Mögliche Bestände wären vielleicht an diesen Orten zu finden:

  • Newsletter-Datenbank
  • Marketing-/Vertriebsdatenbank
  • Website-Nutzungsdaten
  • E-Mails, Terminkalender, Telefonspeicher
  • Kundendatenbank
  • Kundenordner (digital oder analog)
  • Nutzungskonto
  • Rechnungsabteilung

Verschiedene Möglichkeiten – Ihre transparente Auskunft

Nachdem Sie die Identitätsprüfung vorgenommen haben, prüfen Sie ob personenenbezogenen Daten des anfragenden Betroffenen bei Ihnen vorhanden sind.

Daten vorhanden

Sollten Sie festgestellt haben, DASS Sie personenbezogene Daten vorhalten, müssen Sie dies der anfragenden Person mitteilen. Zu diesem Zeitpunkt brauchen Sie aber noch nicht zu erwähnen, WELCHE Daten Sie vorhalten, da die Person erst einmal gefragt hat, ob Sie überhaupt Daten haben.

Keine Daten vorhanden

Sollten Sie festgestellt haben, dass Sie KEINE personenbezogenen Daten haben, müssen Sie dies der anfragenden Person ebenfalls mitteilen. Dies wird auch Negativ-Auskunft genannt.

FRIST

Sie müssen die Informationen unverzüglich, aber spätestens innerhalb eines Monats nach Eingang des Antrages zur Verfügung stellen. Nähere Angaben zu den Fristen finden Sie unter Art. 12 DSGVO.

Es gibt Ausnahmen, wann Sie keine Auskunft erteilen müssen. Siehe hierzu:

ARBEITSHILFE > FAQ zum Auskunftsrecht >

... und vergessen Sie die Identitätsprüfung nicht, bevor Sie Informationen oder Daten herausgeben.

Die betroffene Person möchte eine Kopie der Daten erhalten.

Möchte die betroffene Person eine Kopie ihrer personenbezogenen Daten erhalten, ist diese grundsätzlich zu erteilen. In welchem Umfang dies zu geschehen hat, ist nicht immer leicht zu beantworten und führt mitunter zu Streitigkeiten. Hierbei sind einige Umstände zu beachten, die wir Ihnen in der Arbeitshilfe zusammengestellt haben.

Ausnahmen

Wenn Sie Daten herausgeben, beachten Sie dabei, dass es wichtige Ausnahmen gibt, wonach Sie eine Auskunft nicht erteilen dürfen. Insbesondere dürfen Sie nicht die Daten dritter Personen herausgeben, welche sich in Schriftstücken befinden. Siehe hierzu

ARBEITSHILFE > FAQ zum Auskunftsrecht >

Das Recht auf Löschung nach Art. 17 DSGVO

„Bitte löschen Sie alle meine Daten“

Das Recht auf Löschung ist insofern erwähnenswert, als es häufig von einer betroffenen Person „beantragt“ wird, die Daten oftmals aber gar nicht gelöscht werden können. Zum einen haben Sie ohnehin die Pflicht zum Löschen von nicht mehr benötigten Daten. Zum anderen gibt es einige Ausnahmen, wonach Sie die Daten (noch) nicht löschen dürfen.

Unter anderem dürfen Sie die personenbezogenen Daten (noch) nicht löschen, wenn

  • Sie die Daten noch für steuerrechtliche Unterlagen benötigen,
  • Sie andere gesetzliche Aufbewahrungsfristen einhalten müssen oder
  • Sie die Daten noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.

Natürlich sind andere Löschansprüche unverzüglich umzusetzen, sofern es machbar ist. Das Löschen eines Fotos, eines Nutzungkontos, aus Mailing-Listen oder von Inhaltsdaten sind nur einige Beispiele.

Welche Arbeitshilfen gibt es?

FAQ – Häufige Fragen
zum Recht auf Auskunft
08 Gemeinsames Handeln
10 Datenpanne