Mit der EU-Datenschutzgrundverordnung (DSGVO) sind die Rechte betroffener Personen (Kunde, Mitarbeiter, Bewerber, Patient, Internetsurfer) deutlich gestärkt, Dokumentationspflichten von Verantwortlichen erhöht worden. Mit der neuen Verordnung sollen personenbezogene Daten vor Missbrauch und unwissentlicher Verarbeitung und Verbreitung geschützt werden. Der Missbrauch kann beispielsweise darin bestehen, die Identität von Personen zu stehlen, indem ein Online Shop gehackt wird und die Daten verkauft werden. Alles, was auf eine natürliche Person bezogen werden kann, unterliegt dem Datenschutz. Der Schutz von Erwachsenen und besonders Kindern und deren Persönlichkeitsrechte stehen dabei im Vordergrund!

Was sind personenbezogene Daten im Zeitalter der DSGVO?

  • Name, Adresse, Geburtsdatum, Geschlecht, Familienstand
  • Fotos
  • Kreditkartennummer
  • Religion
  • Finanzielle Situation
  • Gesundheitsdaten
  • Biometrische Daten
  • IP-Adressen, Cookies oder digitale Fingerprints
  • Sexuelle Vorlieben – Schon mal bei Erika Lust gesurft? Google Analytics und drei weitere Tracker lassen grüßen 😉
  • uvm.

Verantwortliche – also alle, die in irgendeiner Weise personenbezogene Daten erheben und verarbeiten – müssen die Einhaltung (Art. 5 Abs. 2 DSGVO) nachweisen können und unterliegen der Rechenschaftspflicht. Demensprechend müssen sie Vorkehrungen wie das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) treffen, um eine angemessene Sicherheit der personenbezogenen Daten gewährleisten und darüber Auskunft geben zu können. Es besteht zudem eine Informationspflicht bei Erhebung von personenbezogenen Daten der betreffenden Person (Art. 13 DSGVO) oder wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO).

Betroffene haben fortan das Recht, von dem Verantwortlichen eine Bestätigung darüber einzufordern, ob personenbezogenen Daten über sie verarbeitet werden. Falls ja, so haben sie das Recht auf Auskunft über diese Daten und können folgende Rechte geltend machen:

  • Recht auf Auskunft der betroffenen Person nach Art. 15 DSGVO
  • Recht auf Berichtigung nach Art. 16 DSGVO
  • Recht auf Löschung („Recht auf Vergessenwerden“) nach Art. 17 DSGVO
  • Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
  • Mitteilungspflicht im Zusammenhang mit Berichtigung, Löschung, Einschränkung nach Art. 19 DSGVO
  • Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
  • Widerspruchsrecht nach Art. 21 DSGVO

Betroffene haben zudem das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Schon unter dem Bundesdatenschutzgesetz BDSG-alt hatten Betroffene ein Recht auf Auskunft, allerdings ist nun mit der DSGVO deutlich mehr zu beachten und zu tun.

SOS! Was ist nach Auskunftsverlangen zu tun?

Nimmt eine natürliche Person von ihrem Auskunftsrecht nach Art. 15 DSGVO telefonisch, elektronisch oder per Post Gebrauch, dann atmen Sie erst einmal gaaaanz tief durch. Es ist ihr Recht nachzufragen, welche Daten vorliegen und was damit gemacht wird. Machen Sie sich kurz einmal bewusst: Auch Sie sind eine natürliche Person und legen bestimmt selbst Wert darauf, dass mit Ihren persönlichen Daten wie vielleicht zu einer sehr speziellen Krankheit, Kreditkartennummer, Wohnort respekt- und vertrauensvoll umgegangen wird!

Also! Definieren Sie eine Vorgehensweise zum Auskunftsverlangen mit Ihrem internen oder externen Datenschutzbeauftragten. Oder mit sich selbst, falls Sie diesen nicht benötigen.

Im besten Fall haben Sie eine zentrale Anlaufstelle in Ihrer Organisation. Oder bereits ein Datenschutzkonzept, welches nicht nur Ihr Geschäftsmodell in allen Prozessen beschreibt (wenn Sie Chef sind, dann dürfte Ihnen das leicht von der Hand gehen) und sicher macht, sondern wie in diesem Fall auch die Vorgehensweise und ein Muster-Antwortschreiben beinhaltet. Falls nicht, fangen Sie jetzt damit an!

 

7 Soforthilfen für einen schnellen Überblick nach Auskunftsverlangen

 

Bitte klären Sie vorab, WER Auskunft in Ihrer Organisation geben darf und wer nicht! Wer keine Auskunft geben darf, sollte nur die Auskunft über den Ansprechpartner geben, welche das Auskunftsverlangen entgegennimmt. Informieren Sie grundsätzlich ALLE Mitarbeiter darüber, wie in einem solchen Fall des Auskunftsverlangens vorgegangen wird.

1.) IDENTITÄT der anfragenden Person klären: Vertragsdaten, Kundennummer etc. Gerade bei mündlichen Auskunftsverlangen muss die Identität der betroffenen Person in anderer Form nachgewiesen werden.

2.) Anfrage nachweisbar dokumentieren: Eingangsdatum, Person…

3.) Auskunftsfrist beachten: Unverzüglich handeln, die Auskunft muss in jedem Fall innerhalb von 4 Wochen nach Eingang des Antrags erteilt werden. Ausnahmen sind in Art. 12 Abs. 3 DSGVO nachzulesen.

4.) Intern prüfen: a.) Welche Daten liegen von der Person vor. b.) Für welchen Zweck werden die Daten genutzt (Kundenpflege, Zahlungsdaten, E-Mail-Adressen, Rechnungsanschrift etc.). c.) Gibt es Auftragsverarbeiter, die die Daten im Namen des Verantwortlichen verarbeiten.

Egal ob große oder kleine Organisation: An dieser Stelle rettet Sie das Verzeichnis von Verarbeitungstätigkeiten, welches als Übersicht und Zulässigkeitsprüfung aller Verarbeitungen personenbezogener Daten bei Ihnen im Haus dient und Angaben wie zu Verantwortliche Stelle im Unternehmen, Art der Daten(Kategorien), Quellen der Datenerhebung, Datenweitergaben, Verarbeitungszwecke, Erlaubnisse/Einwilligungen der Verarbeitungen, Löschfristen, technische und organisatorische Maßnahmen, Speicherort enthält. Denn zu einigen dieser Aufzählungen müssen Sie Auskunft erteilen.

 

5.) Nach sorgfältiger Prüfung Auskunft erteilen: Stellen Sie als Verantwortlicher eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Hat die betroffene Person den Antrag elektronisch gestellt, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

6.) Es liegen keine Daten vor: Wenn keine Daten in Bezug auf die Person gespeichert sind oder auf Grundlage der mitgeteilten Informationen der Person diese nicht identifiziert werden kann, müssen Sie auch darüber Mitteilung machen.

7.) Dokumentation der Auskunft: Damit Sie Ihre Antwort nachweisen können.

Abschließend noch ein wichtiger Hinweis: Sollte jemand von seinem Recht auf Löschung (Art. 17 DSGVO) Gebrauch machen, gehen Sie nicht gleich hin, und löschen alle Daten. Diese unterliegen möglicherweise gesetzlichen Aufbewahrungsfristen. Falls bereits vorhanden, dann schauen Sie dazu in das von Ihnen erstellte Verzeichnis von Verarbeitungstätigkeiten.

Auch Abmeldungen vom E-Mail Verteiler müssen für einen bestimmten Zeitraum und zu Beweiszwecken aufbewahrt werden. Bitte prüfen Sie also vorher ganz in Ruhe den Sachverhalt und stimmen Sie diesen mit den verantwortlichen Stellen bei Ihnen im Haus ab. Es kann somit sein, dass Sie dem Verlangen nach Datenlöschung zum aktuellen Zeitpunkt nicht nachkommen können. Auch darüber ist gegenüber dem Betroffenen Mitteilung zu machen.

Fazit: Warum Datenschutz? Für den guten Ruf der Organisation und aus Respekt gegenüber Betroffenen. Denn deren Daten werden für den eigenen Geschäftszweck missbraucht gebraucht und sollten bei Ihnen in vertrauensvollen Händen liegen! Darauf lässt sich im digitalen Zeitalter ein loyales und gedeihliches Geschäftsmodell aufbauen.

 

Zu weiteren Risiken und Nebenwirkungen fragen Sie Ihren Datenschutzbeauftragten ;-). Falls Sie auf dem Laufenden bleiben möchten rund um Datenschutz und Internetmarketing abonieren Sie unseren Newsletter.

Weitere hilfreiche Informationen:

– Plakat zum Downloaden „Die 5 Gebote im Datenschutz.“
– Interesse an „Einführung zur Methodik des Datenschutzmanagements“ am 28. August in Bielefeld? Hier informieren/anmelden.
Informationen zu unserem Datenschutz-Tool, welches bei unseren Kunden im Rahmen des Datenschutzmanagement inkl. Risikoabwägung zum Einsatz kommt.
Muster „Verzeichnis von Verarbeitungstätigkeiten zum Downloaden.

Verfasser: Sandra Wilms