Suchen

So vermeiden Unternehmen Bußgelder Der richtige Umgang mit Betroffenenanfragen

Autor / Redakteur: Felix Bonstein / Peter Schmitz

Nachdem die Berliner Datenschutzbeauftragte im August 2019 bereits angekündigt hatte, hohe Bußgelder gegen das Unternehmen Delivery Hero verhängen zu wollen, wurden solche nun in Höhe von knapp über 195.000 Euro erlassen. Einen wesentlichen Grund sah die Behörde im nachlässigen Umgang mit Betroffenenanfragen, mit dem das Unternehmen in einigen Fällen rechtswidrig gehandelt habe.

Firma zum Thema

Die wichtigsten Schritte beim Umgang mit Betroffenenanfragen besteht im Erkennen solcher Anfragen und in der korrekten Antwort darauf.
Die wichtigsten Schritte beim Umgang mit Betroffenenanfragen besteht im Erkennen solcher Anfragen und in der korrekten Antwort darauf.
(Bild: gemeinfrei / Pixabay )

Die Berliner Datenschutzbeauftragte verwies darauf, dass durch den richtigen Umgang mit solchen Anfragen nicht nur Bußgelder vermieden, sondern auch die Kundenzufriedenheit und das Vertrauen der Kunden gestärkt würden. Daneben kann mit dem routinierten und ordnungsgemäßen Umgang mit Betroffenenanfragen auch der gesamte Geschäftsablauf optimiert, beschleunigt und effizienter gestaltet werden. Aus diesem Grund sollte die Beantwortung von Betroffenenanfragen fester Bestandteil eines guten Datenschutz-Managementsystems im Unternehmen sein. Im Folgenden zeigen wir Ihnen, worauf sie dabei achten sollten.

Erster Schritt: Liegt eine Betroffenenanfrage vor?

Die erste Herausforderung besteht darin, eine Kundennachricht als Betroffenenanfrage nach der DSGVO zu erkennen. Fallen dabei Schlüsselbegriffe wie „Datenschutz“, „Information“, „Auskunft“, „Daten“, „Löschung“, „Spam“, „ohne meine Erlaubnis (…) Daten“, „widerspreche ich“ o.Ä., ist in der Regel von einer Betroffenenanfrage auszugehen. Erst recht sollten Unternehmen hellhörig werden, wenn nach dem Datenschutzbeauftragten gefragt oder die Datenschutzbehörden erwähnt werden.

Diese Formulierungen können auf die verschiedenen Antragstypen hinweisen, die den jeweiligen Betroffenenrechten der DSGVO zuzuordnen sind:

  • Das Recht auf Auskunft (Auskunftsrecht)
  • Das Recht auf Datenlöschung
  • Das Recht auf Einschränkung der Verarbeitung
  • Das Recht auf Datenberichtigung
  • Recht auf Datenübertragbarkeit
  • „Widerruf“ einer zuvor erteilten Einwilligung
  • „Widerspruch“ gegen eine konkrete Datenverarbeitung

Zweiter Schritt: Die richtige Antwort

Sodann sollten Unternehmen in einem zweiten Schritt auf die Betroffenenanfrage richtig reagieren. Eine Besonderheit liegt hier darin begründet, dass Anfragen zwar auf allen Kanälen (mündlich, elektronisch, telefonisch oder schriftlich) erfolgen können, die Antwort aber bereits aus Dokumentationszwecken schriftlich oder ggf. elektronisch erfolgen sollte. Bei elektronischen Antworten sollte vorsichtig vorgegangen werden, da die Datensicherheit bei der Übertragung gewährleistet werden muss. Außerdem muss die Antwort in präziser, transparenter und verständlicher Form sowie leicht zugänglich für die Betroffenen gegeben werden. Ganz entscheidend ist die Dokumentation der gesamten Kommunikation, um die Vorgänge im Nachhinein auch belegen zu können.

Des Weiteren gibt es eine Frist zu beachten. Es ist vorgesehen, dass die Beantwortung unverzüglich, spätestens jedoch binnen eines Monats ab Eingang der Betroffenenanfrage erfolgen muss. An dieser Stelle setzen in der Praxis viele Bußgelder an – so auch im Fall Delivery Hero: Unternehmen lassen Betroffenenanfragen schlicht zu lange unbeantwortet.

Information als Schlüssel

Kann einer Anfrage aus bestimmten Gründen nicht nachgekommen werden, ist die betroffene Person darüber zu informieren. Das ist z.B. der Fall, wenn die Person die Löschung ihrer Daten verlangt, dem jedoch gesetzliche Aufbewahrungspflichten entgegenstehen. Haben Unternehmen sich eines Auftragsverarbeiters bedient, werden Betroffenenanfragen u.U. an die Auftragsverarbeiter gerichtet. Diese müssen die Anfrage allerdings nicht beantworten, sondern können sie an den Verantwortlichen weiterleiten. Im Auftragsverarbeitungsvertrag (AVV) sollte geregelt werden, wie Betroffene in dieser konkreten Situation leicht verständlich darüber informiert werden, an wen ihre Anfragen zu richten sind und wer sie beantworten muss.

Koordination und fester Ablauf

Geht eine Anfrage ein, sollte sie zunächst an den Datenschutzbeauftragten des Unternehmens weitergeleitet werden. Um die Bearbeitungsfrist einzuhalten, empfiehlt es sich, im System den Eingang zu notieren und eine Frist zur Wiedervorlage zu speichern. Der betroffenen Person sollte sofort eine Eingangsbestätigung gesendet werden. Das System sollte umfassend nach allen Daten der betroffenen Person durchsucht werden, damit der Datenschutzkoordinator die Person anhand der Daten identifizieren kann. Unternehmen, die gemäß Art. 30 DSGVO bereits ein umfassendes Verzeichnis der Verarbeitungstätigkeiten (VVT) angelegt haben, können diese Datensuche leicht durchführen.

Falls erforderlich, kann der Datenschutzbeauftragte jederzeit kontaktiert werden. Sodann ist entscheidend, auf den genauen Inhalt der Betroffenenanfrage zu achten. Wird etwa eine Löschungsanfrage gestellt, ist der Datenbestand im Umfang der Anfrage zu minimieren. Dementsprechend sollte die Antwort des Datenschutzkoordinators an den Betroffenen ausfallen. Unerlässlich ist eine genaue Dokumentation des gesamten Vorgangs durch den Datenschutzkoordinator.

Übersicht: Die einzelnen Betroffenenrechte und die richtige Reaktion

Macht eine Person von ihrem Recht auf Auskunft Gebrauch, so ist genau zu berücksichtigen, über welche Vorgänge Auskunft verlangt wird. Je nach Anfrage sind der betroffenen Person die relevanten gespeicherten Daten mitzuteilen und die entsprechenden Informationen zur Verfügung zu stellen. Konkret hat die Person u.a. ein Auskunftsrecht über die Verarbeitungszwecke der personenbezogenen Daten (z.B. zum Zweck des E-Mail-Marketings), die Kategorien von personenbezogenen Daten, die verarbeitet werden (z.B. Kontaktdaten), die Empfänger der Daten (insbesondere in Staaten außerhalb der EU) und die Speicherdauer der personenbezogenen Daten.

Macht ein Betroffener von seinem Recht auf Datenberichtigung Gebrauch, so sind unrichtige Daten zu korrigieren. Das kann teilweise eine Löschung oder Ergänzung, aber auch eine Änderung des Datenbestandes implizieren.

Verlangt die betroffene Person die Einschränkung der Verarbeitung, so ist diese Verarbeitung im verlangten Umfang einzustellen.

Grundsätzlich verlangt das Recht auf Löschung die vollständige Löschung der Daten. Hierbei darf aber nicht außer Acht gelassen werden, dass der Zweck der Löschung in der Regel die Aufhebung der Identifizierbarkeit der Person ist. Kann dieses Ziel auch durch Anonymisierung erreicht werden, so genügt u.U. auch eine solche.

Von der DSGVO neu geschaffen wurde das Recht auf Datenübertragbarkeit. Dabei muss die Person von der verantwortlichen Stelle in einem strukturierten, maschinenlesbaren und gängigen Format die Daten erhalten, wenn die Verarbeitung in einem automatisierten Verfahren und auf Grundlage einer Einwilligung stattfindet oder zur Durchführung eines Vertrags erforderlich ist. Eine Besonderheit besteht dann, wenn der Betroffene verlangt, dass Daten direkt zu einem anderen Unternehmen übertragen werden. Unternehmen haben dieser Aufforderung grundsätzlich nachzukommen. Bei Zweifeln über die Umsetzung dieses Rechts ist immer sein Zweck vor Augen zu führen: Das Recht auf Datenübertragbarkeit soll Kunden den Wechsel von einem Anbieter zu einem Wettbewerber (etwa bei Anbietern sozialer Netzwerke) so einfach wie möglich machen.

„Widerspricht“ der Betroffene der Datenverarbeitung oder „widerruft“ er eine zuvor erteilte Einwilligung in eine bestimmte Verarbeitung seiner Daten, geht damit zumeist einher, dass die Datenverarbeitung in Zukunft unrechtmäßig wäre und daher eingestellt werden muss. Diese Möglichkeit hat der Betroffene, wenn die Datenverarbeitung auf der Grundlage einer Einwilligung (ein „Widerspruch“ wäre dann als Rücknahme bzw. als „Widerruf“ der Einwilligung zu deuten), aufgrund berechtigter Interessen oder aufgrund der Wahrnehmung einer öffentlichen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem verantwortlichen Unternehmen übertragen ist, durchgeführt wurde.

Fazit

Felix Bonstein ist Volljurist und externer Datenschutzbeauftragter im Bereich Datenschutz und Informationssicherheitsmanagement.
Felix Bonstein ist Volljurist und externer Datenschutzbeauftragter im Bereich Datenschutz und Informationssicherheitsmanagement.
(Bild: Robert Recker)

Der wichtigste Schritt beim Umgang mit Betroffenenanfragen besteht im Erkennen solcher Betroffenenanfragen. Sind diese erkannt, so erleichtert ein schon im Vorfeld installiertes Antwort-System die routinierte und ordnungsgemäße Bearbeitung von Betroffenenanfragen. Ein Verzeichnis der Verarbeitungstätigkeiten erleichtert dabei den systematischen Abgleich mit dem vorhandenen Datenbestand und kann erheblich dazu beitragen, Betroffenenanfragen schnell und lückenlos zu beantworten.

Über den Autor: Felix Bonstein begleitet seine Mandanten (insbesondere aus dem IT- und dem FinTech-Bereich) als Volljurist und externer Datenschutzbeauftragter im Bereich Datenschutz und Informationssicherheitsmanagement. Als Consultant der ISiCO Datenschutz GmbH berät er im Rahmen der Entwicklung von DSGVO-konformen Datenschutzkonzepten, der datenschutzrechtlichen Vertragsgestaltung und der Planung von Datenflüssen insbesondere bei internationalen Cloud Computing- und Data Warehousing-Geschäftsmodellen.

(ID:46299253)