Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) mehrt sich die Anzahl der Anfragen von Betroffenen. Der Umgang mit Betroffenenanfragen bzw. die Erfüllung von Betroffenenrechten stellt für viele Unternehmen eine nicht unerhebliche Herausforderung dar. Unsere praktische Anleitung hilft Ihnen in drei konkreten Schritten, datenschutzkonform auf Anfragen von Betroffenen zu reagieren.
Vorab: Wie wichtig ist die Reaktion auf Anfragen betroffener Personen?
Ein Kunde, der einen Datenschutzverstoß wittert, sich einen Überblick über die zu seiner Person gespeicherten Daten verschaffen möchte oder einfach nur nach einem Mittel sucht, einen Rabatt zu erzwingen, kann durch die Ausübung eines seiner aktiven Datenschutzrechte (Art. 15 ff. DSGVO) ein unvorbereitetes Unternehmen in Aufruhr versetzen: Schnell wird die Drohung, sich bei nicht fristgerechter bzw. nicht zufriedenstellender Rückmeldung an die Datenschutzbehörde zu wenden, zur echten Gefahr. Denn die Aufsichtsbehörde muss tätig werden, wenn ein Betroffener sich an sie wendet (Art. 57 Abs. 1 lit. f DSGVO).
Bei ernstzunehmenden Anliegen ist es dann nur noch eine Frage der Zeit, bis das Schreiben der Behörde eintrifft, in dem die anstehende Prüfung der Verarbeitungstätigkeiten bzw. der Datenschutzdokumente angekündigt wird. Wer dann immer noch unvorbereitet ist, riskiert hohe Bußgelder (Art. 83 DSGVO) und ggfs. eine negative Berichterstattung. Beides kann, je nach Branche und Größe des Unternehmens, bestandsgefährdend sein.
Damit es gar nicht erst zu einer Behördenprüfung kommt, empfiehlt es sich, mithilfe eines zuverlässigen Datenschutzmanagementsystems auf datenschutzrelevante Anfragen von Betroffenen im Vorhinein gut vorbereitet zu sein, um im Fall der Fälle schnell und professionell reagieren zu können. Insbesondere die folgenden drei Punkte sollten dabei beachtet werden:
Keine vorschnellen Reaktionen und Auskünfte – professionelle Prüfung ist gefragt
Anfragen datenschutzrechtlicher Natur sollten bestenfalls ausschließlich über eine zentrale Datenschutz-E-Mailadresse (z. B.: datenschutz@meinefirma.de) eingehen. Es empfiehlt sich, solch eine Adresse in den Datenschutzhinweisen auf der Website und an sämtlichen anderen Orten, an denen das Unternehmen seinen Informationspflichten (Art. 13, 14 DSGVO) nachkommt, zu veröffentlichen. So, wie die Datenschutzadresse „irrtümlicherweise“ vom Kunden vielfach für Beschwerden, Produktbestellungen und sogar Arbeitsplatzbewerbungen „missbraucht“ wird, gehen umgekehrt auch zahlreiche echte Datenschutzanfragen direkt beim Kundenservice ein. Dieser sollte zum Umgang mit eingehenden Anfragen entsprechend sensibilisiert sein, z. B. über eine Vor-Ort- bzw. Online-Datenschutzschulung und / oder einen Workshop zur datenschutzkonformen Kundenbetreuung.
Es sollten auf keinen Fall „mal eben“ angefragte Auskünfte beantwortet und/ oder Daten gelöscht werden, um sich der Sache zu entledigen. Eingegangene Betroffenenanfragen sollten vielmehr zunächst vom Datenschutzbeauftragten bzw. Datenschutzkoordinator geprüft werden. Folgende Punkte gilt es insbesondere zu prüfen:
- Welcher rechtliche Anspruch (Art. 15 ff. DSGVO) wurde konkret geltend gemacht? Werden mehrere Ansprüche zugleich geltend gemacht?
- Hat sich der Betroffene an das richtige Unternehmen gewandt? Ggf. Weiterleitung der Anfrage an den Verantwortlichen.
- Besteht hinsichtlich des geltend gemachten Rechts bereits ein definierter Prozess (Richtlinie) im Unternehmen, der nun befolgt werden kann?
- Hat sich der Betroffene ausreichend identifiziert oder bedarf es einer (schonend auszugestaltenden) Identitätsüberprüfung? Abgleich der vom Betroffenen in seinem Schreiben gemachten Angaben mit denen, die in den Systemen zu finden sind.
- Werden / wurden überhaupt Daten zum Betroffenen verarbeitet? – Rücksprache mit dem Kundenservice und / oder anderen Bereichen, in denen personenbezogene Daten verarbeitet werden. Wenn trotz erfolgter interner Rücksprache Unklarheit besteht: Rückfrage an den Betroffenen, welche Daten gemeint sind.
- Ist der Anspruch berechtigt oder mangelt es ggf. an einer Begründung (insb. im Falle eines Berichtigungsanspruchs)?
- Sind alle Wünsche der Person vom geltend gemachten Betroffenenrecht umfasst?
- Würde die Beantwortung der Anfrage die Rechte anderer Betroffenen oder des Unternehmens (z. B. Geschäftsgeheimnisse) beeinträchtigen? Falls ja: Kann / muss dem Anliegen des Betroffenen trotzdem nachgekommen werden?
- Stehen dem Anliegen des Betroffenen sonstige rechtliche Anforderungen (z. B. an die Speicherdauer der Daten) entgegen?
- In welcher rechtlichen Frist muss das Anliegen des Betroffenen erfüllt werden?
- Bestehen bereits Vorlagen (Dokumente), die für die Beantwortung des Anliegens genutzt werden können?
Keine unstrukturierte Bearbeitung – professionelle Koordination ist gefragt
Ist die Berechtigung des oder der geltend gemachten Rechte(s) einmal geklärt, geht es darum, eine zügige und rechtlich einwandfreie Beantwortung der Betroffenenanfrage sicherzustellen. Hierzu ist regelmäßig die Einbindung verschiedener Unternehmensbereiche erforderlich.
Hat der Betroffene z.B. einen berechtigten Anspruch auf Löschung bzw. Sperrung (mancher) seiner Daten, bedarf es u.U. der Einbindung der IT, um alle bzw. ausgewählte Datensätze zu löschen bzw. zu sperren. Macht der Betroffene von seinem Auskunftsrecht Gebrauch, sollte der Datenschutzbeauftragte bzw. Datenschutzkoordinator Rücksprache mit allen Abteilungen halten, in denen Daten zum Betroffenen verarbeitet werden (könnten). Folgende Vorkehrungen sollten für eine professionelle Koordination u. a. getroffen werden:
- Auskunftsrecht, Löschungsrecht, Einschränkungsrecht, Berichtigungsrecht (Art. 16 bis 18 DSGVO): Leicht verständliche Hinweise (Anleitung in Schritten) für den Datenschutzkoordinator bzw. die einzelnen Abteilungen dazu, wie ein berechtigtes Anliegen des Betroffenen erfüllt werden muss.
- Auskunftsrecht (Art. 15 DSGVO): Vorlage für das Beauskunften von Daten, Datenempfängern, Löschfristen, Verarbeitungszwecken etc.
- Datenübertragbarkeitsrecht (Art. 20 DSGVO): Umsetzung technischer und organisatorischer Instrumente, die einen sicheren Datentransfer ermöglichen.
- Einwirkungsrecht (Art. 22 Abs. 3 DSGVO): Prozess für die menschliche Überprüfung einer automatisierten Einzelentscheidung und des Betroffenenstandpunkts.
- Mitteilungspflicht bei Berichtigung oder Löschung (Art. 19 DSGVO): Vorlage für die Information von Geschäftspartnern, Auftragnehmern und anderen, denen in der Vergangenheit personenbezogene Daten zum Betroffenen mitgeteilt wurden. Ggf. Vorlage für die Information des Betroffenen über die einzelnen Empfänger.
- Widerspruchsrecht und Widerrufsrecht (Art. 21, Art. 7 Abs. 3 DSGVO): Führen einer Widerrufs- bzw. Widerspruchsliste in den Bereichen Marketing und ggf. Analytics, um zu verhindern, dass eine weitere Ansprache bzw. Analyse des Kunden erfolgt. Sicherstellen, dass sämtliche Widersprüche bzw. Widerrufe an die zuständige Stelle im Unternehmen weitergeleitet werden und nichts „unter den Tisch gekehrt“ wird.
Keine unkontrollierte Datenherausgabe – professionelle Kommunikation ist gefragt
Die Bearbeitung mancher Betroffenenrechte erfordert die Datenherausgabe an den Betroffenen und / oder an andere Stellen. Eine Herausgabe personenbezogener Daten ist stets „heiß“ und sollte niemals unbedacht erfolgen – auch dann nicht, wenn der erste und zweite Schritt dieser Anleitung erfolgreich durchgeführt wurden, also das Anliegen des Betroffenen juristisch geprüft und erforderliche Maßnahmen, wie z.B. Löschung, Berichtigung oder das Ausfüllen eines Auskunftsblatts erfolgten.
Jetzt gilt es sicherzustellen, dass die ggf. erforderliche Information des Betroffenen und / oder anderer Stellen in sicherer und nachweisbarer Weise (Art. 32 DSGVO, Art. 5 Abs. 2 DSGVO) erfolgt und dass auch nur genau die Daten kommuniziert werden, die kommuniziert werden dürfen. Folgende Punkte sind hierbei u. a. zu beachten:
- Auskunftsrecht (1): Information per Telefon nur bei ausdrücklichem Wunsch des Betroffenen. Das Unternehmen sollte im Zweifel nachweisen können, dass es der Auskunft rechtskonform nachgekommen ist. Bei einer telefonischen Auskunft wäre zudem regelmäßig nicht sichergestellt, dass es sich beim Gesprächspartner auch wirklich um den Betroffenen handelt.
- Auskunftsrecht (2): Einsatz einer sicheren Verschlüsselungstechnologie, wenn die Daten per E-Mail an den Betroffenen gesendet werden sollen. Sofern Containerpasswörter verwendet werden, sollte dem Betroffenen das Passwort telefonisch bzw. auf einem getrennten Kanal durchgegeben werden.
Tipp: Lesen Sie dazu unsere Anleitung für den Umgang mit Auskunftsersuchen nach DSGVO.
- Löschungsrecht, Berichtigungsrecht, Einschränkungsrecht: Bestätigung der erfolgten Löschung, Berichtigung bzw. Einschränkung. Die Löschbestätigung sollte anschließend ebenfalls gelöscht werden. Sofern gar keine Daten zum Betroffenen vorlagen (vgl. Schritt 2): Versenden einer sogenannten „Negativauskunft“ – also die Information darüber, dass keine Daten gespeichert sind.
Fazit: Der gute Prozess macht bei den Betroffenenrechten den Unterschied.
Detaillierte Prozessbeschreibungen schaden oftmals mehr, als dass sie zu irgendetwas nützen. Bei den Betroffenenrechten ist das ausnahmsweise anders: Wer hier mittels Schulungen, Richtlinien, Powerpoint-Präsentationen und Vorlagen seine Belegschaft gut vorbereitet und Zuständigkeiten in Konzepten klar definiert, minimiert das Risiko einer späteren Eskalation in der Kommunikation mit dem Betroffenen (siehe dazu unsere kostenlose Vorlage für eine Richtlinie zum Umgang mit Betroffenenanfragen).
Insbesondere in Unternehmen, in denen Datenschutzanfragen zur Tagesordnung gehören, sollten diese möglichst eigenständig von den internen Datenschutzkoordinatoren bearbeitet werden können, um ein schnelles Reagieren sicherzustellen. Der betriebliche bzw. externe Datenschutzbeauftragte sollte jedoch bei Unklarheiten stets hinzugezogen werden.