Effektiver Umgang mit Betroffenenanfragen nach DS-GVO
Autor:in
Corinna StankeWahrscheinlich ist bei Ihnen auch schon einmal die eine oder andere E-Mail mit folgendem Text eingegangen: „Ich habe eine Frage zum Datenschutz“, „Bitte senden Sie mir keine Werbung mehr zu“, „Welche Informationen haben Sie über mich gespeichert?“. In der Regel machen die absendenden Personen so ihre Betroffenenrechte nach Art. 15-22 DS-GVO geltend, wie z. B. ihr Auskunfts- oder Löschrecht oder im Falle von unerwünschter Zusendung von Werbung ihr Widerspruchsrecht. Ohne etablierte interne Prozesse können die Betroffenenanfragen schnell untergehen oder zu Überschneidungen in den einzelnen Abteilungen Ihres Unternehmens führen. Die Marketingabteilung wurde z. B. über den Widerspruch oder die Löschanfrage noch nicht informiert und versendet weiterhin Werbung an die Betroffenen. Die Betroffenen können sich dann bei den Aufsichtsbehörden nach Art. 77 Abs. 1 DS-GVO beschweren und Ihnen können Bußgelder oder andere Sanktionen drohen. Durch einen effektiven Umgang mit Betroffenenanfragen können Sie in der Regel entsprechende Beschwerden vermeiden und zugleich Ihre Arbeitsprozesse optimieren. Im Folgenden erhalten Sie daher einen Überblick, welche Punkte Sie im Umgang mit Betroffenenanfragen beachten und, wenn möglich, in einer internen Richtlinie regeln sollten.
1. Wie zügig müssen Sie Betroffenenanfragen bearbeiten?
Zunächst ist wichtig, dass Sie die Betroffenenanfragen so schnell wie möglich beantworten. Grundsätzlich beträgt die Frist hierfür einen Monat ab Eingang der Anfragen, Art. 12 Abs. 3 Satz 1 DS-GVO. Den Eingangszeitpunkt sollten Sie daher zur Fristwahrung stets dokumentieren. Nur in Ausnahmefällen, z. B. bei umfangreichen Auskunftsbegehren, dürfen Sie die Monatsfrist um zwei weitere Monate überschreiten. Die Fristverlängerung und die Gründe hierfür müssen Sie den Betroffenen jedoch mitteilen, Art. 12 Abs. 3 Satz 2 und 3 DS-GVO. Urlaub oder Krankheit rechtfertigen in der Regel nicht die Überschreitung der Monatsfrist. Daher ist es ratsam, sich an die Frist von einem Monat zu halten. Bedenken sollten Sie auch, dass die Betroffenenanfragen u. U. an verschiedene Abteilungen in Ihrem Unternehmen, bspw. Marketing und IT, zur Prüfung der gespeicherten personenbezogenen Daten weitergeleitet werden müssen. Diese Umlaufzeit und die allgemeine Postlaufzeit müssen Sie bei der Bearbeitung von Betroffenenanfragen zur Fristwahrung mit einberechnen. Zum Beispiel können Sie in einer internen Richtlinie regeln, an welche Fachabteilungen grundsätzlich die Betroffenenanfragen weitergeleitet werden sollten und wie viel Zeit diese zur Bearbeitung haben bzw. wann die bearbeiteten Anfragen wieder an die zuständige Stelle für Betroffenenfragen zurückgeschickt werden sollte, z. B. innerhalb von 5 Werktagen.
2. Wie und wo können Betroffenenanfragen bei Ihnen eingehen?
Betroffenenanfragen können auf den unterschiedlichsten Wegen und an jedem Arbeitsplatz bei Ihnen im Unternehmen eingehen, z. B. per E-Mail, Brief oder telefonisch. Denn die Art. 15-22 DS-GVO schreiben keine bestimmte Form für die Betroffenenanfragen vor. Soweit juristische Laien die Anfragen stellen, werden die Schreiben in der Regel auch nicht den Wortlaut des Gesetzes enthalten, sondern Anfragen wie z. B. „Ich habe eine Frage zum Datenschutz …“, „Ich möchte Einblick in meine (Patienten-)Akte erhalten“ etc. Im Zweifel gehen Sie davon aus, dass es sich um eine Betroffenenanfrage handelt. Insbesondere die Auskunftsbegehren können aufgrund der Vielzahl von Informationen, die die Betroffenen von Ihnen nach Art. 15 DS-GVO anfordern dürfen, sehr umfangreich sein. Bei Unklarheiten können Sie Rücksprache mit den Anfragenden halten, ob Sie die Prüfung bzw. Übermittlung auf einzelne Informationen beschränken können.
3. Wie gehen Sie bei der Beantwortung vor?
3.1 Identifikation
Vor Beantwortung der Betroffenenanfragen müssen Sie prüfen, ob die Anfragenden auch die Personen sind, deren personenbezogene Daten Sie verarbeiten. Denn nur die Betroffenen (z. B. Kundschaft, Mitarbeitende) haben Ihnen gegenüber einen Anspruch auf Auskunftserteilung etc. Daher sollten Sie aufmerksam gegenüber Anfragen von Unberechtigten sein und Auskünfte an falsche Personen vermeiden. Grundsätzlich ist die Identifizierung bei brieflichen Anfragen leicht möglich, da die Anfragenden ihre Adresse in ihren Schreiben angeben. Einen Abgleich können Sie dann mit den bei Ihnen gespeicherten personenbezogenen Daten vornehmen. Bei E-Mail-Anfragen erfolgt der Abgleich bei bestehendem Vorkontakt über die E-Mail-Adresse. Im Zweifel können Sie weitere Angaben, bspw. die Vertragsnummer, das Buchungszeichen oder Geburtsdatum verlangen. Nur als Ultima Ratio sollte eine Ausweiskopie verlangt werden. Die Anfragenden sind dann aber darauf hinzuweisen, dass nicht benötigte Angaben zu schwärzen sind und per E-Mail nur verschlüsselt übermittelt werden dürfen. Eine Identifizierung bei telefonischen Anfragen ist kaum möglich. Grundsätzlich sollten Sie die Anfragenden daher auf den Postweg verweisen. Verbleiben letztlich bei Ihnen immer noch Zweifel bzgl. der Identität der Anfragenden, dürfen Sie die Auskunft mit entsprechendem Hinweis verweigern. Die Gründe sollten Sie aber dokumentieren.
3.2 Eingangsbestätigung
Den Eingang der Anfragen teilen Sie den Betroffenen unter Hinweis der Prüfung der Identität und der grundsätzlichen Bearbeitungszeit von einem Monat, ggf. länger, mit.
3.3 Prüfung der Speicherung von personenbezogenen Daten
Sofern Sie sich von der Identität der Anfragenden überzeugt haben, müssen Sie prüfen, ob Sie personenbezogene Daten von diesen gespeichert haben. Ist dies nicht der Fall, müssen Sie den Anfragenden das mitteilen, sog. „Negativauskunft“. Keine Antwort ist in diesem Fall nicht ausreichend und kann Sanktionen nach sich ziehen.
3.4 Einleitung der erforderlichen Schritte
Haben Sie personenbezogene Daten von den Anfragenden gespeichert, müssen Sie je nach Art der Betroffenenanfragen die erforderlichen Schritte einleiten bzw. prüfen, ob Sie den Anfragen überhaupt nachkommen können. Beispielsweise müssen Sie bei einer Löschanfrage stets die gesetzlichen oder vertraglichen Aufbewahrungspflichten im Blick haben, sodass Sie nicht versehentlich personenbezogene Daten vorzeitig löschen.
3.5 Mitteilung an die Betroffenen
Nach Bearbeitung der Anfragen teilen Sie den Betroffenen das Ergebnis Ihrer Prüfung mit, das heißt z. B., ob Sie den Begehren nachkommen konnten oder nicht, und übermitteln die entsprechenden Informationen bzw. informieren die Betroffenen über die eingeleiteten Schritte. Im positiven wie im negativen Fall sollten Sie Ihr Ergebnis begründen, um eine unzureichende Beantwortung zu vermeiden. Denn auch eine mangelhafte Beantwortung kann von den Aufsichtsbehörden sanktioniert werden. Ihre Antwortschreiben sollten in der Regel in der gleichen Form wie die Anfragen ergehen. Gehen bei Ihnen Anfragen per E-Mail ein, antworten Sie auch per E-Mail usw. Telefonische Antworten sollten jedoch nur ausnahmsweise erfolgen und wenn doch, dann nur mit einer entsprechenden Dokumentation. Ihre Antwortschreiben können Sie grundsätzlich frei gestalten, die DS-GVO sieht keine entsprechenden Formulare vor. Sie müssen darauf achten, dass Ihre Antwortschreiben leicht verständlich sind.
4. Vorlagen zur Beantwortung erstellen
Je nach Anzahl und Umfang der Betroffenenanfragen kann die Bearbeitung zeit- und arbeitsintensiv sein. Es empfiehlt sich daher, entsprechende Vorlagen zur Beantwortung der jeweiligen Betroffenenrechte zu erstellen. Beispielsweise können Sie folgende Vorlagen für die Beantwortung von Auskunftsbegehren anfertigen:
- Auskunft_Prüfung (Eingangsbestätigung/Identifikationsprüfung/Bearbeitungszeit)
- Auskunft_Identifikation (Anforderungen von weiteren Informationen zum Zwecke der eindeutigen Identifikation)
- Auskunft_Ablehnung (Gründe für Ablehnung/Hinweis auf Betroffenenechte und Beschwerderecht bei der Aufsichtsbehörde)
- Auskunft_Rechtmäßigkeit (Mitteilung der gespeicherten personenbezogenen Daten/Hinweis auf Betroffenenrechte und Beschwerderecht bei der Aufsichtsbehörde).
5. Festlegung von Zuständigkeiten
Grundsätzlich sollten Sie regeln, welche Mitarbeitenden in Ihrem Unternehmen für die Zuständigkeit und Beantwortung von Betroffenenanfragen verantwortlich sind. Sofern Sie eine/n Datenschutzbeauftragte/n haben, sollte diese/r die Aufgabe übernehmen.
Zusammenfassung der wichtigsten Punkte:
Betroffenenanfragen können Sie daher effektiv bearbeiten, wenn Sie die nachstehend genannten Punkte beachten. Hierdurch können Sie sich eine Menge an Zeit und Beschwerden ersparen.
1. Interne Prozesse festlegen
- Zuständigkeiten
- Auskunft_Identifikation (Anforderungen von weiteren Informationen zum Zwecke der eindeutigen Identifikation)
- Bearbeitungszeiträume für die jeweiligen Abteilungen
- Vorlagen erstellen
2. Vorgehen bei der Bearbeitung
- Identifizierung
- Eingangsbestätigung (ggf. Anforderung von weiteren Identifikationsmerkmalen)
- Prüfung, ob personenbezogene Daten gespeichert sind (Weiterleitung an Fachabteilungen/ggf. Negativauskunft)
- Bei Speicherung: Einleitung der erforderlichen Schritte
- Mitteilung an die Betroffenen (Ablehnung und Gründe hierfür/Übermittlung der gespeicherten Daten/Unterrichtung über eingeleitete Maßnahmen/Hinweise auf weitere Betroffenenrechte und Beschwerderecht bei der Aufsichtsbehörde)