Betroffenen­anfragen - in 5 leichten Steps

Wir starten mit einem aufschlussreichen Fakt: Der Sinn und Zweck der Europäischen Datenschutz-Grundverordnung (DSGVO) ist es mitnichten, personenbezogene Daten zu schützen. Vielmehr geht es in der Regelung grundsätzlich darum, die Grundrechte der betroffenen Personen zu wahren. Das ist tatsächlich ein wichtiger Punkt, wenn wir uns mit Betroffenenanfragen auseinandersetzen. Gemeint ist vordergründig das Auskunftsrecht von natürlichen Personen. Diese dürfen gemäß Art. 15 DSGVO jederzeit bei einer Organisation nachfragen, ob, was und wie etwas mit ihren personenbezogenen Daten geschieht.

Rechtlich gesehen ergibt sich daraus ein interessantes Spannungsfeld: Es geht hierbei nicht nur um gedruckte Informationen oder digital abgelegte Datensätze. Das Auskunftsrecht ist viel näher am Menschen dran und meint, dass Personen das Recht haben, von den Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Das macht das Bearbeiten von Betroffenenanfragen zu einer bisweilen recht aufwändigen, immer individuell zu lösenden Aufgabe. Vielen Organisationen ist dabei oft nicht klar, wie mit einer Betroffenenanfrage rechtssicher umzugehen ist.

Wie immer gilt beim Datenschutzmanagement: Ein effizienter Prozess ist das Fundament, ohne das nichts geht. Das trifft nicht zuletzt auf die Abwicklung von Betroffenenanfragen zu. So ist es wichtig, jenen, die von Art. 15 DSGVO Gebrauch machen, möglichst schnell eine Übersicht über die Vorgänge zu geben, die sie datenschutzrechtlich betreffen. Dafür bedarf es einer klaren Übersicht und einer strukturierten, transparenten Wissensbasis  – und natürlich auch klarer Datenschutzprozesse im Hintergrund, die dies gewährleisten.

Erforderlich ist ein gut definierter Prozess außerdem, um gut auf behördliche Prüfungen vorbereitet zu sein. Aktuell gehen die Datenschutzbehörden dazu über, Betroffenenanfragen eingehender zu betrachten. Wer hier zuvor nachlässig gearbeitet hat, hat dann ein Problem. Wer hingegen datenschutztechnisch stets vorbildlich agiert, macht alles richtig und hat somit wenig bis nichts zu befürchten.

Gut zu wissen

Neben dem Auskunftsrecht kennt die Europäische Datenschutz-Grundverordnung noch weitere Betroffenenrechte. Diese bilden einen Rechtekatalog, der sich von Art. 15 bis Art. 22 DSGVO erstreckt:

In der o.g. Liste ist Art. 19 DSGVO nicht aufgeführt. Bei diesem Artikel handelt es sich im engeren Sinne nicht um ein Betroffenenrecht. Tatsächlich ist hier rechtlich verankert, dass Organisationen eine Auskunftspflicht über die Berichtigung oder Löschung personenbezogener Daten haben. Im Umkehrschluss ergibt sich aus dieser Mitteilungspflicht allerdings ein entsprechender Auskunftsanspruch für Betroffene.

Betroffene dürfen ihre Ansprüche auf Auskunft jederzeit kostenfrei geltend machen – ein formloser Antrag beispielsweise per E-Mail oder Brief an die verantwortliche Organisation genügt. Theoretisch ist ebenfalls ein mündliches Ersuchen via Telefon möglich. In jedem Fall sollte die Antwort auf eine Betroffenenanfrage prägnant, transparent und für die anfragende Person verständlich sein. Wer konkret von der Verarbeitung seiner personenbezogenen Daten betroffen ist, der reagiert unter Umständen sensibel auf das Thema. Deshalb ist bei Betroffenenrechten stets Fingerspitzengefühl gefragt. Schließlich präsentieren sich Organisationen auch mit Auskünften nach außen. Eine transparente, freundliche und übersichtliche Auskunft gehört also zum erfolgreichen Reputationsmanagement einer Organisation.

Eine Betroffenenanfrage formal korrekt, kompetent und ausführlich zu beantworten, ist leichter als gedacht - vorausgesetzt, man beachtet einige wichtige Schritte. Unsere Anleitung gibt einen strukturierten Überblick, wie Datenschutzexpert:innen Anfragenden Auskunft erteilen und dabei auf der (rechts-)sicheren Seite bleiben können. Wichtig: Dieser Vorgang ist als Ergänzung bestehender Richtlinien zu verstehen und sollte sich wie viele andere Prozesse in die gelebte Datenschutzpraxis von Unternehmen integrieren.

Datenschutzverantwortliche sind im Regelfall nicht die erste Instanz in einer Organisation, mit der Anfragende in Kontakt treten. Deshalb muss die Betroffenen­anfrage erstmal zum Datenschutz­expertIn weitergeleitet werden. Um sicherzustellen, dass jede Betroffenenanfrage zuverlässig den Datenschutz­beauftragten erreicht, ist es hilfreich, eine zentrale E-Mail-Adresse einzurichten, an die alle Betroffenenanfragen gesendet werden. Diese Adresse sollte regelmäßig überprüft werden, um sicherzustellen, dass keine Anfrage übersehen wird.

Noch einfacher ist es, ein Formular auf der eigenen Website zur Verfügung zu stellen, über das betroffene Personen direkt Anfragen stellen können und dann automatisch die Anfragen in das DSMS überträgt.

Darüber hinaus ist es wichtig, alle Mitarbeitenden regelmäßig in Bezug auf den Umgang mit Betroffenenanfragen zu schulen. Alle Mitarbeitenden sollten stets wissen, wie eine solche Anfrage aussieht und an wen sie weitergeleitet werden muss.

Klare interne Richtlinien und Verfahren, die den genauen Umgang mit Betroffenen­anfragen beschreiben, sollten in einem leicht zugänglichen internen Handbuch oder Prozessleitfaden festgehalten sein. Ein automatisiertes Ticketsystem kann zusätzlich dabei helfen, jede eingehende Anfrage sofort an das Datenschutzteam weiterzuleiten. Um die Wirksamkeit dieser Maßnahmen zu gewährleisten, empfiehlt es sich, diese Prozesse in regelmäßigen Abständen zu überprüfen.

Die korrekte Identifikation der betroffenen Person ist der nächste, wichtige Schritt im Prozess. Um sicherzustellen, dass die Anfrage legitim ist, kann die Identität der Person durch die Anforderung einer Kopie eines amtlichen Ausweisdokuments oder einer aktuellen Rechnung verifiziert werden. Eine weitere Möglichkeit ist die Verwendung von Sicherheitsfragen, deren Antworten nur die betroffene Person kennen sollte. Für zusätzlichen Schutz kann eine Zwei-Faktor-Authentifizierung implementiert werden, die den Zugang zu persönlichen Daten nur nach einer weiteren Bestätigung erlaubt.

Es ist wichtig, eine sorgfältige Abwägung vorzunehmen, wie die Identität der betroffenen Person am besten verifiziert werden kann, um sicherzustellen, dass die Antwort tatsächlich nur die betroffene Person erreicht. In vielen Fällen ist es ratsam, den Datenschutzbeauftragten zu konsultieren, um die geeigneten Maßnahmen zu bestimmen.

Datenschutzfreundliche Alternativen könnten beispielsweise die persönliche Vorsprache oder eine notarielle Beglaubigung sein, je nach Umfang und Sensibilität der angefragten Daten. Dabei ist es empfehlenswert, den Datenschutzbeauftragten in diesen Prozess mit einzubeziehen, um sicherzustellen, dass die gewählte Methode sowohl datenschutzrechtlich sicher als auch benutzerfreundlich ist.

Um sicherzustellen, dass die Fachbereiche effektiv eingebunden sind und die gesetzlichen Fristen eingehalten werden, sollten klare Zuständigkeiten und Verantwortlichkeiten definiert werden. Jeder Bereich sollte genau wissen, welche Informationen und Daten er liefern muss. Dokumentierte Prozesse und klare Workflows, die den Ablauf von Betroffenenanfragen von der Erfassung bis zur Antwort beschreiben, sind hierbei unerlässlich. Regelmäßige Meetings oder Updates mit den beteiligten Fachbereichen helfen, den Status der Anfragen zu überwachen und mögliche Engpässe zu identifizieren. Ein Monitoring- und Reporting-System unterstützt zusätzlich bei der Überwachung der Fristeneinhaltung.

Sind die eben beschriebenen Aufgaben erledigt, muss herausgefunden werden, inwiefern personenbezogene Informationen des Antragsstellers oder der Antragsstellerin in die Verarbeitungstätigkeiten der Organisation eingebunden sind. Hierbei empfehlen wir, einen genauen Blick in das idealerweise gründlich gepflegte Verzeichnis für Verarbeitungstätigkeiten (VVT) zu werfen. Je nach Einzelfall wird zusätzlich die für die Verarbeitungstätigkeit zuständige Abteilung und deren MitarbeiterInnen bei der Recherche hinzugezogen. Zunächst jedoch ist die betroffene Person innerhalb der existierenden Datenbestände eindeutig zu identifizieren.

Wurden alle Verarbeitungstätigkeiten sowie Datenbestände, die im Zusammenhang mit der antragstellenden Person stehen, ermittelt, wird eine übersichtliche Liste für den oder die Anfragende erstellt. Gemäß Art. 15 Absatz 3 DSGVO muss eine Kopie der betroffenen personenbezogenen Daten bereitgestellt werden. Je nach Anfrage können zudem folgende Informationen relevant sein:

Außerdem müssen Antragstellende über ihr Recht auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten aufgeklärt werden. Je nach Umfang kann es dabei passieren, dass Änderungen am Datenbestand vorgenommen werden müssen, die unverzüglich zu erledigen sind.

Sobald das Antwortschreiben erstellt wurde, wird die Antwort zum Abschluss idealerweise zeitnah im Anschluss versendet. Der gesamte Vorgang sollte abschließend sorgfältig dokumentiert werden.

Beim Versand von Antwortschreiben sollten Datenschutz und Datensicherheit oberste Priorität haben. Der Versand per E-Mail ist gängig, jedoch sollte sichergestellt werden, dass die E-Mails verschlüsselt sind. Das BSI gibt stets aktuelle Empfehlungen, wie im Stand Juni 2024 z. B. das AES (Advanced Encryption Standard)-Verschlüsselungsverfahren. Unter diesem Link sind stets die aktuellen BSI-Empfehlungen zu finden. Gängige Verschlüsselungsverfahren wie PGP (Pretty Good Privacy) oder S/MIME (Secure/Multipurpose Internet Mail Extensions) können hier einen Basis-Schutz bieten.

Wenn eine E-Mail-Verschlüsselung nicht möglich ist, können Dokumente in einem passwortgeschützten Anhang versendet werden, wobei das Passwort über einen separaten Kommunikationskanal wie SMS oder Telefon übermittelt wird. Für besonders sensible Informationen kann der Versand per eingeschriebenem Brief eine sichere Alternative sein. Darüber hinaus können Unternehmen den Betroffenen den Zugriff auf ihre Informationen über ein sicheres Online-Portal anbieten, auf das sie nur mit entsprechender Authentifizierung zugreifen können.

Die professionelle Behandlung von Betroffenenanfragen ist von größter Bedeutung, da hinter einer jeden Anfrage echte Menschen mit berechtigten Rechtsansprüchen stehen. Eine korrekte und umfassende Auskunft ist essentiell, um die Aufgaben als Datenschutzbeauftragte/r vorbildlich zu erfüllen. Angesichts der aktuellen Überprüfungen zahlreicher Unternehmen durch den Europäischen Datenschutzausschuss ist dies besonders relevant. Zudem profitieren Unternehmen davon, wenn die Mitteilungspflichten fristgerecht und kompetent erfüllt werden.

Eine zeitnahe, freundliche und umfassend beantwortete Betroffenenanfrage kann dazu beitragen, eine möglicherweise verunsicherte oder verärgerte Person zufriedenzustellen und ihr Bild vom Unternehmen positiv zu beeinflussen. Dies zeigt deutlich, dass Datenschutz nicht nur ein rechtliches Thema ist, sondern auch eine hohe reputationsrelevante Komponente hat.

Eine gute Dokumentation und schnelle Prozesse verdeutlichen, dass Datenschutz Sicherheit und Vertrauen in eine Marke oder ein Unternehmen schafft – vorausgesetzt, es existiert ein gut aufgesetztes Datenschutzmanagement.

Abschließend weisen wir auf  das neue caralegal Feature speziell für Betroffenenanfragen hin. Für weitere Informationen steht unser Produktteam gerne zur Verfügung.

Dennis Kurpierz

Co-Founder & COO von caralegal

Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.