Seit Ende Mai 2018 ist die neue Datenschutzgrundverordnung, kurz DSGVO in Kraft getreten. Damit kommen auf kleine und große Unternehmen neue bürokratische Aufgaben zu, denn Verbrauchern werden im Allgemeinen mehr Rechte im Hinblick auf Information und Eingriff in die Speicherung ihrer persönlichen Daten zugesprochen.
Da im Falle einer Missachtung oder Zuwiderhandlung enorme Geldbußen drohen, sollte allen, die in irgendeiner Weise von dem neuen Gesetz betroffen sind, klar sein, was dies bedeutet und wie darauf zu reagieren ist.
Die wichtigsten Fakten zum Thema sind deshalb im Folgenden kurz und verständlich zusammengetragen.
Wer sind Betroffene und welche Rechte haben diese?
Mit den Betroffenen sind in diesem Kontext alle Personen gemeint, deren Daten in irgendeiner Weise verarbeitet wurden, beispielsweise durch Anmeldung in einem Onlineshop, Herunterladen einer App oder Anlegen eines Kundenkontos. Es gibt eine Vielzahl an weiteren Möglichkeiten, bei denen Datenverarbeitung eine Rolle spielt. Um für Betroffene dennoch Datenschutz zu gewährleisten, sind deren Rechte in der Datenschutz-Grundverordnung (DSGVO) klar definiert.
Ein Kunde oder eine sonstige betroffene Person hat gemäß Artikel 15 das Recht auf umfangreiche Information über die personenbezogenen gespeicherten Daten. Dies beinhaltet
1. Auskunft über die Verarbeitungszwecke der Daten
2. Mitteilung über die Kategorien dieser Daten
3. Information darüber, an welche Empfänger die personenbezogenen Daten bereits weitergeleitet wurden oder in Zukunft übermittelt werden sollen
4. Auskunft über die Kriterien zur Dauer der Datenspeicherung
5. Mitteilung über die Herkunft der personenbezogenen Daten.
Jeder Betroffene hat also grundsätzlich die Möglichkeit, durch eine Betroffenenanfrage diese Informationen einzufordern. Auch wenn keine gespeicherten Daten vorliegen, muss darüber rechtsverbindlich informiert werden, sobald eine Anfrage eingeht.
Laut Gesetz werden Betroffenen darüber hinaus noch weitere Rechte im Bezug auf seine persönlichen Daten eingeräumt. Sind falsche Angaben hinterlegt, besteht das Recht der Berichtigung. Auf Wunsch müssen die Daten gemäß Artikel 17 gelöscht werden. Auch einer einst erteilten Einwilligung kann im Nachhinein jederzeit rechtskräftig widersprochen werden.
Die Daten müssen außerdem auf Aufforderung eines Betroffenen hin vollständig und in gängigem Dateiformat an diesen übertragen werden.
Was sind Betroffenenanfragen und wie ist im Fall einer solchen Anfrage vorzugehen?
Eine Betroffenenanfrage liegt bereits vor, wenn ein Betroffener Informationen zu personenbezogenen Daten anfordert das Löschen dieser Daten verlangt. Dies muss nicht in einer bestimmten Form oder unter Angabe von Gründen erfolgen.
Der Verantwortliche, der Daten gespeichert oder verarbeitet hat, ist nun in der Pflicht zu handeln.
Im Grunde ist eine Frist von längstens einem Monat bis zur Übermittlung der Auskunft vorgesehen. Unter Angabe plausibler Gründe kann diese Frist jedoch in Einzelfällen bis auf 3 Monate ausgedehnt werden.
Um Anfragen möglichst schnell und mit geringstmöglichem Aufwand bearbeiten zu können, empfiehlt es sich, alle personenbezogenen Informationen nach Vorgaben der DSGVO vollständig gespeichert und sicher verwahrt zu haben.
Mitarbeiter eines Unternehmens sollten bereits im Vorfeld geschult werden, was im Falle von eintreffenden Betroffenenanfragen zu tun ist.
Als erstes sollte die Anfrage selbst auf folgende Punkte hin geprüft werden:
- Sind tatsächlich Daten der Person im System hinterlegt?
- Kann der Antragsteller eindeutig als Betroffener bzw. als Bevollmächtigter des Betroffenen identifiziert werden? Nach Eingang der Anfrage kann idealerweise im nächsten Schritt die Auskunft an den Antragsteller erfolgen, dass der Antrag nun bearbeitet wird. Dann sollte der Antrag sorgfältig und Punkt für Punkt abgehakt werden.
- Welche Daten fragt der Betroffene ab? Welches Anliegen verfolgt der Betroffene mit seinem Antrag?
Außerdem ist es wichtig, den Anfragenden schriftlich über seine Rechte aufzuklären, etwa darüber, dass dieser auch die Aufsichtbehörde hinzuziehen kann.
Die Dokumentation des gesamten Vorganges sollte innerhalb des Unternehmens abgelegt oder gespeichert werden
Die Aufsichtsbehörde kann innerhalb eines Jahres nach Bearbeitung eines Antrages jederzeit Einblicke in die Anfrage und die Handhabung verlangen.
Daher ist eine sorgfältige Bearbeitung sowie gewissenhafte Dokumentation sehr wichtig und kann hohe Bußgelder ersparen.