Organisation für Betroffenenrechte sensibilisieren

DSGVO-konformen Umgang mit Betroffenenrechten sicherstellen

Die DSGVO ist inzwischen seit fast vier Jahren in Kraft. Das Datenschutzrecht „Made in Europe“ setzt Maßstäbe und hat enorme Veränderungen für zahlreiche Akteure gebracht. Heute soll der Fokus auf die Betroffenen gerichtet werden. Kurz gesagt wurden ihre Rechte gestärkt. Aber was heißt das konkret und wie wirkt sich dies in den Unternehmen, Behörden und Einrichtungen aus? „Ein datenverarbeitendes Unternehmen sollte wissen, wie die Betroffenenrechte aussehen und was bei Anfragen zu beachten ist, um Fehler zu vermeiden, da diese schnell auch Beschwerden bei Aufsichtsbehörden nach sich ziehen“, erklärt Datenschutzfachmann Dr. Jörn Voßbein zum Thema Betroffenenrechte. Gemäß der DSGVO haben die Betroffenen einige Rechte, die sie gegenüber den Verantwortlichen geltend machen können. Die Verantwortlichen – meist Unternehmen oder Behörden – sind dann in der Verpflichtung, sich mit diesen Anforderungen, die sich aus den Betroffenenrechten ergeben, regelkonform umzugehen. Im Folgenden sollen einige Betroffenenrechte und der richtige Umgang damit beleuchtet werden.

Nach Artikel 15 DSGVO besteht das Recht auf Auskunft für die betroffene Person. Eine Betroffenenauskunft umfasst, auf Verlangen des Betroffenen, eine Kopie aller personenbezogenen Daten, die das Unternehmen über den Betroffenen besitzt. Dazu zählt aber auch wie und wo diese Daten verarbeitet werden, woher die Daten stammen, wohin der Verantwortliche sie übermittelt und wie lange sie voraussichtlich verarbeitet werden. Dies kann bei einem (ehemaligen) Mitarbeiter schon sehr umfassend werden, wenn man z. B. nur den (internen) E-Mail-Verkehr bedenkt.

Artikel 16 DSGVO sichert dem Betroffenen das Recht auf Berichtigung zu. Konkret: Personenbezogene Daten, die fehlerhaft sind, muss der Verantwortliche korrigieren, wenn es die betroffene Person verlangt. Auch dies ist nicht immer trivial, schließlich ist die Richtigkeit nicht immer so einfach zu beurteilen wie die Hausnummer der Wohnanschrift.

Das Recht auf Löschung ist in Artikel 17 DSGVO verankert. Die betroffene Person kann verlangen, dass der Verantwortliche und die möglichen Datenempfänger ihre personenbezogenen Daten löschen. Allerdings muss dieser Anspruch ausschließlich dann umgesetzt werden, wenn die weitere Verarbeitung nicht mehr erforderlich ist.  

Das Recht auf Einschränkung gem. Artikel 18, das Recht auf Widerspruch nach Artikel 21 DSGVO, das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO), sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde nach Artikel 22 DSGVO sind weitere zentrale, aber längst nicht alle Betroffenenrechte.

Übrigens: Über diese Rechte muss die betroffene Person informiert werden, schließlich bestehen auch sog. „Informationspflichten“ gemäß Artikel 13 und 14 DSGVO.

Wie geht nun ein Unternehmen mit einer Anfrage oder einem Antrag eines Betroffenen korrekt um?

Um Datenpannen zu vermeiden, muss sichergestellt werden, dass die Anfrage tatsächlich vom Betroffenen erfolgt. Stichwort: Verifizierung. Mit einem Mechanismus innerhalb des Unternehmens muss sichergestellt werden, dass kein Dritter personenbezogene Daten erhalten kann. Dies kann durch das Vorlegen eines Personalausweises oder anderer eindeutiger Ausweisdokumente oder durch das persönliche Erscheinen erreicht werden; doch dies muss im Einzelfall beurteilt werden, schließlich darf die Hürde für die betroffene Person nicht zu hoch gelegt werden.

Daneben kommt der Dokumentation eine große Bedeutung zu. Nach Eingang einer Betroffenenanfrage sollte der Eingangszeitpunkt vermerkt werden. In einem zweiten Schritt sollte der Eingang der Anfrage bestätigt werden und dies idealerweise binnen einer Woche. Die zeitnahe Bestätigung gilt es ebenfalls zu dokumentieren. Apropos Zeit: Die DSGVO sichert dem Betroffenen eine „unverzügliche“, in jedem Fall aber eine zur Verfügungstellung der Informationen innerhalb eines Monats zu. Diese Frist sollte unbedingt eingehalten werden. Allerdings ist unter gewissen Umständen eine Fristverlängerung möglich, aber auch hierüber sollte der Betroffene innerhalb der 4-Wochen-Frist informiert werden. „Unternehmen sollten den Eingang von Betroffenenanfragen oder -anträgen zentralisieren. Hierfür bietet sich in der Regel der Datenschutzbeauftragte an. Allerdings ist daneben eine Sensibilisierung der gesamten Belegschaft bei Anfragen oder Anträgen von Betroffenen erforderlich, damit eine rechtzeitige Unternehmensreaktion sichergestellt ist. Ein Mix aus guter Organisation und betrieblicher Wachsamkeit verhindert Verfristungen“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein eine Doppelstrategie. Übrigens: Für die Übersendung der angefragten Informationen an den Betroffenen ist ein sicheres Verfahren zu nutzen. In der Regel sollte der Postweg gewählt werden. Eine telefonische Beantwortung sollte auf keinen Fall erfolgen.

Generell sollte die Frist nicht unterschätzt werden. Zunächst sollte über das Verzeichnis von Verarbeitungstätigkeiten (VvV) herausgefunden werden, wo überall Daten zur betroffenen Person verarbeitet werden. Dann sind diese Daten zusammenzutragen. Eine Betroffenenauskunft umfasst auf Verlangen des Betroffenen eine Kopie aller personenbezogenen Daten, die das Unternehmen über den Betroffenen besitzt (inkl. beispielsweise E-Mails von und an den Betroffenen sowie über den Betroffenen). Im Zweifel sind dies alle Daten über die betroffene Person samt allen Verarbeitungsvorgängen und über alle Abteilungsgrenzen hinweg aus allen Datenverarbeitungsprogrammen. Sollten in diesen Unterlagen personenbezogene Informationen zu anderen Personen oder zu Geschäftsgeheimnissen enthalten sein, müssen diese unkenntlich gemacht werden. Vor dem Versand sollten die Ergebnisse noch einmal auf Richtigkeit und Vollständigkeit überprüft werden. Dies braucht erfahrungsgemäß einige Zeit.