Personen sollen die Kontrolle über ihre Daten behalten. Wie genau das in Zeiten von Datenkraken wie sozialen Medien, Suchmaschinen und Messenger-Diensten gelingen kann?
Durch eine Mischung aus Pflichten für Unternehmen und Organisationen, die Daten erheben und verarbeiten – auch als Verantwortliche bekannt – (z. B. die Pflicht zur Benennung eines Datenschutzbeauftragten und zum Ergreifen von technischen und organisatorischen Maßnahmen) und Rechten der natürlichen Personen, deren Daten erhoben und verarbeitet werden. Diese Personen sind in der DSGVO als Betroffene bekannt.
Die Betroffenenrechte regeln, welche Ansprüche Betroffene gegenüber Verantwortlichen haben. Wir erklären, wie Sie als Unternehmen oder Organisation richtig auf Betroffenenanfragen reagieren.
Das Wichtigste in Kürze
- Die DSGVO räumt jeder betroffenen Person gegenüber einem Verantwortlichen sogenannte Betroffenenrechte ein.
- Diese Betroffenenrechte werden unterteilt in Informationsrecht, Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Datenverarbeitung, Recht auf Widerspruch und das Recht auf Datenübertragbarkeit.
- Betroffenenanfragen sollten unverzüglich bearbeitet werden.
In diesem Beitrag
- Betroffenenrechte nach der DSGVO
- Auskunftsrecht
- Prozess zum Umgang mit Betroffenenrechten
- Fristen zur Bearbeitung von Betroffenenanfragen
- Fazit
Betroffenenrechte nach der DSGVO
Betroffenenrechte sind jene Rechte, die die DSGVO den betroffenen Personen bezüglich ihrer personenbezogenen Daten einräumt. Personenbezogene Daten wiederum sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Rechte stehen den Betroffenen gegenüber Unternehmen oder Organisationen zu, die über Zweck und Mittel einer Datenverarbeitung entscheiden.
Die DSGVO beschreibt folgende Betroffenenrechte.
Informationsrecht
Gemäß DSGVO muss ein Verantwortlicher – also ein Unternehmen / eine Organisation – dem Betroffenen folgende Informationen mitteilen:
- Zweck und Rechtsgrundlage der Datenverarbeitung
- Angabe der Rechtsgrundlage der Datenverarbeitung bzw. Hinweis auf Bestehen eines berechtigten Interesses
- Empfänger der Daten, inkl. etwaige Übermittlung in Drittländer
- Hinweis zu den Rechten des Betroffenen (z. B. Recht auf Auskunft, Löschung, Widerruf einer Einwilligung und das Beschwerderecht bei Aufsichtsbehörden)
- Kontaktdaten des Verantwortlichen, bzw. gegebenenfalls Kontaktdaten eines Datenschutzbeauftragten
- Dauer der Speicherung der personenbezogenen Daten oder Kriterien für die Festlegung der Dauer
- Erforderlichkeit der Bereitstellung der personenbezogenen Daten, Informationen über fällige Verpflichtung zur Bereitstellung und allenfalls Folgen einer Nichtbereitstellung
- Falls zutreffend, Information über eine automatisierte Entscheidung oder Profiling-Maßnahmen
Info: Wenn Ihr Unternehmen einen externen Datenschutzbeauftragten benannt hat, sind auch diese Kontaktdaten bereitzustellen. Mehr zur Benennung eines externen Datenschutzbeauftragten finden Sie übrigens hier.
Wenn Sie die personenbezogenen Daten direkt bei der betroffenen Person einholen, müssen Sie der Informationspflicht sofort nachkommen. Das heißt, dass Ihr Kontakt, Nutzer oder Kunde beispielsweise bei der Newsletter-Anmeldung, der Registrierung oder dem Kaufvertragsabschluss zu informieren ist.
Erheben Sie die Daten nicht direkt, so erteilen Sie die Information z.B. innerhalb einer angemessenen Frist nach Erlangen der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, oder, falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an Sie.
Auskunftsrecht
Zusätzlich zum Informationsrecht steht jedem Betroffenen das Recht zu, bezüglich der Verarbeitung seiner personenbezogenen Daten Auskunft einzuholen (Auskunftsrecht gemäß Art. 15 DSGVO). Diese Anfragen muss das Unternehmen in einfacher und verständlicher Form beantworten.
Recht auf Berichtigung
Sind die personenbezogenen Daten sachlich unrichtig oder im Hinblick auf den Verwendungszweck unvollständig, hat die betroffene Person ein Recht darauf, dass diese Informationen berichtigt oder ergänzt werden. Dieses Recht auf Berichtigung ist in Art. 16 DSGVO verankert.
Recht auf Löschung
Die Betroffenenrechte gewähren Personen das Recht, ihre gespeicherten personenbezogenen Daten umgehend vom Verantwortlichen löschen zu lassen.
Dieses Recht auf Löschung (Art. 17 DSGVO) besteht, wenn
- die Speicherung für den Verwendungszweck nicht mehr erforderlich ist,
- die betroffene Person ihre Einwilligung zur Datenverarbeitung zurückzieht (Widerruf),
- oder der Verantwortliche die personenbezogenen Daten nicht rechtmäßig erhoben / verarbeitet
Auch eine EU-Vorschrift oder eine nationale Regelung kann Unternehmen dazu auffordern, eine verpflichtende Datenlöschung vorzunehmen.
Recht auf Einschränkung der Datenverarbeitung
Es muss nicht gleich die komplette Löschung der Daten sein: Art. 18 der DSGVO berechtigt jeden Betroffenen dazu, auch die Verwendung gewisser Daten zu stoppen. Dieses Recht besteht dann, wenn der Betroffene die Richtigkeit seiner gespeicherten Daten hinterfragt oder der Datenverwendung widersprochen hat.
Ist die Datenverarbeitung nicht rechtskonform, kann das Recht auf Einschränkung der Verarbeitung ebenfalls ausgeübt werden.
Recht auf Widerspruch
Eine betroffene Person hat das Recht aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung von personenbezogenen Daten einzureichen. Dies betrifft vor allem den Bereich Direktmarketing.
Recht auf Datenübertragbarkeit
Seit Geltungsbeginn der DSGVO haben Personen das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Demnach können sie das datenverarbeitende Unternehmen unter bestimmten Voraussetzungen dazu verpflichten, die personenbezogenen Daten in einem geeigneten maschinenlesbaren Datenformat bereitzustellen oder einem anderen Anbieter zukommen zu lassen.
Dieses Recht auf Datenübertragbarkeit soll es den Nutzern von sozialen Netzwerken, Apps, Telefonanbietern und anderen Diensten erleichtern, den Anbieter zu wechseln.
Prozess zum Umgang mit Betroffenenrechten
Betroffene können ihre gesetzlich verankerten Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Datenverarbeitung, Widerspruch und Datenübertragbarkeit einfordern, indem sie eine Betroffenenanfrage an den Verantwortlichen stellen. Solch eine Betroffenenanfrage kann jederzeit und auf verschiedenen Kanälen in Ihrem Unternehmen eingehen.
Achten Sie darauf, dass ihre Mitarbeiter geschult sind, solche Anfragen zu erkennen und an die richtige Stelle weiterzuleiten. Implementieren sie entsprechende Prozesse im Unternehmen, um Ihren Pflichten fristgerecht und vollständig nachkommen zu können bzw. überprüfen Sie regelmäßig, ob es Anpassungsbedarf gibt. Ziehen Sie ihren Datenschutzbeauftragten rechtzeitig hinzu, wenn Sie Fragen haben oder nicht wissen, was genau zu tun ist. Hier erfahren Sie, wie Sie am besten mit Betroffenenfragen umgehen.
Fristen zur Bearbeitung von Betroffenenanfragen
Laut DSGVO müssen Betroffenenanfragen unverzüglich bearbeitet werden. Zur Beantwortung von Betroffenenanfragen haben Sie maximal einen Monat Zeit – ab dem Tag, an dem die Anfrage bei Ihnen eingegangen ist. Eine Verlängerung der Beantwortungsfrist um weitere zwei Monate ist in Ausnahmefällen möglich, sofern Sie die Verzögerung begründen können. In diesem Fall müssen Sie den Anfragenden innerhalb eines Monats über diesen Umstand unterrichten.
Wir empfehlen, möglichst schnell auf Betroffenenanfragen zu reagieren und die Monatsfrist nicht unbedingt auszureizen – auch, um Ihren Kontakten zu zeigen, dass Sie deren Anfragen ernst nehmen.
Schritt 1: Prüfen Sie die Identität der Person sowie mögliche Ausschlussgründe
Bevor Sie die in der Betroffenenanfrage angeforderten Daten übermitteln oder löschen, müssen Sie die Identität des Anfragenden überprüfen. Schließlich wäre es eine klare Datenpanne, wenn Sie die Daten an jemanden übermitteln würden, der nicht selbst Betroffener oder Bevollmächtigter ist. Verlangen Sie zur Identifizierung nicht zusätzlich Daten, die sie nicht benötigen.
Schritt 2: Übermitteln Sie die Negativmitteilung oder ein Auskunftsschreiben
Im nächsten Schritt sollten Sie sich einen Überblick darüber verschaffen, welche personenbezogenen Daten Sie speichern und verarbeiten. Finden sich keine entsprechenden Informationen in der Datenbank, teilen Sie diesen Umstand in Form einer Negativauskunft mit.
Handelt es sich um ein Auskunftsersuchen, teilen Sie dem Betroffenen nur die ihn betreffenden Informationen mit. Informationen, die auf natürliche Personen im Unternehmen (beispielsweise auf die Sachbearbeiterin) oder andere Personen Rückschlüsse ziehen lassen, sind unkenntlich zu machen. Durch die Auskunftserteilung an den Betroffenen dürfen die Rechte und Freiheiten anderer nicht verletzt werden. Deshalb sind Textpassagen, die Informationen über dritte Personen beinhalten, entsprechend zu schwärzen.
Schritt 3: Verschlüsseln Sie Ihr Auskunftsschreiben oder Antwortschreiben
Personenbezogene Daten sind sicher und vertraulich zu übermitteln und daher etwa durch Verschlüsselung zu sichern. Dafür kommen Briefe, verschlüsselte Datenträger, mit Passwörtern geschützte Portale oder verschlüsselte E-Mail-Anhänge in Betracht.
Fazit
Als Unternehmen gewissenhaft mit personenbezogenen Daten umzugehen, ist nicht nur gesetzlich vorgeschrieben. Sie zeigen Ihren Kunden dadurch, dass Sie den Datenschutz ernst nehmen und sich zügig um ihre Anliegen kümmern.
Als externer Datenschutzbeauftragter helfen wir Ihnen im Umgang mit Betroffenenrechten. Unser Team aus Experten aller Branchen steht Ihnen bei der richtigen Entscheidung. Treten Sie ganz einfach mit uns Kontakt! Das erste Gespräch ist für Sie dabei kostenlos.