:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108bcbb5b54b2aea3729797f41c64b0/0115212126.jpeg "Nachhaltige Cyber-Resilienz steht und fällt mit einer unternehmensweiten Cybersicherheitskultur der gemeinsamen Verantwortung, die den Menschen ins Zentrum stellt. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
So vermeiden Unternehmen Bußgelder Der richtige Umgang mit Betroffenenanfragen
Nachdem die Berliner Datenschutzbeauftragte im August 2019 bereits angekündigt hatte, hohe Bußgelder gegen das Unternehmen Delivery Hero verhängen zu wollen, wurden solche nun in Höhe von knapp über 195.000 Euro erlassen. Einen wesentlichen Grund sah die Behörde im nachlässigen Umgang mit Betroffenenanfragen, mit dem das Unternehmen in einigen Fällen rechtswidrig gehandelt habe.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Berliner Datenschutzbeauftragte verwies darauf, dass durch den richtigen Umgang mit solchen Anfragen nicht nur Bußgelder vermieden, sondern auch die Kundenzufriedenheit und das Vertrauen der Kunden gestärkt würden. Daneben kann mit dem routinierten und ordnungsgemäßen Umgang mit Betroffenenanfragen auch der gesamte Geschäftsablauf optimiert, beschleunigt und effizienter gestaltet werden. Aus diesem Grund sollte die Beantwortung von Betroffenenanfragen fester Bestandteil eines guten Datenschutz-Managementsystems im Unternehmen sein. Im Folgenden zeigen wir Ihnen, worauf sie dabei achten sollten.
:quality(80)/images.vogel.de/vogelonline/bdb/1644200/1644205/original.jpg "Betroffenenrechte sind das Herzstück der DSGVO. (mixmagic - stock.adobe.com)")
Wichtige Hinweise der Aufsichtsbehörden
Was bei Betroffenenrechten nach DSGVO zu beachten ist
Erster Schritt: Liegt eine Betroffenenanfrage vor?
Die erste Herausforderung besteht darin, eine Kundennachricht als Betroffenenanfrage nach der DSGVO zu erkennen. Fallen dabei Schlüsselbegriffe wie „Datenschutz“, „Information“, „Auskunft“, „Daten“, „Löschung“, „Spam“, „ohne meine Erlaubnis (…) Daten“, „widerspreche ich“ o.Ä., ist in der Regel von einer Betroffenenanfrage auszugehen. Erst recht sollten Unternehmen hellhörig werden, wenn nach dem Datenschutzbeauftragten gefragt oder die Datenschutzbehörden erwähnt werden.
Diese Formulierungen können auf die verschiedenen Antragstypen hinweisen, die den jeweiligen Betroffenenrechten der DSGVO zuzuordnen sind:
- Das Recht auf Auskunft (Auskunftsrecht)
- Das Recht auf Datenlöschung
- Das Recht auf Einschränkung der Verarbeitung
- Das Recht auf Datenberichtigung
- Recht auf Datenübertragbarkeit
- „Widerruf“ einer zuvor erteilten Einwilligung
- „Widerspruch“ gegen eine konkrete Datenverarbeitung
Zweiter Schritt: Die richtige Antwort
Sodann sollten Unternehmen in einem zweiten Schritt auf die Betroffenenanfrage richtig reagieren. Eine Besonderheit liegt hier darin begründet, dass Anfragen zwar auf allen Kanälen (mündlich, elektronisch, telefonisch oder schriftlich) erfolgen können, die Antwort aber bereits aus Dokumentationszwecken schriftlich oder ggf. elektronisch erfolgen sollte. Bei elektronischen Antworten sollte vorsichtig vorgegangen werden, da die Datensicherheit bei der Übertragung gewährleistet werden muss. Außerdem muss die Antwort in präziser, transparenter und verständlicher Form sowie leicht zugänglich für die Betroffenen gegeben werden. Ganz entscheidend ist die Dokumentation der gesamten Kommunikation, um die Vorgänge im Nachhinein auch belegen zu können.
Des Weiteren gibt es eine Frist zu beachten. Es ist vorgesehen, dass die Beantwortung unverzüglich, spätestens jedoch binnen eines Monats ab Eingang der Betroffenenanfrage erfolgen muss. An dieser Stelle setzen in der Praxis viele Bußgelder an – so auch im Fall Delivery Hero: Unternehmen lassen Betroffenenanfragen schlicht zu lange unbeantwortet.
Information als Schlüssel
Kann einer Anfrage aus bestimmten Gründen nicht nachgekommen werden, ist die betroffene Person darüber zu informieren. Das ist z.B. der Fall, wenn die Person die Löschung ihrer Daten verlangt, dem jedoch gesetzliche Aufbewahrungspflichten entgegenstehen. Haben Unternehmen sich eines Auftragsverarbeiters bedient, werden Betroffenenanfragen u.U. an die Auftragsverarbeiter gerichtet. Diese müssen die Anfrage allerdings nicht beantworten, sondern können sie an den Verantwortlichen weiterleiten. Im Auftragsverarbeitungsvertrag (AVV) sollte geregelt werden, wie Betroffene in dieser konkreten Situation leicht verständlich darüber informiert werden, an wen ihre Anfragen zu richten sind und wer sie beantworten muss.
Koordination und fester Ablauf
Geht eine Anfrage ein, sollte sie zunächst an den Datenschutzbeauftragten des Unternehmens weitergeleitet werden. Um die Bearbeitungsfrist einzuhalten, empfiehlt es sich, im System den Eingang zu notieren und eine Frist zur Wiedervorlage zu speichern. Der betroffenen Person sollte sofort eine Eingangsbestätigung gesendet werden. Das System sollte umfassend nach allen Daten der betroffenen Person durchsucht werden, damit der Datenschutzkoordinator die Person anhand der Daten identifizieren kann. Unternehmen, die gemäß Art. 30 DSGVO bereits ein umfassendes Verzeichnis der Verarbeitungstätigkeiten (VVT) angelegt haben, können diese Datensuche leicht durchführen.
Falls erforderlich, kann der Datenschutzbeauftragte jederzeit kontaktiert werden. Sodann ist entscheidend, auf den genauen Inhalt der Betroffenenanfrage zu achten. Wird etwa eine Löschungsanfrage gestellt, ist der Datenbestand im Umfang der Anfrage zu minimieren. Dementsprechend sollte die Antwort des Datenschutzkoordinators an den Betroffenen ausfallen. Unerlässlich ist eine genaue Dokumentation des gesamten Vorgangs durch den Datenschutzkoordinator.
Übersicht: Die einzelnen Betroffenenrechte und die richtige Reaktion
Macht eine Person von ihrem Recht auf Auskunft Gebrauch, so ist genau zu berücksichtigen, über welche Vorgänge Auskunft verlangt wird. Je nach Anfrage sind der betroffenen Person die relevanten gespeicherten Daten mitzuteilen und die entsprechenden Informationen zur Verfügung zu stellen. Konkret hat die Person u.a. ein Auskunftsrecht über die Verarbeitungszwecke der personenbezogenen Daten (z.B. zum Zweck des E-Mail-Marketings), die Kategorien von personenbezogenen Daten, die verarbeitet werden (z.B. Kontaktdaten), die Empfänger der Daten (insbesondere in Staaten außerhalb der EU) und die Speicherdauer der personenbezogenen Daten.
Macht ein Betroffener von seinem Recht auf Datenberichtigung Gebrauch, so sind unrichtige Daten zu korrigieren. Das kann teilweise eine Löschung oder Ergänzung, aber auch eine Änderung des Datenbestandes implizieren.
Verlangt die betroffene Person die Einschränkung der Verarbeitung, so ist diese Verarbeitung im verlangten Umfang einzustellen.
Grundsätzlich verlangt das Recht auf Löschung die vollständige Löschung der Daten. Hierbei darf aber nicht außer Acht gelassen werden, dass der Zweck der Löschung in der Regel die Aufhebung der Identifizierbarkeit der Person ist. Kann dieses Ziel auch durch Anonymisierung erreicht werden, so genügt u.U. auch eine solche.
Von der DSGVO neu geschaffen wurde das Recht auf Datenübertragbarkeit. Dabei muss die Person von der verantwortlichen Stelle in einem strukturierten, maschinenlesbaren und gängigen Format die Daten erhalten, wenn die Verarbeitung in einem automatisierten Verfahren und auf Grundlage einer Einwilligung stattfindet oder zur Durchführung eines Vertrags erforderlich ist. Eine Besonderheit besteht dann, wenn der Betroffene verlangt, dass Daten direkt zu einem anderen Unternehmen übertragen werden. Unternehmen haben dieser Aufforderung grundsätzlich nachzukommen. Bei Zweifeln über die Umsetzung dieses Rechts ist immer sein Zweck vor Augen zu führen: Das Recht auf Datenübertragbarkeit soll Kunden den Wechsel von einem Anbieter zu einem Wettbewerber (etwa bei Anbietern sozialer Netzwerke) so einfach wie möglich machen.
„Widerspricht“ der Betroffene der Datenverarbeitung oder „widerruft“ er eine zuvor erteilte Einwilligung in eine bestimmte Verarbeitung seiner Daten, geht damit zumeist einher, dass die Datenverarbeitung in Zukunft unrechtmäßig wäre und daher eingestellt werden muss. Diese Möglichkeit hat der Betroffene, wenn die Datenverarbeitung auf der Grundlage einer Einwilligung (ein „Widerspruch“ wäre dann als Rücknahme bzw. als „Widerruf“ der Einwilligung zu deuten), aufgrund berechtigter Interessen oder aufgrund der Wahrnehmung einer öffentlichen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem verantwortlichen Unternehmen übertragen ist, durchgeführt wurde.
Fazit
Der wichtigste Schritt beim Umgang mit Betroffenenanfragen besteht im Erkennen solcher Betroffenenanfragen. Sind diese erkannt, so erleichtert ein schon im Vorfeld installiertes Antwort-System die routinierte und ordnungsgemäße Bearbeitung von Betroffenenanfragen. Ein Verzeichnis der Verarbeitungstätigkeiten erleichtert dabei den systematischen Abgleich mit dem vorhandenen Datenbestand und kann erheblich dazu beitragen, Betroffenenanfragen schnell und lückenlos zu beantworten.
Über den Autor: Felix Bonstein begleitet seine Mandanten (insbesondere aus dem IT- und dem FinTech-Bereich) als Volljurist und externer Datenschutzbeauftragter im Bereich Datenschutz und Informationssicherheitsmanagement. Als Consultant der ISiCO Datenschutz GmbH berät er im Rahmen der Entwicklung von DSGVO-konformen Datenschutzkonzepten, der datenschutzrechtlichen Vertragsgestaltung und der Planung von Datenflüssen insbesondere bei internationalen Cloud Computing- und Data Warehousing-Geschäftsmodellen.
(ID:46299253)
:quality(80)/p7i.vogel.de/wcms/d8/ea/d8eaea7fb08e3c0b8bceb3f58fef9c51/0111390690.jpeg "Im Bezug auf die Regulierung von ChatGPT sahen einige Kommentierende (wieder einmal) den Datenschutz als Verhinderer, diesmal für künstliche Intelligenz (KI). Dabei ist das Ziel der Datenschützer KI und Datenschutz in Einklang zu bringen. (Bild: 3dkombinat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")