Was tun bei Anfragen zum Datenschutz?

Wenn die DS-GVO zweimal klingelt

Seit dem 24. Mai 2018 ist die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Einige Aufsichtsbehörden haben erste Bußgelder verhängt. Die Neuregelung hat die persönlichen Datenschutzrechte gestärkt. Wie bereiten Unternehmen sich am besten auf Anfragen von Personen vor, die Auskunft über den Umgang mit ihren Daten verlangen?

Foto: Shutterstock – Alexander Limbach

Einem Betroffenen, der eine Anfrage stellt, ist mitzuteilen, ob der Verantwortliche personenbezogene Daten verarbeitet. Die Begriffe „personenbezogene Daten“ und „Verarbeitung“ sind dabei weit zu verstehen. Spätestens die Anfrage und ihre Bearbeitung führen dazu, dass personenbezogene Daten bearbeitet werden, so dass eine echte negative Auskunft nur selten in Betracht kommt. Selbst wenn der Verantwortliche zuvor keine personenbezogenen Daten zum Anfragenden verarbeitet hat, wird er sie nun zumindest speichern – im Hinblick auf ein mögliches Verfahren der Aufsichtsbehörde oder einen Rechtsstreit über die korrekte Bearbeitung der Anfrage.

Wenn personenbezogene Daten verarbeitet werden, sind die in der DS-GVO in Artikel 15 Abs. 1 S. 1 a) – h) genannten Informationen (Verarbeitungszwecke, Kategorien der personenbezogenen Daten, Empfänger etc.) auch dann zu geben, wenn die einzelnen Punkte nicht in der Anfrage aufgeführt waren. Die Antwort darf nur an die betroffene Person (oder einen von ihr Beauftragten) gegeben werden. So soll verhindert werden, dass personenbezogene Daten in unbefugte Hände gelangen. Sofern Zweifel bestehen, kann eine Identifizierung angefordert werden.

Die anfragende Person kann nach Artikel 15 Abs. 3 DS-GVO auch eine Kopie der gespeicherten personenbezogenen Daten verlangen. Dabei sind die Daten so zu senden, wie sie bei dem Verantwortlichen vorhanden sind und genutzt werden. So wird eine realistische Einschätzung der Verarbeitung ermöglicht. Der genaue Inhalt dieses Anspruchs ist derzeit noch umstritten.

Wer ist zuständig?

Die Informationen müssen in präziser, transparenter, verständlicher Form in einer klaren und einfachen Sprache innerhalb eines Monats übermittelt werden. Die Frist kann einmalig um bis zu zwei Monate verlängert werden, wenn dies aus besonderen Gründen erforderlich ist. Die Anfrage zu prüfen, die Informationen zu sammeln, entsprechend den Vorgaben zu formulieren und zu übersenden, kann im Einzelfall mit einem Aufwand verbunden sein.

Ein Verstoß gegen die Vorgaben der DS-GVO kann von den Aufsichtsbehörden mit empfindlichen Bußgeldern belegt werden. Unternehmen müssen daher frühzeitig festlegen, wie auf Anfragen von betroffenen Personen auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung zu reagieren ist. Mindestens eine Person und ein Stellvertreter sollten für die Bearbeitung solcher Anfragen bestimmt werden. Allen Mitarbeitern sollte nahegebracht werden, jegliche Anfrage mit Bezug zu Datenschutz, DS-GVO oder Bundesdatenschutzgesetz (BDSG) und dem Wunsch nach Auskunft oder Berichtigung, unabhängig vom Medium (Brief, E-Mail, WhatsApp etc.), unverzüglich dem zuständigen Mitarbeiter zu übermitteln.

Verfahren festlegen

Darüber hinaus ist es hilfreich, ein Verfahren für die Beantwortung zu definieren: Es kann festgelegt werden, wie die Identifizierung der betroffenen Person erfolgt, welche Daten zusammengestellt und wie diese übermittelt werden. Immer mal wieder werden Sonderfälle auftreten, für die dieses Standardverfahren nicht ausreicht. Dafür sollte vorab geklärt werden, welche externen oder internen Experten zu Rate gezogen werden.

Nicht selten verlangen betroffene Person die Löschung ihrer personenbezogenen Daten. Seltener wird der Wunsch nach Berichtigung oder Vervollständigung erhoben. Denkbar wäre auch, dass verlangt wird, die Verarbeitung einzuschränken oder vorhandene Daten zu übertragen. Auch für diese Fälle sollte eine Vorgehensweise definiert sein, um die professionelle und fristgerechte Bearbeitung zu gewährleisten.

Für Krisen wappnen

Regelrechte Panik kann nach Datenpannen im Unternehmen aufkommen. Ist im Vorhinein ein Verfahren definiert, wer nach welchen Kriterien prüft und welche Maßnahmen, insbesondere Benachrichtigung der Aufsichtsbehörde und der betroffenen Personen, ergriffen werden, lassen sich auch Datenpannen professionell handhaben.


Mehr zum Thema

Der Auskunftsanspruch nach der DSG-VO ist eines von drei Themen der Öffentlichen Sitzung des IHK-Expertenrats IT & Datensicherheit. Daneben geht es um Sicherheitsattacken durch verseuchte E-Mails und das Gesetz zum Schutz von Geschäftsgeheimnissen.

Veranstaltung: Öffentliche Sitzung des IHK-Expertenrats IT & Datensicherheit
Termin: 11. September 2019, 15:00 bis 18:00 Uhr
Ort: IHK Offenbach am Main
Kosten: keine
Anmeldung: www.ihkof.de/expertenrat-it

Autor:

Dr. Thomas Lapp
Telefon (069) 9540-8865
anwalt@dr-lapp.de
www.dr-lapp.de