Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

 Betroffenen­anfragen leicht managen - der Guide

In unserer stark von personenbezogenenen Daten geprägten digitalen Welt, sehen sich Unternehmen zunehmend mit Anfragen von betroffenen Personen konfrontiert, die wissen möchten, welche Daten über sie gespeichert sind, wie diese verwendet werden und welche Rechte sie hinsichtlich dieser Daten geltend machen können. Der korrekte Umgang mit solchen Anfragen ist nicht nur aus rechtlicher Sicht unerlässlich, sondern trägt auch maßgeblich zur Vertrauensbildung und Kundenzufriedenheit bei.
In diesem Blogartikel werfen wir einen genauen Blick auf den Prozess, wie Unternehmen effektiv und effizient auf Betroffenenanfragen reagieren können. In unserer Schritt-für-Schritt-Anleitung vermitteln wir, wie Betroffenenanfragen souverän bearbeitet werden können.

von Dennis Kurpierz, Co-Founder & COO
Betroffenenanfragen - der Guide

Betroffenenrechte und DSGVO: die Grundlagen

Wir starten mit einem aufschlussreichen Fakt: Der Sinn und Zweck der Europäischen Datenschutz-Grundverordnung (DSGVO) ist es mitnichten, personenbezogene Daten zu schützen. Vielmehr geht es in der Regelung grundsätzlich darum, die Grundrechte der betroffenen Personen zu wahren. Das ist tatsächlich ein wichtiger Punkt, wenn wir uns mit Betroffenenanfragen auseinandersetzen. Gemeint ist vordergründig das Auskunftsrecht von natürlichen Personen. Diese dürfen gemäß Art. 15 DSGVO jederzeit bei einer Organisation nachfragen, ob, was und wie etwas mit ihren personenbezogenen Daten geschieht.

Rechtlich gesehen ergibt sich daraus ein interessantes Spannungsfeld: Es geht hierbei nicht nur um gedruckte Informationen oder digital abgelegte Datensätze. Das Auskunftsrecht ist viel näher am Menschen dran und meint, dass Personen das Recht haben, von den Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Das macht das Bearbeiten von Betroffenenanfragen zu einer bisweilen recht aufwändigen, immer individuell zu lösenden Aufgabe. Vielen Organisationen ist dabei oft nicht klar, wie mit einer Betroffenenanfrage rechtssicher umzugehen ist.

Event Info

Melden Sie sich heute noch für unser spannendes, kostenfreies Webinar zum Thema "Best Practices bei Betroffenenanfragen" an. Am 25. Juli 2024 erfahren Sie um 14.30 Uhr im Livestream von den erfahrenen Privacy Experts Björn Möller (CEO caralegal) und Jacqueline Neiazy (ISiCO Datenschutzberatung), wie Prozesse und smarte Tools Betroffenenanfragen zum Kinderspiel machen.  Jetzt anmelden: Anmeldelink

Das Auskunftsrecht und Betroffenen­anfragen in der Praxis

Wie immer gilt beim Datenschutzmanagement: Ein effizienter Prozess ist das Fundament, ohne das nichts geht. Das trifft nicht zuletzt auf die Abwicklung von Betroffenenanfragen zu. So ist es wichtig, jenen, die von Art. 15 DSGVO Gebrauch machen, möglichst schnell eine Übersicht über die Vorgänge zu geben, die sie datenschutzrechtlich betreffen. Dafür bedarf es einer klaren Übersicht und einer strukturierten, transparenten Wissensbasis – und natürlich auch klarer Datenschutzprozesse im Hintergrund, die dies gewährleisten. 

Erforderlich ist ein gut definierter Prozess außerdem, um gut auf behördliche Prüfungen vorbereitet zu sein. Aktuell gehen die Datenschutzbehörden dazu über, Betroffenenanfragen eingehender zu betrachten. Wer hier zuvor nachlässig gearbeitet hat, hat dann ein Problem. Wer hingegen datenschutztechnisch stets vorbildlich agiert, macht alles richtig und hat somit wenig bis nichts zu befürchten.

Gut zu wissen:

Der Europäische Datenschutzausschuss (EDSA) führt derzeit eine europaweite Kontrollaktion durch. Geprüft wird, ob Organisationen dem Auskunftsrecht nach Artikel 15 tatsächlich in der Praxis Folge leisten. Außerdem wird der Bedarf an weiteren Hilfestellungen zu einzelnen Aspekten wie Leitlinien oder Sensibilisierungsmaßnahmen erfasst. Der Ausschuss hat hierfür einen Fragenkatalog veröffentlicht. Dieser gibt einen interessanten Einblick in dessen Herangehensweise. Der Katalog kann genutzt werden, um die unternehmenseigenen Prozesse zur Gewährleistung von Betroffenenrechten zu überprüfen – und um sich auf eine Kontrolle vorzubereiten. Der Fragebogen (in englischer Sprache) ist hier kostenlos erhältlich: Coordinated Enforcement Framework Action 2024: implementation of the right of access by controllers.

Die Betroffenenrechte im Überblick

Neben dem Auskunftsrecht kennt die Europäische Datenschutz-Grundverordnung noch weitere Betroffenenrechte. Diese bilden einen Rechtekatalog, der sich von Art. 15 bis Art. 22 DSGVO erstreckt:

Art. 17 – Recht auf Löschung (das sogenannte „Recht auf Vergessenwerden“)

Art. 21 – Widerspruchsrecht

In der o.g. Liste ist Art. 19 DSGVO nicht aufgeführt. Bei diesem Artikel handelt es sich im engeren Sinne nicht um ein Betroffenenrecht. Tatsächlich ist hier rechtlich verankert, dass Organisationen eine Auskunftspflicht über die Berichtigung oder Löschung personenbezogener Daten haben. Im Umkehrschluss ergibt sich aus dieser Mitteilungspflicht allerdings ein entsprechender Auskunftsanspruch für Betroffene.

So können Betroffene ihr Recht in Anspruch nehmen

Betroffene dürfen ihre Ansprüche auf Auskunft jederzeit kostenfrei geltend machen – ein formloser Antrag beispielsweise per E-Mail oder Brief an die verantwortliche Organisation genügt. Theoretisch ist ebenfalls ein mündliches Ersuchen via Telefon möglich. In jedem Fall sollte die Antwort auf eine Betroffenenanfrage prägnant, transparent und für die anfragende Person verständlich sein. Wer konkret von der Verarbeitung seiner personenbezogenen Daten betroffen ist, der reagiert unter Umständen sensibel auf das Thema. Deshalb ist bei Betroffenenrechten stets Fingerspitzengefühl gefragt. Schließlich präsentieren sich Organisationen auch mit Auskünften nach außen. Eine transparente, freundliche und übersichtliche Auskunft gehört also zum erfolgreichen Reputationsmanagement einer Organisation.

Wie beantworte ich Betroffenen­anfragen? Der 5 Schritte-Guide

Eine Betroffenenanfrage formal korrekt, kompetent und ausführlich zu beantworten, ist leichter als gedacht - vorausgesetzt, man beachtet einige wichtige Schritte. Unsere Anleitung gibt einen strukturierten Überblick, wie Datenschutzexpert:innen Anfragenden Auskunft erteilen und dabei auf der (rechts-)sicheren Seite bleiben können. Wichtig: Dieser Vorgang ist als Ergänzung bestehender Richtlinien zu verstehen und sollte sich wie viele andere Prozesse in die gelebte Datenschutzpraxis von Unternehmen integrieren.

Schritt 0: Die Grundlagenarbeit

Datenschutzverantwortliche sind im Regelfall nicht die erste Instanz in einer Organisation, mit der Anfragende in Kontakt treten. Deshalb muss die Betroffenenanfrage erstmal zum Datenschutzexpert:in weitergeleitet werden. Um sicherzustellen, dass jede Betroffenenanfrage zuverlässig den Datenschutzbeauftragten erreicht, ist es hilfreich, eine zentrale E-Mail-Adresse einzurichten, an die alle Betroffenenanfragen gesendet werden. Diese Adresse sollte regelmäßig überprüft werden, um sicherzustellen, dass keine Anfrage übersehen wird.

Darüber hinaus ist es wichtig, alle Mitarbeitenden regelmäßig in Bezug auf den Umgang mit Betroffenenanfragen zu schulen. Alle Mitarbeitenden sollten stets wissen, wie eine solche Anfrage aussieht und an wen sie weitergeleitet werden muss.

Klare interne Richtlinien und Verfahren, die den genauen Umgang mit Betroffenenanfragen beschreiben, sollten in einem leicht zugänglichen internen Handbuch oder Prozessleitfaden festgehalten sein. Ein automatisiertes Ticketsystem kann zusätzlich dabei helfen, jede eingehende Anfrage sofort an das Datenschutzteam weiterzuleiten. Um die Wirksamkeit dieser Maßnahmen zu gewährleisten, empfiehlt es sich, diese Prozesse in regelmäßigen Abständen zu überprüfen.

WICHTIG

Grundsätzlich ist der Anfrage unverzüglich nachzukommen. In der Praxis hat sich eine 30-tägige Frist zur Beantwortung von Betroffenenanfragen etabliert. Außerdem sollte die anfragende Person benachrichtigt werden, dass ihre Anfrage beim Datenschutzteam eingegangen ist.

Schritt 1: Betroffene Personen überprüfen

Die korrekte Identifikation der betroffenen Person ist der nächste, wichtige Schritt im Prozess. Um sicherzustellen, dass die Anfrage legitim ist, kann die Identität der Person durch die Anforderung einer Kopie eines amtlichen Ausweisdokuments oder einer aktuellen Rechnung verifiziert werden. Eine weitere Möglichkeit ist die Verwendung von Sicherheitsfragen, deren Antworten nur die betroffene Person kennen sollte. Für zusätzlichen Schutz kann eine Zwei-Faktor-Authentifizierung implementiert werden, die den Zugang zu persönlichen Daten nur nach einer weiteren Bestätigung erlaubt.

Es ist wichtig, eine sorgfältige Abwägung vorzunehmen, wie die Identität der betroffenen Person am besten verifiziert werden kann, um sicherzustellen, dass die Antwort tatsächlich nur die betroffene Person erreicht. In vielen Fällen ist es ratsam, den Datenschutzbeauftragten zu konsultieren, um die geeigneten Maßnahmen zu bestimmen.

Datenschutzfreundliche Alternativen könnten beispielsweise die persönliche Vorsprache oder eine notarielle Beglaubigung sein, je nach Umfang und Sensibilität der angefragten Daten. Dabei ist es empfehlenswert, den Datenschutzbeauftragten in diesen Prozess mit einzubeziehen, um sicherzustellen, dass die gewählte Methode sowohl datenschutzrechtlich sicher als auch benutzerfreundlich ist.

Schritt 2: Fachbereiche einbinden und Fristen wahren

Um sicherzustellen, dass die Fachbereiche effektiv eingebunden sind und die gesetzlichen Fristen eingehalten werden, sollten klare Zuständigkeiten und Verantwortlichkeiten definiert werden. Jeder Bereich sollte genau wissen, welche Informationen und Daten er liefern muss. Dokumentierte Prozesse und klare Workflows, die den Ablauf von Betroffenenanfragen von der Erfassung bis zur Antwort beschreiben, sind hierbei unerlässlich. Regelmäßige Meetings oder Updates mit den beteiligten Fachbereichen helfen, den Status der Anfragen zu überwachen und mögliche Engpässe zu identifizieren. Ein Monitoring- und Reporting-System unterstützt zusätzlich bei der Überwachung der Fristeneinhaltung.

Schritt 3: Verarbeitungstätigkeiten prüfen

Sind die eben beschriebenen Aufgaben erledigt, muss herausgefunden werden, inwiefern personenbezogene Informationen des Antragsstellers oder der Antragsstellerin in die Verarbeitungstätigkeiten der Organisation eingebunden sind. Hierbei empfehlen wir, einen genauen Blick in das idealerweise gründlich gepflegte Verzeichnis für Verarbeitungstätigkeiten (VVT) zu werfen. Je nach Einzelfall wird zusätzlich die für die Verarbeitungstätigkeit zuständige Abteilung und deren Mitarbeiter:innen bei der Recherche hinzugezogen. Zunächst jedoch ist die betroffene Person innerhalb der existierenden Datenbestände eindeutig zu identifizieren.

Schritt 4: Formulierung eines Antwortschreibens

Wurden alle Verarbeitungstätigkeiten sowie Datenbestände, die im Zusammenhang mit der antragstellenden Person stehen, ermittelt, wird eine übersichtliche Liste für den:die Anfragende:n erstellt. Gemäß Art. 15 Absatz 3 DSGVO muss eine Kopie der betroffenen personenbezogenen Daten bereitgestellt werden. Je nach Anfrage können zudem folgende Informationen relevant sein:

Art und Zweck der Verarbeitung

Kategorien der personenbezogenen Daten

Empfänger:innen, gegenüber denen die personenbezogenen Daten oder deren Kategorien offengelegt wurden

Dauer der Datenspeicherung

Außerdem müssen Antragstellende über ihr Recht auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten aufgeklärt werden. Je nach Umfang kann es dabei passieren, dass Änderungen am Datenbestand vorgenommen werden müssen, die unverzüglich zu erledigen sind.
Sobald das Antwortschreiben erstellt wurde, wird die Antwort zum Abschluss idealerweise zeitnah im Anschluss versendet. Der gesamte Vorgang sollte abschließend sorgfältig dokumentiert werden.

Schritt 5: Sichere Übersendung des Antwortschreibens

Beim Versand von Antwortschreiben sollten Datenschutz und Datensicherheit oberste Priorität haben. Der Versand per E-Mail ist gängig, jedoch sollte sichergestellt werden, dass die E-Mails verschlüsselt sind. Das BSI gibt stets aktuelle Empfehlungen, wie im Stand Juni 2024 z. B. das AES (Advanced Encryption Standard)-Verschlüsselungsverfahren. Unter diesem Link sind stets die aktuellen BSI-Empfehlungen zu finden. Gängige Verschlüsselungsverfahren wie PGP (Pretty Good Privacy) oder S/MIME (Secure/Multipurpose Internet Mail Extensions) können hier einen Basis-Schutz bieten. 

Wenn eine E-Mail-Verschlüsselung nicht möglich ist, können Dokumente in einem passwortgeschützten Anhang versendet werden, wobei das Passwort über einen separaten Kommunikationskanal wie SMS oder Telefon übermittelt wird. Für besonders sensible Informationen kann der Versand per eingeschriebenem Brief eine sichere Alternative sein. Darüber hinaus können Unternehmen den Betroffenen den Zugriff auf ihre Informationen über ein sicheres Online-Portal anbieten, auf das sie nur mit entsprechender Authentifizierung zugreifen können.

Fazit: Betroffenen­anfragen souverän managen ist gute Geschäftspraxis 

Die professionelle Behandlung von Betroffenenanfragen ist von größter Bedeutung, da hinter einer jeden Anfrage echte Menschen mit berechtigten Rechtsansprüchen stehen. Eine korrekte und umfassende Auskunft ist essentiell, um die Aufgaben als Datenschutzbeauftragte vorbildlich zu erfüllen. Angesichts der aktuellen Überprüfungen zahlreicher Unternehmen durch den Europäischen Datenschutzausschuss ist dies besonders relevant. Zudem profitieren Unternehmen davon, wenn die Mitteilungspflichten fristgerecht und kompetent erfüllt werden.

Eine zeitnahe, freundliche und umfassend beantwortete Betroffenenanfrage kann dazu beitragen, eine möglicherweise verunsicherte oder verärgerte Person zufriedenzustellen und ihr Bild vom Unternehmen positiv zu beeinflussen. Dies zeigt deutlich, dass Datenschutz nicht nur ein rechtliches Thema ist, sondern auch eine hohe reputationsrelevante Komponente hat.

Eine gute Dokumentation und schnelle Prozesse verdeutlichen, dass Datenschutz Sicherheit und Vertrauen in eine Marke oder ein Unternehmen schafft – vorausgesetzt, es existiert ein gut aufgesetztes Datenschutzmanagement.

Abschließend weisen wir auf das neue caralegal Feature speziell für Betroffenenanfragen hin. Für weitere Informationen steht unser Produktteam gerne zur Verfügung.

Event Info

Melden Sie sich heute noch für unser spannendes, kostenfreies Webinar zum Thema "Best Practices bei Betroffenenanfragen" an. Am 25. Juli 2024 erfahren Sie um 14.30 Uhr im Livestream von den erfahrenen Privacy Experts Björn Möller (CEO caralegal) und Jacqueline Neiazy (ISiCO Datenschutzberatung), wie Prozesse und smarte Tools Betroffenenanfragen zum Kinderspiel machen.  Jetzt anmelden: Anmeldelink

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Die 7 Gewährleistungsziele des SDM helfen dabei, effektiven Datenschutz zu betreiben.

7 SDM-Gewährleistungsziele

Mehr erfahren
Schwellwertanalyse: Symbolbild aus dem Datenschutzrecht

Auf einen Blick: Schwellwertanalyse

Mehr erfahren
Guide zum Standard-Datenschutzmodell mit Illustrationen und und praxisnahen Tipps

Standard-Datenschutzmodell - ein Praxis-Guide

Mehr erfahren