DSGVO: Anfragen von Betroffenen und der Umgang mit dieser Herausforderung

Seitdem die DSGVO endgültig europaweit umgesetzt wurde, mehrt sich die Zahl der Anfragen von Betroffenen. Eine Anfrage im Rahmen des Auskunftsbegehrens kann sowohl telefonisch, postalisch, per Fax und Mail, als auch persönlich erfolgen. So ist gewährleistet, dass die Betroffenen jederzeit Auskünfte über die Speicherung und Verwendung Ihrer Daten erhalten.

Die Anfragen haben sich seit dem vergangenen Jahr stark gehäuft. Problematisch daran ist, dass diese mangels Formvorschrift in der Datenschutzgrundverordnung nicht an den Datenschutzbeauftragten gerichtet werden müssen, sondern an jeden Mitarbeiter des Unternehmens herangetragen werden können. Dies sorgt für einige Komplikationen und Herausforderungen, denen es sich zu stellen gilt.

Im Folgenden wird der Kunde beziehungsweise die Person, deren Daten gespeichert werden, Betroffene benannt. Der Datenschutzbeauftragte wird mit DSB abgekürzt.

Die verschiedenen Varianten der Auskunftserteilung 

 

  1. Kontaktaufnahme mit dem Datenschutzbeauftragten. Im Normalfall nimmt der Betroffene direkt mit dem Datenschutzbeauftragten Kontakt auf. Dieser verständigt in Folge dessen den Verantwortlichen, der alle Datenblätter der Kunden verwaltet und dementsprechend aushändigen kann. Er teilt dem Verantwortlichen das Begehren mit, sprich ob es um Auskunft, Löschung, Übermittlung oder Korrektur geht. Je nachdem welche Abteilung im Unternehmen mit den Daten des Betroffenen gearbeitet hat, werden alle notwendigen Auskünfte zusammenstellt. Hier geht es im fachsprachlichen um die so genannten „PbD“ (personenbezogenen Daten).
  • Im Falle, dass keine Daten gefunden werden, erfolgt eine „Nullmeldung“, die das bestätigt
  • Wird eine Berichtigung angestrebt, so wird nach erfolgter Berichtigung die Bestätigung durch den DSB an den Betroffenen weitergegeben
  • Sollte der Betroffene die Übermittlung der Daten verlangen, so müssen sie ihm in maschinell lesbarer Form zur Verfügung gestellt werden (Datenportabilität)
  • Eine Löschung muss auf Wunsch ebenso durchgeführt werden mit einer darauffolgenden Vollzugsmeldung des DSB
  • Der Betroffene erhält vom DSB folgende Dokumente:
  • Datenblätter (falls Auskunftsbegehren oder Berichtigung)
  • Kopie der Daten in maschinell lesbarem Format
  • Löschungsbestätigung
  • Weiterhin: Alle Informationsflüsse u. Kommunikationswege, sodass für den Betroffenen nachvollziehbar ist, was mit den Daten geschieht.
  • Weiterhin: Alle Informationsflüsse u. Kommunikationswege, sodass für den Betroffenen nachvollziehbar ist, was mit den Daten geschieht.

 

  1. Betroffener kontaktiert Verantwortlichen (Geschäftsführer) 
    Im diesem Falle sollte der Verantwortliche den DSB informieren, was genau der Betroffene wünscht. (Auskunft, Berichtigung, Übermittlung, Löschung). Im Prinzip erfolgt die Vorgehensweise so wie im ersten Punkt.

 

  1. Betroffener kontaktiert eine beliebige Person 
    Dies stellt den wohl heikelsten Fall dar, denn in der 3. Situation ist es unklar, wie gut die entsprechende Person mit der Datenschutzgrundverordnung vertraut ist. Wenn ein allgemeines Postfach angeschrieben wird, der Datenschutzbeauftragte zeitnah (Ein-Monatsfrist) über das Begehren des Betroffenen in Kenntnis gesetzt wird. Im Prinzip erfolgt die Vorgehensweise ebenfalls so wie im ersten Punkt.

Herausforderungen in der Umsetzung

Bei Webshops stellt die Mehrfachspeicherung eine Herausforderung dar. Dies ist meist der Fall, wenn der Kunde unter einer Nummer Waren einkauft und unter einer weiteren registriert ist. Dies kann zur Unübersichtlichkeit führen und die Löschung erschweren. Weiterhin erschwert die Datenschutzgrundverordnung auch die Ansprache von Kunden im Rahmen von Mailings und Werbeaktionen.

Sollte ein Unternehmen Adressdaten einkaufen, so ist die Wahrscheinlichkeit hoch, dass es sich um Kunden handelt, die ihre Daten haben löschen lassen. Daher empfiehlt es sich eine sogenannte „Sperr-Liste“ einzuführen. Das ist allerdings eine rechtliche Grauzone, da hier ja auch wieder Daten gespeichert werden.

Leitlinie für die Unternehmen sollte hinsichtlich der Umsetzung der DSGVO sein, im „Interesse des Betroffenen“ zu handeln. Entsprechende Nachweise über Begehren und deren Umsetzung sind lückenlos zu führen und zu dokumentieren.