DSGVO-konformen Umgang mit Betroffenenrechten sicherstellen
Nach Artikel 15 DSGVO besteht das Recht auf Auskunft für die betroffene Person. Eine Betroffenenauskunft umfasst, auf Verlangen des Betroffenen, eine Kopie aller personenbezogenen Daten, die das Unternehmen über den Betroffenen besitzt. Dazu zählt aber auch wie und wo diese Daten verarbeitet werden, woher die Daten stammen, wohin der Verantwortliche sie übermittelt und wie lange sie voraussichtlich verarbeitet werden. Dies kann bei einem (ehemaligen) Mitarbeiter schon sehr umfassend werden, wenn man z. B. nur den (internen) E-Mail-Verkehr bedenkt.
Artikel 16 DSGVO sichert dem Betroffenen das Recht auf Berichtigung zu. Konkret: Personenbezogene Daten, die fehlerhaft sind, muss der Verantwortliche korrigieren, wenn es die betroffene Person verlangt. Auch dies ist nicht immer trivial, schließlich ist die Richtigkeit nicht immer so einfach zu beurteilen wie die Hausnummer der Wohnanschrift.
Das Recht auf Löschung ist in Artikel 17 DSGVO verankert. Die betroffene Person kann verlangen, dass der Verantwortliche und die möglichen Datenempfänger ihre personenbezogenen Daten löschen. Allerdings muss dieser Anspruch ausschließlich dann umgesetzt werden, wenn die weitere Verarbeitung nicht mehr erforderlich ist.
Das Recht auf Einschränkung gem. Artikel 18, das Recht auf Widerspruch nach Artikel 21 DSGVO, das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO), sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde nach Artikel 22 DSGVO sind weitere zentrale, aber längst nicht alle Betroffenenrechte.
Übrigens: Über diese Rechte muss die betroffene Person informiert werden, schließlich bestehen auch sog. „Informationspflichten“ gemäß Artikel 13 und 14 DSGVO.
Wie geht nun ein Unternehmen mit einer Anfrage oder einem Antrag eines Betroffenen korrekt um?
Um Datenpannen zu vermeiden, muss sichergestellt werden, dass die Anfrage tatsächlich vom Betroffenen erfolgt. Stichwort: Verifizierung. Mit einem Mechanismus innerhalb des Unternehmens muss sichergestellt werden, dass kein Dritter personenbezogene Daten erhalten kann. Dies kann durch das Vorlegen eines Personalausweises oder anderer eindeutiger Ausweisdokumente oder durch das persönliche Erscheinen erreicht werden; doch dies muss im Einzelfall beurteilt werden, schließlich darf die Hürde für die betroffene Person nicht zu hoch gelegt werden.
Daneben kommt der Dokumentation eine große Bedeutung zu. Nach Eingang einer Betroffenenanfrage sollte der Eingangszeitpunkt vermerkt werden. In einem zweiten Schritt sollte der Eingang der Anfrage bestätigt werden und dies idealerweise binnen einer Woche. Die zeitnahe Bestätigung gilt es ebenfalls zu dokumentieren. Apropos Zeit: Die DSGVO sichert dem Betroffenen eine „unverzügliche“, in jedem Fall aber eine zur Verfügungstellung der Informationen innerhalb eines Monats zu. Diese Frist sollte unbedingt eingehalten werden. Allerdings ist unter gewissen Umständen eine Fristverlängerung möglich, aber auch hierüber sollte der Betroffene innerhalb der 4-Wochen-Frist informiert werden. „Unternehmen sollten den Eingang von Betroffenenanfragen oder -anträgen zentralisieren. Hierfür bietet sich in der Regel der Datenschutzbeauftragte an. Allerdings ist daneben eine Sensibilisierung der gesamten Belegschaft bei Anfragen oder Anträgen von Betroffenen erforderlich, damit eine rechtzeitige Unternehmensreaktion sichergestellt ist. Ein Mix aus guter Organisation und betrieblicher Wachsamkeit verhindert Verfristungen“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein eine Doppelstrategie. Übrigens: Für die Übersendung der angefragten Informationen an den Betroffenen ist ein sicheres Verfahren zu nutzen. In der Regel sollte der Postweg gewählt werden. Eine telefonische Beantwortung sollte auf keinen Fall erfolgen.
Generell sollte die Frist nicht unterschätzt werden. Zunächst sollte über das Verzeichnis von Verarbeitungstätigkeiten (VvV) herausgefunden werden, wo überall Daten zur betroffenen Person verarbeitet werden. Dann sind diese Daten zusammenzutragen. Eine Betroffenenauskunft umfasst auf Verlangen des Betroffenen eine Kopie aller personenbezogenen Daten, die das Unternehmen über den Betroffenen besitzt (inkl. beispielsweise E-Mails von und an den Betroffenen sowie über den Betroffenen). Im Zweifel sind dies alle Daten über die betroffene Person samt allen Verarbeitungsvorgängen und über alle Abteilungsgrenzen hinweg aus allen Datenverarbeitungsprogrammen. Sollten in diesen Unterlagen personenbezogene Informationen zu anderen Personen oder zu Geschäftsgeheimnissen enthalten sein, müssen diese unkenntlich gemacht werden. Vor dem Versand sollten die Ergebnisse noch einmal auf Richtigkeit und Vollständigkeit überprüft werden. Dies braucht erfahrungsgemäß einige Zeit.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de