1. Einstieg
Nach Artikel 15 DSGVO und § 34 BDSG und haben betroffene Personen (so werden im Datenschutzrecht Personen genannt, deren Daten verarbeitet werden) ein Recht auf Informationen. Somit dürfen sie jederzeit Unternehmen, die deren Daten verarbeiten, zur Auskunftserteilung auffordern. Viele Menschen wenden sich an Unternehmen mit einer Betroffenenanfrage. Sie fordern die Unternehmen dadurch auf, Hintergrundinformationen über die Verarbeitung ihrer personenbezogenen Daten und die Art der Daten zu erhalten.
Der richtige Umgang mit Betroffenenanfragen ist ein wichtiger Bestandteil eines guten Datenschutz-Managementsystems. Daher ist es für Ihr Unternehmen wichtig, ein routiniertes Vorgehen zu entwickeln, um diesen Prozess bestmöglich zu optimieren und zu beschleunigen. Fehler bei der Bearbeitung von Betroffenenanfragen können sehr teuer werden. Es kann ein hohes Bußgeld gegen Ihr Unternehmen verhängt werden, wenn Sie Betroffenenanfragen ignorieren oder zu spät beantworten. Aufsichtsbehörde müssen in jedem Fall tätig werden, wenn sich ein Betroffener an sie wendet. Dies kann bei ernsthaften Problemen zu einer behördlichen Prüfung führen, die bei mangelnder Vorbereitung sehr teuer werden kann. Sie sollten also Betroffenenanfragen immer innerhalb von spätestens einem Monat beantworten können und dafür einen organisatorischen Prozess vorhalten. Doch wie unterscheidet man Betroffenenanfragen von anderen Anfragen? Wie legitimiert man diese und wie geht man am besten damit um?
2. Betroffenenanfragen erkennen
Die Herausforderung für Unternehmen ist die Betroffenenanfrage überhaupt zu erkennen. Die meisten Betroffenen sind keine Juristen oder Datenschutzexperten. Daher kennen sie die gebräuchlichen Begriffe nicht. Meistens sind einige Hinweise in den Anfragen der betroffenen Personen enthalten, die auf eine Betroffenenanfrage deuten kann.
Beispiele
- “Ich habe eine Frage bzgl. Datenschutz“
- “Ich möchte etwas zum Umgang mit meinen Daten wissen”
- “Woher haben Sie meine Daten”
- “Bitte berichten Sie folgende Angaben zu meiner Person”
- Person droht mit Anwalt, Abmahnung oder Meldung an Datenschutzbehörde
- Person fragt nach dem Datenschutzbeauftragten
- …
Zuordnung
Betroffene haben verschiedene Rechte. Daher ist in den Anfragen genau darauf zu achten, was der Betroffene wirklich mit seiner Anfrage erreichen möchte. Diese Formulierungen geben auch Auskunft über den Antragstyp der Anfrage:
- Das Recht auf Datenlöschung
- Das Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht gegen eine zuvor erteilte Einwilligung
- Das Recht auf Auskunft
3. Betroffenenanfragen legitimieren
Die Legitimation einer Betroffenenanfrage muss sofort erfolgen. Erst wenn der Verantwortliche die Identität zu 100 % verifiziert hat, sollte er Auskunft erteilen. Dafür gibt es unterschiedliche Möglichkeiten und Schritten die man nutzen kann, um die Identität der Person zu bestätigen.
Name, Geburtsdatum und Adresse sind auf keinen Fall ausreichend, denn diese können von Fremden aus sozialen Medien entnommen werden. Es ist daher wichtig zusätzliche Informationen zu erfragen, die nur das Unternehmen und die betroffene Person kennen können. Hier sind Paar Beispiele:
- Ausweisung durch vorher festgelegte Kennwörter (Telefon-PIN, etc.)
- Spezielle Kunden / oder Patienten IDs
- Offizielle Dokumente (Personalausweis, Versichertennummer auf Krankenkassenkarte, etc.)
- hinterlegte Rufnummer als sicheres Kennzeichen
- Informationen von unterschiedlichen unabhängigen Quellen
4. Auf Betroffenenanfragen reagieren
Folgende Tipps sollten Ihnen dabei helfen, den Umgang mit Betroffenenanfragen zu standardisieren.
- Die Beantwortung auf Betroffenenanfragen sollte immer schriftlich oder ggf. auch elektronisch erfolgen und auf keinen Fall telefonisch! Es hat sich etabliert dem Betroffenen auf dem Weg zu antworten, auf dem er angefragt hat.
- Laut DSGVO muss die Antwort präzise, deutlich und verständlich sein, sodass der Betroffene es verstehen kann.
- Das gesamte Vorgehen und die gesamte Kommunikation muss dokumentiert werden.
- Die Antwort sollte innerhalb eines Monats nach Eingang der Anfrage erfolgen.
- Wenn die Anfrage nicht erfüllt werden kann, muss die betroffene Person darüber informiert werden.
- Sollte die Anfrage bei einem Auftragsverarbeiter eingehen, so muss dieser sie nicht beantworten, sondern an den Verantwortlichen weiterleiten.
- Die Informationen müssen verschlüsselt werden. Dafür kommen verschlossene Briefe, verschlüsselte Datenträger, mit Passwörtern geschützte Portale oder verschlüsselte E-Mail-Anhänge in Frage.
5. Fazit
Das Thema Betroffenenanfrage ist recht kompliziert und kann zu hohen Bußgeldern führen. Daher ist es wichtig einen detaillierten Prozess in seinem Datenschutz-Managementsystem oder Datenschutz-Handbuch zu etablieren. Dort sollte genau festgelegt werden, wer für was zuständig ist und wie die Anfragen abzuarbeiten sind. Wir als Ihr Datenschutzbeauftragter kümmern uns genau um so einen Prozess, der auf Ihr Unternehmen abgestimmt ist. So müssen Sie keine Angst vor Betroffenenanfragen haben.