Vorwort
Teil 8 der Selbsthilfeserie “Wie kriegen wir die Seiten voll?” thematisiert das Vorgehen bei Betroffenenanfragen.
Ziel der Serie ist es über das bloße Teilen von Informationen hinaus zu unterstützen, indem wir Ihnen auch das Werkzeug für die praktische Umsetzung datenschutzrechtlicher Verpflichtungen zur Verfügung stellen. Wissensbibliotheken zum Datenschutz gibt es wirklich schon genug.
Auch auf unseren Social Media Kanälen wird jede Woche ein neuer Teil gepostet.
Teil 8: Vorgehen bei Betroffenenanfragen
Neben den gefürchteten Datenpannen, über die wir bereits gesprochen haben, sind Betroffenenanfragen ein weiterer Alptraum schlafloser Nächte von datenschutzrechtlich Verantwortlichen. Auch in diesen Fällen dringen Informationen über den Umgang mit personenbezogenen Daten nach außen – ob man will, oder nicht.
Disclaimer: Dieser Beitrag stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit. Auslassungen, Verkürzungen und Vereinfachungen sind beabsichtigt. Für konkrete Fragen wenden Sie sich bitte an einen Rechtsanwalt oder Datenschutzbeauftragten.
Jeder von der Verarbeitung personenbezogener Daten Betroffene hat bestimmte Rechte. Verantwortliche müssen die Betroffenen über diese Rechte informieren, z.B. in einer Datenschutzerklärung, die wir in Teil 1 dieser Serie behandelt haben.
Die DSGVO kennt die folgenden Betroffenenrechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung oder auch „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen aufgrund berechtigten Interesses (Art. 21 DSGVO)
- Widerruf der Einwilligung (Art. 7 Abs. 3 S. 1 DSGVO)
- Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden (Art. 22 DSGVO)
- Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)
Es würde zu weit führen, im einzelnen auf alle Rechte einzugehen. Daher beschränken wir uns auf die 2 praxisrelevantesten: Das Recht auf Auskunft und das Recht auf Löschung.
Recht auf Auskunft
Betroffene können an Verantwortliche herantreten und nachfragen, ob dort eigene personenbezogene Daten verarbeitet werden. Falls ja, muss Auskunft über diese Daten erteilt werden. Darüber hinaus ist den Betroffenen gemäß Art. 15 Abs. 1 DSGVO folgendes mitzuteilen:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Außerdem muss der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung gestellt werden.
Das ist ein erheblicher Aufwand, der viel Zeit in Anspruch nehmen kann, wenn man nicht organisiert ist. Es drängen sich Fragen auf:
- Haben wir E-Mails von dieser Person?
- Eine Telefonnummer oder Adresse?
- Haben wir ihr mal ein personalisiertes Angebot geschickt?
- Hat sie ein Newsletterabonnement?
- Hat sie vor 2 Jahren ein Produkt oder eine Dienstleistung bezogen?
- Liegen die Daten auf einem eigenen Server, einem Aktenordner, in der Cloud eines Dienstleisters?
- Haben wir sie direkt von der Person erhalten, oder hat sie in die Weitergabe ihrer Daten eingewilligt, als sie einen Vertrag mit einem Geschäftspartner geschlossen hat?
Diese Liste ist nicht abschließend.
Außerdem: Das Problem ist nicht nur das Finden der Daten. Es muss auch noch schnell gehen: Die Informationen sind unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags auf Auskunft zur Verfügung zu stellen (Art. 12 Abs. 3 S. 1 DSGVO). Ggfs. kann die Frist um 2 Monate verlängert werden, wobei das der betroffenen Person mitzuteilen ist.
Antworten auf Auskunftsanfragen schütteln die wenigsten aus dem Ärmel. Der Regelfall ist vielmehr, dass es beim Verantwortlichen hektisch wird, weil die Strukturen fehlen. Klare Verantwortlichkeiten und Prozesse, die den Beschäftigten überdies bekannt sein müssen, sind unerlässlich. Dass es hier an vielen Stellen Nachholbedarf gibt, ist allgemein bekannt und das wird ausgenutzt. So ist es im Arbeitsrecht inzwischen Standard, dass nach dem Ende eines Arbeitsverhältnisses die Rechtsanwälte der Arbeitnehmer zusammen mit arbeitsrechtlichen Ansprüchen auch solche datenschutzrechtlichen Anfragen stellen, um Druck aufzubauen und Verhandlungsmasse zu generieren. Viele Verantwortliche zahlen gern ein paar Euro Abfindung mehr, um nicht in den Aktenbindern im Archiv nach Unterlagen suchen zu müssen.
Recht auf Löschung
Das Auskunftsverlangen wird – gerade in diesen arbeitsrechtlichen Fällen – häufig kombiniert mit einer Aufforderung zur Löschung der eigenen personenbezogenen Daten. Damit die Daten gelöscht werden, müssen allerdings bestimmte Voraussetzungen vorliegen (Art. 17 Abs. 1 DSGVO).
Es muss einer der folgenden Löschungsgründe vorliegen:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt Widerspruch gegen die Verarbeitung zur Durchführung von Direktwerbung ein.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft von Kindern erhoben (z.B. für Online-Spiele oder soziale Netzwerke).
Außerdem darf keine der folgenden Ausnahmen greifen:
- Die Verarbeitung der Daten ist zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich.
- Die Verarbeitung ist erforderlich zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
- Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich.
- Die Verarbeitung ist für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich, soweit der genannte Löschungsgrund voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.
- Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
Nur in diesen Fällen hat der Verantwortliche die personenbezogenen Daten zu löschen, falls nicht gesetzliche Aufbewahrungsfristen einzuhalten sind, etwa aus dem Steuer- oder Handelsrecht.
Fazit
Für den Verantwortlichen ist der Aufwand dann noch höher als bei einer bloßen Auskunft: Er muss nämlich außerdem anhand der oben dargestellten Kriterien prüfen, ob er löschen muss oder nicht.
Wer nicht im Ernstfall den restlichen Betrieb liegenlassen und sich ausschließlich um die Beantwortung einer solchen Anfrage kümmern möchte, sollte Vorbereitungen treffen. Wie immer ist eine gute Organisation der Schlüssel zu einem entspannten und gesetzeskonformen Umgang mit personenbezogenen Daten.
Alle Beiträge der Reihe:
Teil 1 Datenschutzerklärung
Teil 2 Verzeichnis der Verarbeitungstätigkeiten (VVT)
Teil 3 Videoüberwachung
Sonderbeitrag 1: KI-generierte Datenschutzunterlagen
Teil 4 Vorgehen bei Datenpannen
Teil 5 Einwilligung bietet keine ultimative Sicherheit
Teil 6 Cookie-Banner
Teil 7 Auftragsverarbeitungsvertrag (AVV)
Teil 8 Vorgehen bei Betroffenenanfragen
Teil 9 Datenschutzbeauftragter (DSB)