Wichtige Hinweise der Aufsichtsbehörden

Was bei Betroffenenrechten nach DSGVO zu beachten ist

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Betroffenenrechte sind das Herzstück der DSGVO.
Betroffenenrechte sind das Herzstück der DSGVO. (© mixmagic - stock.adobe.com)

Die Missachtung der Betroffenenrechte hat bei einem Lieferdienst in Berlin zu einem empfindlichen Bußgeld nach DSGVO geführt. Betroffenenrechte müssen noch ernster genommen werden, doch auch diese Rechte haben ihre Grenzen. Aufsichtsbehörden haben Hinweise gegeben, wann zum Beispiel ein Antrag auf Auskunft als offenkundig unbegründet oder exzessiv eingestuft werden kann.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Bußgelder in Höhe von fast 200.000 Euro gegen einen Lieferdienst erlassen. Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte der Lieferdienst in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert. In weiteren fünf Fällen erteilte das Unternehmen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Datenschützer verhängen Millionen-Bußgeld

Für die Deutsche Wohnen könnte es teuer werden

Datenschützer verhängen Millionen-Bußgeld

07.11.19 - Der Immobilienkonzern Deutsche Wohnen muss mit einer empfindlichen Strafe rechnen. Das Unternehmen hatte Daten auf einem Archivsystem gespeichert, auf dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. An diesem Zustand hatte sich auch nach Aufforderung durch die Behörde nichts geändert. lesen

Wie die Berliner Datenschutzbeauftragte erklärte, bilden die Betroffenenrechte der Datenschutz-Grundverordnung (DSGVO) ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Unternehmen erhalten zahlreiche Anträge

Laut der Capgemini-Studie „Championing Data Protection and Privacy - a Source of Competitive Advantage in the Digital Century“ erhielten 36 Prozent der befragten deutschen Unternehmen mehr als 1.000 Anfragen von betroffenen Personen, deren Daten gesammelt, gespeichert oder verarbeitet werden. Die befragten Führungskräfte nannten als Hindernisse für eine vollständige Erfüllung der DSGVO vor allem die Anpassung bestehender IT-Systeme (38 Prozent), die Komplexität der Regulierungsanforderungen (36 Prozent) und prohibitiv hohe Kosten, um den Regulierungen zu entsprechen (33 Prozent). Zudem planen 40 Prozent der Befragten 2020 mehr als eine Million US-Dollar für Anwaltskosten auszugeben.

Keine Frage, die Bearbeitung von Anfragen zur Ausübung der Betroffenenrechte bedeutet einen erhöhten Aufwand, der sich allerdings dadurch reduzieren lässt, wenn man interne Prozesse einführt, wie auf Anfragen zur Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Auskunft über die zur jeweiligen Person verarbeiteten personenbezogenen Daten reagiert werden muss.

Wichtig ist es dabei auch zu wissen, wann ein solcher Antrag begründet abgelehnt werden kann und wer überhaupt einen solchen Antrag stellen darf. Hierzu haben die Aufsichtsbehörden wichtige Hinweise gegeben.

Fünf Tipps gegen DSGVO-Bußgelder

Vermeidung von DSGVO-Verstößen

Fünf Tipps gegen DSGVO-Bußgelder

09.10.19 - Jede Woche ergehen rund 450 Millionen US-Dollar Strafe wegen Verstoß gegen die europäische DSGVO. Die britische Datenschutzbehörde ICO griff in diesem Jahr bereits hart durch. In Deutschland blieben Millionenbußgelder der Datenschutz­behörden der Länder bislang aus. Sophos gibt fünf Tipps zur Vermeidung von DSGVO-Verstößen. lesen

Nicht jeder Antrag ist wirklich begründet

Ein Unternehmen (die verantwortliche Stelle) darf zum Beispiel ein Auskunftsverlangen ablehnen, wenn der Antrag „offensichtlich unbegründet oder exzessiv“ ist, wie die Datenschutz-Grundverordnung (DSGVO) dies nennt.

In diesen Fällen muss die verantwortliche Stelle die Gründe für die Ablehnung mitteilen. Zudem sollte mitgeteilt werden, dass der Antragsteller das Recht hat, sich bei der zuständigen Aufsichtsbehörde zu beschweren oder einen gerichtlichen Rechtsbehelf einzulegen.

Dennoch muss nicht jeder Anfrage bezüglich der Betroffenenrechte automatisch entsprochen werden. Was aber bedeutet es, dass ein Antrag zum Beispiel „offenkundig unbegründet“ ist? Wann kann ein Unternehmen einen Antrag auf Auskunft, Löschung oder Berichtigung mit dieser Begründung ablehnen?

Als „offenkundig unbegründet“ ist ein Antrag anzusehen, wenn für jedermann erkennbar die Voraussetzungen des jeweiligen Betroffenenrechtes nicht erfüllt sind, erklärt eine Aufsichtsbehörde. Als Beispiele werden genannt:

  • Der Antragsteller ist falsch, die Anfrage gilt also nicht der eigenen Person.
  • Dem Antragsteller wurde bereits mitgeteilt, dass keine Daten von ihm verarbeitet werden, dann ist zum Beispiel ein Antrag auf Löschung offenkundig unbegründet.
  • Es werden keine Angaben gemacht, was denn an den Daten der Person korrigiert werden soll.

Wie bereits erwähnt, muss die Ablehnung des Antrags allerdings begründet werden.

Nicht jeder Antrag ist rechtmäßig

Auch Betroffenenrechte können missbraucht werden. Ein Antrag kann als „exzessiv“ eingestuft und abgelehnt werden, wenn bei dem Antrag nicht ansatzweise erkennbar ist, was die vom Verantwortlichen geforderte Leistung zur Verwirklichung des Datenschutzgrundrechts beitragen soll, so die Aufsichtsbehörde. Als Beispiel wird genannt:

Häufig wiederholte Auskunftsanträge können als exzessiv erscheinen, wenn der beim Verantwortlichen vorhandene Datenbestand ersichtlich nicht Gegenstand einer anderen Verarbeitung als einer Speicherung ist und die betroffene Person dies – etwa durch eine zurückliegende Auskunft – auch weiß. Gleiches gilt, wenn im Zusammenhang mit einem wiederholten Auskunftsantrag erkennbar wird, dass es der betroffenen Person lediglich darum geht, Ressourcen des Verantwortlichen zu verbrauchen.

Was eine Datenschutzverletzung wirklich kostet

Sanktionen nach DSGVO

Was eine Datenschutzverletzung wirklich kostet

27.09.19 - British Airways, Google und Marriott wurden hohe Geldbußen nach DSGVO angekündigt. Doch eine Datenpanne hat nicht nur ein Bußgeld als mögliche Folge. Die verantwortliche Stelle kann auch in die Haftung kommen, auch für Vergehen der Mitarbeiterinnen und Mitarbeiter. Datenschutzbeauftragte sollten alle möglichen Folgen von Datenpannen als Argumente für mehr Datenschutz nutzen. lesen

Nicht jeder darf den Antrag stellen

Ein Unternehmen muss zudem darauf achten, dass zum Beispiel die Erteilung einer Auskunft nicht dazu führt, dass die personenbezogenen Daten einer Person an einen Dritten gelangen, die Daten also in die falschen Hände geraten.

Die Datenschutz-Grundverordnung legt fest, dass der Verantwortliche zusätzliche Informationen anfordern kann, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Das klingt nach zusätzlichem Aufwand, allerdings bringt es wenig, alles zu tun, um die Betroffenenrechte zu erfüllen, dabei aber die Daten eines Betroffenen an eine falsche Person zu senden.

Wichtig ist es hierbei, das richtige Verfahren zu wählen, um die anfragende Person zu identifizieren. Verantwortliche müssen selbst entscheiden, welche Identifizierungsmethode sie für Auskunftsersuchen von betroffenen Personen wählen, unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen, wie der Landesbeauftragte für den Datenschutz Baden-Württemberg erklärte.

Auch hierzu ein Beispiel: Will man die Identität der anfragenden Person überprüfen, indem man zusätzliche, persönliche Angaben abfragt, sollte man bedenken: Jeder, der die betroffene Person (um deren Daten es geht) näher kennt, etwa Familienmitglieder, Freunde, Arbeitskollegen, wird in der Lage sein, die (meisten) Identifizierungsfragen zu beantworten. Der Landesdatenschutzbeauftragte sagt deshalb: Sollen sensible personenbezogene Daten (insbesondere besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO bzw. Finanzdaten) mitgeteilt werden, sollten Verantwortliche nicht auf diese Identifizierungsmethode zurückgreifen.

Es zeigt sich: Die Betroffenenrechte müssen ernster genommen werden, wie Bußgelder in diesem Bereich zeigen. Doch die Umsetzung erfordert die Etablierung eines guten, internen Prozesses, der auch die Möglichkeit der Ablehnung eines Antrags sowie die Prüfung der Identität des Antragstellers vorsieht. Die DSGVO verlangt keinen „blinden Gehorsam“, sondern eine gut überlegte Umsetzung.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46245998 / Compliance und Datenschutz )