Haben Sie eine Datenschutzanfrage erhalten? Woran ist eine Betroffenenanfrage nach DSGVO zu erkennen und was ist in einem solchen Fall zu tun? Der korrekte Umgang mit Anfragen von Betroffenen zum Datenschutz ist ein essenzieller Bestandteil eines jeden Datenschutz-Managementsystems. In diesem Artikel erfahren Sie, wie Sie Ihr Unternehmen auf Betroffenenanfragen nach der DSGVO vorbereiten können.
Wenn Sie eine Datenschutzanfrage erhalten haben und sofortige Unterstützung benötigen, beraten wir Sie gerne in einem kostenlosen Erstgespräch. Als externe Datenschutzbeauftragte helfen wir Ihnen bei der Beurteilung der Betroffenenanfrage nach DSGVO und unterstützen Sie bei allen weiteren Schritten.
Inhaltsverzeichnis
- Was ist eine Betroffenenanfrage?
- Welche Betroffenenrechte gibt es?
- Wer darf das Betroffenenrecht geltend machen?
- Pflicht für Unternehmen: Betroffenenanfragen managen
- Betroffenenanfrage erkennen:
- Identität des Betroffenen prüfen:
- Beantwortung der Betroffenenanfrage innerhalb der Monatsfrist
- Vorbereitende Maßnahmen: Betroffenenanfragen-Management etablieren
Was ist eine Betroffenenanfrage?
Die Datenschutz-Grundverordnung (DSGVO) räumt natürlichen Personen, deren personenbezogene Daten verarbeitet werden oder wurden, eine Reihe von Rechten ein. Diese Rechte werden als Betroffenenrechte bezeichnet und sind in Artikel 12 ff. DSGVO aufgeführt.
Die Betroffenenrechte stellen ein Steuerungs- und Kontrollelement in Bezug auf die Verarbeitung der eigenen personenbezogenen Daten dar. Diese Rechte ermöglichen betroffenen Kunden, Mitarbeitern, Dienstleistern, Geschäftspartnern usw., zusätzliche Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erhalten und diese Verarbeitung gegebenenfalls zu beenden.
Diese Anfragen bedeuten für Unternehmen einen erheblichen bürokratischen Aufwand, da sie auf Anfragen zur Auskunft oder Löschung spätestens innerhalb eines Monats antworten müssen (Art. 12 Abs. 3 DSGVO).
Welche Betroffenenrechte gibt es?
Die folgenden Rechte stehen der betroffenen Person im Rahmen der Datenverarbeitung zu:
Recht auf Auskunft (Art. 15 DSGVO):
Betroffene dürfen vom verantwortlichen Unternehmen Auskunft darüber verlangen, ob ihre personenbezogenen Daten verarbeitet werden. Wenn ja, , hat der Betroffene ein Recht auf Auskunft über folgende Umstände:
- Woher stammen die Daten, wenn diese nicht direkt bei dem Betroffenen erhoben wurden?
- Welche Daten oder Datenkategorien wurden erhoben?
- Für welchen Zweck wurden die Daten verarbeitet?
- Welche Empfänger haben die Daten erhalten bzw. werden diese in der Zukunft erhalten?
- Befinden sich diese Empfänger im außereuropäischen Ausland (Drittstaat)?
- Wie lange werden die Daten gespeichert?
- Unterliegen die Daten einer automatisierten Verarbeitung und hat dies eine rechtliche Auswirkung auf den Betroffenen, z.B. Scoring, Profiling?
Das Auskunftsverlangen ist an keine bestimmte Form gebunden. Art. 15 Absatz 3 DSGVO legt jedoch fest, dass ein elektronisches Auskunftsverlangen dazu führt, dass die Auskunft in einem „gängigen elektronischen Format“ zur Verfügung zu stellen ist, sofern sich aus den Umständen nichts anderes ergibt.
Recht auf Berichtigung (Art. 16 DSGVO):
Werden falsche oder unvollständige Daten gespeichert, kann der Betroffene die unverzügliche Berichtigung bzw. Ergänzung dieser Daten verlangen.
Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
Das Recht auf Löschung ist eines der zentralen Werkzeuge zur Durchsetzung der informationellen Selbstbestimmung. Der Betroffene kann die vollständige Löschung seiner personenbezogenen Daten verlangen. Der Betroffene kann die vollständige Löschung seiner personenbezogenen Daten verlangen. Allerdings dürfen Daten nur gelöscht werden, wenn:
- sie unrechtmäßig, d.h. ohne Rechtsgrundlage erhoben wurden,
- der Zweck, für die sie erhoben wurden entfallen ist und die Daten nicht mehr notwendig sind,
- die gesetzliche Aufbewahrungsfrist für die Speicherung abgelaufen ist,
- die Löschung zur Einhaltung der nationalen Gesetze oder der Gesetze der Europäischen Union erforderlich ist,
Wichtig: Sie dürfen im Falle einer Löschanfrage nicht leichtfertig alle Daten löschen. Prüfen Sie vor der Löschung stets die vorgenannten Punkte.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Der Betroffene hat das Recht, vom verantwortlichen Unternehmen die Einschränkung der Verarbeitung zu verlangen, wenn:
- die Richtigkeit der Daten bestritten wird,
- die Verarbeitung unzulässig war, aber ein Löschwiderspruch vorliegt,
- die Daten nach Zweckerreichung zur Geltendmachung von Rechtsansprüchen benötigt werden,
- die Berechtigung eines Widerspruchs nach Art. 21 Abs. 1 DSGVO noch überprüft wird.
Dieses Recht ist für Fälle gedacht, bei denen Daten zwar nicht gelöscht, aber auch nicht mehr anderweitig verarbeitet werden sollen. Solche Daten müssen entsprechend markiert und behandelt werden.
Das Recht auf Widerspruch (Art. 21 DSGVO)
Das Widerspruchsrecht erlaubt es Betroffenen, gegen eine Datenverarbeitung Widerspruch einzulegen. Einer an sich rechtmäßigen Datenverarbeitung zur Direktwerbung kann nach Art. 21 Abs. 2 DSGVO ohne jede Begründung widersprochen werden.
Wer darf das Betroffenenrecht geltend machen?
Die Betroffenenrechte stehen allen betroffenen Personen unabhängig von ihrer Staatsangehörigkeit zu. Betroffene können Interessenten, Kunden, Website-Besucher, Bewerber, Mitarbeiter oder Lieferanten sein. Sie alle sind berechtigt, eine Betroffenenanfrage zu stellen. Der Betroffene kann auch einen Dritten, z.B. einen Anwalt, mit der Geltendmachung des Auskunftsrechts bevollmächtigen. Der Antrag der betroffenen Person bedarf keiner besonderen Form und kann daher auch mündlich erfolgen.
Pflicht für Unternehmen: Betroffenenanfragen managen
Unternehmen sind verpflichtet, DSGVO Betroffenenanfragen zeitnah und ordnungsgemäß zu beantworten. Dies stellt viele Organisationen vor große Herausforderungen, insbesondere hinsichtlich der internen Prozesse und der Verfügbarkeit der notwendigen Informationen. Ein effektives Management von Betroffenenanfragen ist unerlässlich, um den gesetzlichen Anforderungen gerecht zu werden. Werden Betroffenenanfragen missachtet, kann dies zu Verwarnungen oder Bußgeldern führen.
Betroffenenanfrage erkennen:
Zunächst muss eine Anfrage als Betroffenenanfrage erkannt werden. Das mag einfach klingen, ist es in der Praxis aber oft nicht. Die meisten Personen, die ihre DSGVO-Rechte geltend machen möchten, sind keine Datenschutzexperten und verwenden möglicherweise weder den Begriff „Betroffenenanfrage“ noch die spezifischen Formulierungen der ihnen zustehenden Rechte. Das ist auch nicht erforderlich. Vielmehr liegt es in der Verantwortung des Unternehmens, die wesentlichen Anliegen aus der Nachricht der betroffenen Person zu erkennen. Wenn Formulierungen wie die folgenden verwendet werden, sollten Sie oder Ihre Mitarbeiter davon ausgehen, dass es sich um eine Betroffenenanfrage handelt und diese entsprechend behandeln:
- „Wie sind Sie an meine Daten gekommen?“
- „Ich habe eine Frage zum Datenschutz.“
- „Bitte löschen Sie meine Daten.“
- „Meine Daten sind falsch. Bitte korrigieren Sie diese.“
- Der Erhalt von Werbung oder Newsletter wird beanstandet.
- Es wird nach dem Datenschutzbeauftragten verlangt.
- Drohung mit Beschwerde bei der Datenschutz-Aufsichtsbehörde
- Drohung mit Abmahnung oder einem Fachanwalt
Die genannten Formulierungen sind beispielhaft und können auf verschiedene Betroffenenrechte hinweisen. Im Zweifel sollte mit dem Datenschutzbeauftragten Rücksprache gehalten werden, um die Anfrage korrekt einzuordnen.
Identität des Betroffenen prüfen:
Sollten Sie oder Ihr Unternehmen im Rahmen einer Betroffenenanfrage Zweifel an der Identität des Betroffenen haben oder nicht in der Lage sein, den Betroffenen eindeutig zu identifizieren, ist eine Identitätsüberprüfung erforderlich. Schließlich werden bei der Beantwortung einer Auskunftsanfrage zahlreiche personenbezogene Daten mitgeteilt, sodass sichergestellt sein muss, dass der Antragsteller wirklich die Person ist, die er vorgibt zu sein. Möglichkeiten zur Überprüfung der Identität des Betroffenen sind beispielsweise:
- Wenn die anfragende Person – etwa zur Beratung – persönlich vor Ort ist, lässt sich ein Mitarbeiter den Personalausweis zeigen und überprüft, ob das Foto die anwesende Person zeigt.
- In allen anderen Fällen können Sie die anfragende Person nach weiteren im System hinterlegten Daten fragen, z.B. Geburtsdatum, Postanschrift oder Kundennummer. Die kommunizierten Daten sind dann mit den Angaben im eigenen System oder dem Nutzerkonto abzugleichen.
Beantwortung der Betroffenenanfrage innerhalb der Monatsfrist
Die Beantwortung einer DSGVO-Betroffenenanfrage sollte stets schriftlich oder elektronisch erfolgen. Bei elektronischen Antworten muss besonders darauf geachtet werden, dass die Datensicherheit während der Übertragung gewährleistet ist. Darüber hinaus schreibt das Gesetz vor, dass die Antwort präzise, transparent und verständlich formuliert sowie für die Betroffenen leicht zugänglich sein muss. Es wird dringend empfohlen, den gesamten Vorgang und die Kommunikation sorgfältig zu dokumentieren..
Zudem ist eine wichtige gesetzliche Frist einzuhalten: Die Antwort muss unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Betroffenenanfrage, erfolgen. Eine Verlängerung der Frist auf insgesamt drei Monate ist in Ausnahmefällen möglich, sollte jedoch nicht als Regelfall angesehen werden.
Falls der Anfrage nicht entsprochen werden kann, muss die betroffene Person darüber informiert werden. Dies ist beispielsweise der Fall, wenn die Löschung der Daten verlangt wird, aber gesetzliche Aufbewahrungspflichten dem entgegenstehen.
Vorbereitende Maßnahmen: Betroffenenanfragen-Management etablieren
Bei einer Betroffenenanfrage ist strukturiertes und zügiges Handeln erforderlich. Deshalb ist von vornherein ein geeignetes Vorgehen zu entwickeln, wie im Hinblick auf Datenschutzanfragen zu verfahren ist. Ein Betroffenenanfragen-Management sollte insbesondere folgende Punkte umfassen, um die Datenschutz-Compliance sicherzustellen:
- Sensibilisierung aller Mitarbeiter: Mitarbeiter sollten geschult sein, um solche telefonische und postalische Anfragen zu identifizieren und an die zuständige Stelle weiterzuleiten. Eine wirksame Schulung mit Praxistipps ist essenziell, um die Mitarbeiter in die Lage zu versetzen, die unterschiedlichen Typen von Datenschutz Anfragen zu erkennen und angemessen darauf zu reagieren.
- Klare Verantwortlichkeiten definieren: Ein gut durchdachter Meldeprozess mit klaren Verantwortlichkeiten stellt sicher, dass Anfragen von Betroffenen den richtigen Weg nehmen und die notwendigen Informationen zusammengetragen werden. Die Kontaktdaten aller wichtigen Personen, z.B. Datenschutzkoordinator und Datenschutzbeauftragter sollten im Unternehmen kommuniziert werden, sodass alle Mitarbeiter wissen, an wen sie sich im Falle einer Datenschutz Anfrage wenden können.
- Zentrale Erfassung der Anfragen: Um den Überblick über alle eingegangenen Betroffenenanfragen zu behalten, empfiehlt es sich, die Anfragen zentral zu erfassen und zu dokumentieren. Es sollte stets nachvollziehbar sein, wann welche Betroffenenanfrage einging und wann sie beantwortet wurde. Diese Dokumentation ist insbesondere auch für den Fall einer behördlichen Überprüfung relevant.
- Richtlinie zum Umgang mit Betroffenenanfragen:
Eine Richtlinie mit klaren Handlungsschritten kann helfen, ein dauerhaftes gemeinsames Verständnis und ein für alle Mitarbeiter verbindliches Vorgehen zu etablieren. Darin sollten sich Hinweise zu den Verantwortlichkeiten, die Vorgehensweise bei der Identitätsprüfung und Vorgaben zur Dokumentation des Betroffenen-Managements finden. - Musterschreiben und Formulierungshilfen vorbereiten: Für eine sichere und vorab geprüfte Vorgehensweise empfiehlt sich die Erstellung von Mustervorlagen für z.B. die Beantwortung von Auskunftsersuchen und Löschanfragen. Dies spart Zeit und hilft bei einem strukturierten Vorgehen.
Lessons learned: Jede Datenschutz Anfrage immer auch die Chance, das eigene Vorgehen zu überdenken, Prozesse zu optimieren und die eigene Vorgehensweise nachhaltig zu verbessern.
Sie benötigen schnelle Unterstützung bei Ihrer Betroffenenanfrage?
Wir unterstützen Sie bei der Qualifizierung und Beantwortung Ihrer Betroffenenanfrage. Unsere Datenschutzbeauftragten sind ausgebildete Juristen und IT-Fachkräfte mit Schwerpunkt Datenschutz und IT-Sicherheit.
Unser Angebot zur Benennung zum externen Datenschutzbeauftragten kombiniert Datenschutz-Fachwissen mit rechtlichen, betriebswirtschaftlichen und technischen Kenntnissen. Alle unsere Datenschutzberater sind zertifiziert und besitzen eine umfassende Fachkunde auf dem Gebiet des Datenschutzrechts. Mit uns erfüllen Sie alle Vorgaben der Datenschutz-Grundverordnung. Wir helfen Ihnen beispielsweise bei der Erreichung einer datenschutzkonformen Internetpräsenz oder bei der Bewertung von Datenschutzverletzungen und der Beantwortung von Betroffenenanfragen.
FAQ Betroffenenanfrage DSGVO
Grundsätzlich muss eine Betroffenenanfrage unverzüglich, d.h. so schnell wie im regulären Geschäftsbetrieb möglich, beantwortet werden. Artikel 12 Absatz 3 DSGVO setzt jedoch eine Grenze von einem Monat. Eine Fristverlängerung ist nur in besonderen Ausnahmefällen möglich, beispielsweise bei einer unvorhersehbaren Vielzahl von Anfragen oder bei besonders komplexen Auskunftsersuchen. Das bloße Fehlen von Personal, etwa durch Krankheit oder Urlaub, rechtfertigt keine Verlängerung. Der Betroffene muss über den Grund der Verzögerung innerhalb der Monatsfrist informiert werden.
Nein. Auskunft darf vom Betroffenen grundsätzlich zu jeder Zeit und ohne Begründung verlangt werden.
Grundsätzlich muss eine Auskunft erteilt werden, wenn personenbezogene Daten der betroffenen Person vorliegen. Eine Verweigerung ist nur in Ausnahmefällen möglich, nämlich bei „offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen“ der betroffenen Person. Selbst wenn keine personenbezogenen Daten von der anfragenden Person verarbeitet werden, muss eine Negativmeldung erfolgen.
Das Auskunftsverlangen ist an keine bestimmte Form gebunden. Die DSGVO legt jedoch fest, dass bei einem elektronischen Auskunftsverlangen die Antwort in einem „gängigen elektronischen Format“ zur Verfügung zu stellen ist, sofern sich aus den Umständen nichts anderes ergibt. Es muss dabei sichergestellt werden, dass die Auskunft nicht von unberechtigten Dritten eingesehen werden kann. Eine sichere Methode ist beispielsweise die Bereitstellung einer Online-Plattform mit gesicherten Fernzugängen. Vor allem bei sensiblen Daten, wie z.B. Gesundheitsdaten, sollte die Auskunft nicht per unverschlüsselter E-Mail versendet werden. In solchen Fällen ist im Zweifel die Zustellung per Brief vorzuziehen.
Wenn eine andere Person, z.B. ein Ehepartner, als Vertreter für eine betroffene Person Auskunft über deren personenbezogene Daten verlangt, muss ein eindeutiger und zweifelsfreier Nachweis erbracht werden, dass der Vertreter zur Geltendmachung der Anfrage bevollmächtigt ist. Diese Vollmacht muss ausdrücklich das Auskunftsbegehren einschließen. Ansonsten besteht das Risiko einer Datenschutzverletzung.
Das auftraggebende Unternehmen (Verantwortlicher) ist selbst dafür verantwortlich, dass die Anträge der betroffenen Personen bearbeitet werden. Der Auftragsverarbeiter ist jedoch gemäß dem Auftragsverarbeitungsvertrag (AVV) verpflichtet, durch „geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist“, Unterstützung zu leisten. Dies kann im Einzelfall bedeuten, dass der Auftragsverarbeiter eingehende Anträge unverzüglich weiterleitet. Unter bestimmten Umständen können ihm auch spezifischere Aufgaben übertragen werden, insbesondere wenn er die technischen Möglichkeiten zur Extraktion und Verwaltung der personenbezogenen Daten hat. Die Einzelheiten der zu leistenden Unterstützung sollten daher im AVV oder dessen Anhang festgehalten werden.
zur Ausübung ihrer Betroffenenrechte?
Artikel 26 DSGVO betont, dass die Verantwortlichkeiten und Aufgaben, insbesondere in Bezug auf die Wahrnehmung der Rechte der betroffenen Person und die Informationspflichten gemäß den Artikeln 13 und 14, festzulegen sind. Die gemeinsam Verantwortlichen müssen daher vereinbaren, wer die Anfragen zu Betroffenenrechten bearbeitet und wie dies organisiert wird. Es kann auch eine bestimmte Kontaktperson als zentrale Anlaufstelle für betroffene Personen benannt werden. Unabhängig davon haben betroffene Personen stets das Recht, sich an jeden der gemeinsam Verantwortlichen zu wenden, um ihre Rechte wahrzunehmen (Artikel 26 Absatz 3 DSGVO).
