Betroffenenanfragen im Datenschutz richtig behandeln
Im Datenschutz gibt es verschiedene Betroffenenrechte. Dazu gehört auch das Recht auf Auskunft, welches eine wichtige Rolle für den Betroffenen spielt. Andere Betroffenenrechte laut Datenschutzgrundverordnung (DS-GVO) sind zum Beispiel das Recht auf Information (bei Datenerhebung), das Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Datenübertragbarkeit oder das Recht auf Berichtigung.
Diese Rechte gelten für alle Betroffenen, deren personenbezogene Daten verarbeitet werden und stellen damit auch Pflichten für den Verantwortlichen im Datenschutz dar. Dabei ist es egal, welche Organisation personenbezogene Daten verarbeitet – Unternehmen, Schulen, Vereine, Praxen, Kitas, Kanzleien und so weiter müssen sich unabhängig von Branche und Größe an die Vorgaben im Datenschutz halten.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Recht auf Auskunft wichtiges Betroffenenrecht im Datenschutz
Für die Person, deren personenbezogene Daten verarbeitet werden, stellt das Recht auf Auskunft einen wichtigen Bestandteil dar. Dabei geht es darum, dass der Betroffene erst einmal erfahren kann, ob überhaupt Daten von ihm in irgendeiner Form verarbeitet werden.
Im nächsten Schritt bekommt der Betroffene dann auch die Auskunft, welche Daten genau verarbeitet werden.
Auch für Organisationen macht es Sinn, eine Betroffenenanfrage einmal durchzuspielen. Dabei können die entsprechenden Abläufe im Datenschutz getestet und somit überprüft werden. Die Fragestellungen, die dabei im Vordergrund stehen sollten zum Beispiel sein:
- Wo können Betroffenenanfragen gestellt werden?
- Wissen die entsprechenden Beteiligten, was zu tun ist? (z.B. Weiterleitung an Datenschutzbeauftragten, Identifizierung des Betroffenen) /Wissen alle über die Wichtigkeit von Betroffenenanfragen und die gesetzlichen Vorgaben Bescheid?
- Wie wird in der Organisation mit Betroffenenanfragen umgegangen, welche Mechanismen sind zu einer DS-GVO-konformen Bearbeitung notwendig?
- Funktionieren diese Mechanismen?
- Wie kann die DS-GVO-konforme Beantwortung von Betroffenenanfragen sichergestellt werden?
- Wo werden personenbezogene Daten in welchem Umfang verarbeitet?
- Sind Schutz und rechtmäßige Verarbeitung von personenbezogenen Daten gewährleistet?
Die Liste ließe sich sicher noch um einige Punkte erweitern.
BLOG-TIPP: UMGANG MIT BETROFFENENANFRAGEN FÜR UNTERNEHMEN IN NRW
Recht auf Auskunft – Grundlagen
Im ersten Schritt oder der ersten Stufe der Auskunft, kann jeder Betroffene erst einmal erfragen, ob bei der betreffenden Organisation überhaupt personenbezogene Daten über ihn vorliegen. In dem Fall, das keine personenbezogenen Daten verarbeitet wurden/werden, hat der Betroffene einen Anspruch auf das sogenannte „Negativtest“.
Ein falsches Negativtest kann dabei als Täuschungsversuch bewertet werden, daher sollte dieses nur mit größtmöglicher Sorgfalt ausgefüllt werden.
Werden oder wurden personenbezogene Daten verarbeitet, hat der Betroffene das Recht auf die Auskunft darüber, welche Daten verarbeitet werden und in welchem Umfang die Verarbeitung stattfindet. Dabei müssen die Daten in einer nachvollziehbaren Weise dargestellt werden. Darüber hinaus hat der Betroffene das Recht auf eine Kopie der Originaldaten, die verarbeitet werden, so zu sagen als Rohdaten.
Was muss eine Auskunft enthalten?
Werden personenbezogene Daten verarbeitet und verlangt der Betroffene Auskunft über diese Daten, ist die Auskunft innerhalb von einem Monat vom Verantwortlichen zu erteilen. Auch die Auskunft, das keine Daten verarbeitet werden, muss in diesem Zeitfenster bearbeitet werden. In der Auskunft müssen alle Daten aufgeführt werden, welche verarbeitet werden. Darüber hinaus muss eine Auskunft zum Beispiel den Zweck der Verarbeitung enthalten, den Verantwortlichen und andere wichtige Daten nach der Datenschutzgrundverordnung.
Besonders wichtig bei der Kopie der Rohdaten, ist darauf zu achten, dass keine personenbezogenen Daten anderer Personen weitergegeben werden. Auch Geschäftsgeheimnisse gehören zu diesen Daten und müssen nicht preisgegeben werden.
Was ist Datenverarbeitung nach DS-GVO?
Um zu wissen, welche Prozesse bei einer Betroffenenanfrage betrachtet werden müssen, sollten Verantwortliche genau wissen, wo personenbezogene Daten verarbeitet werden. Dabei ist es wichtig zu wissen, wann eine Datenverarbeitung überhaupt vorliegt. Im Datenschutz stellt nicht nur die Erhebung von personenbezogenen Daten eine Datenverarbeitung dar. Wörtlich heißt es in Artikel 4 der DS-GVO dazu:
2″Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […] Quelle: DS-GVO
Anders, als im Allgemeinen gedacht, zählt also nicht nur die Erfassung der personenbezogenen Daten zur Datenverarbeitung in der DS-GVO. Das muss bei Betroffenenanfragen und der Prüfung, ob personenbezogene Daten des Betroffenen verarbeitet werden, immer auch berücksichtigt werden.
BLOG-TIPP: WANN IST DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN ERLAUBT?
Auskunftsersuchen des Betroffenen – richtig reagieren ein Leitfaden
Ein gut organisierter Ablauf bei einem Auskunftsersuchen eines Betroffenen, ist sehr wichtig und kann Ärger und Probleme vermeiden. Daher sollte sich jede Organisation einen Leitfaden erstellen, wie bei einer Betroffenenanfrage reagiert werden sollte. Wir geben an dieser Stelle einige Anhaltspunkte zur Erarbeitung eines solchen Leitfadens:
- Unabhängig, wie und wo die Anfrage eingeht, muss bei der ersten Kontaktaufnahme der Name des Betroffenen, die Art des Ersuchens und eine Kontaktmöglichkeit bei möglichen Rückfragen erfasst werden. (Datenschutz beachten)
- Vor der Bearbeitung der Anfrage bzw. der Erstellung einer Auskunft, sollte geprüft werden, wer für diese Bearbeitung zuständig und autorisiert ist.
- Bevor Auskunft erteilt wird, muss zwingend eine Identitätsprüfung des Betroffenen durch die zuständige Person durchgeführt werden!
- Hat der Antragsteller ein Anrecht auf Auskunft, müssen Datenbanken und andere Bereiche auf die entsprechenden personenbezogenen Daten und die Prozesse der Verarbeitung hin geprüft werden.
- Werden keine Daten verarbeitet, muss dies ebenfalls dem autorisierten Antragsteller mitgeteilt werden.
- kann es nötig sein, entsprechende Auftragsverarbeiter zu informieren.
- Liegen alle Daten und Prozesse vor, sollten Sie eine, nach Artikel 15 Abs. 3-4 DS-GVO, ausreichende Auskunft erstellen und die Daten ggf. auf dem gewünschten Weg an den Betroffenen übermitteln.
- Wünscht der Betroffene eine Datenkopie, sollten Sie diese ebenfalls nach den Vorgaben der DS-GVO erstellen.
Es empfiehlt sich eine Check-Liste und einen Ablaufplan für Betroffenenanfragen zu erstellen, sowie alle Mitarbeiter über die Vorgaben zu informieren.
Recht auf Auskunft ersetzt nicht die Informationspflichten
Ein weiteres Betroffenenrecht im Datenschutz ist das Recht auf Information. Dies verpflichtet den Verantwortlichen, jeden Betroffenen über die Verarbeitung seiner personenbezogenen Daten in einem ausreichenden Maße zu informieren. Von Seiten des Verantwortlichen besteht also die sogenannte Informationspflicht.
Das Recht auf Auskunft und das Recht auf Information heben sich dabei nicht auf. Die Informationspflicht des Verantwortlichen bzw. das Recht auf Information muss immer am Anfang der Datenerhebung ohne Anfrage des Betroffenen angewendet werden. Dem Recht auf Auskunft muss auf individuelle Anfrage und bezogen auf die individuellen Daten des Betroffenen nachgekommen werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – INFORMATIONSPFLICHTEN FÜR BETROFFENE
Recht auf Auskunft – Datenschutzbeauftragten immer informieren
Damit der Datenschutz gemäß den gesetzlichen Vorgaben bei einem Auskunftsersuchen durch Betroffene ausreichend umgesetzt wird, sollte immer der (externe) Datenschutzbeauftragte informiert und in alle Vorgänge involviert werden. Betroffenenanfragen sind im Datenschutz wichtige Maßnahmen, um den Betroffenen die Möglichkeit zu geben, seine Rechte im Datenschutz ausreichend geltend zu machen. Sie dienen auch als Grundlage für weitere Betroffenenrechte.
Betroffenenrechte müssen immer mit größter Sorgfalt und unter Einbeziehung des (externen) Datenschutzbeauftragten behandelt werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.