Wahrnehmung von Betroffenenrechten – wie auf ein Auskunftsersuchen reagiert werden sollte

Jede natürliche Person, deren personenbezogene Daten verarbeitet werden, hat gegenüber den Verantwortlichen nach der DSGVO mehrere Rechte. In den Art. 15- 21 DSGVO sind diese geregelt und beinhalten unter anderem das Recht auf Auskunft (Art.15 DSGVO), auf Berichtigung (Art.16 DSGVO), auf Löschung (Art.17 DSGVO), auf Einschränkung (Art.18 DSGVO), auf Übertragbarkeit (Art.20 DSGVO), auf Widerspruch (Art.21. DSGVO) und das Recht auf Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde.

Eine Verarbeitung von personenbezogenen Daten liegt immer dann vor, wenn Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Abs.1 DSGVO) verarbeitet werden.

Im Unternehmen sollten daher Prozesse zur Wahrnehmung solcher Betroffenenanfragen festlegt und befolgt werden. Denn es gilt gerade dafür Sorge zu tragen, dass die Bearbeitung z.B. von Auskunftsersuchen innerhalb der gesetzlichen Frist auch tatsächlich erfolgt.

Dazu sollte zunächst analysiert werden, wer um Auskunft ersuchen könnte, wie z.B. Kunden, Lieferanten, Beschäftigte etc. Betroffenenanfragen können zudem auf verschiedene Weisen an den Verantwortlichen herangetragen werden, sei es per E-Mail, telefonisch oder auch schriftlich. Diese Kanäle sowie die jeweiligen Verantwortlichkeiten in den einzelnen Bereichen sollten in Prozessen abgebildet sein. Dazu muss sichergestellt werden, dass die eingehenden Anfragen der Betroffenen empfangen und an eine festgelegte Person oder Abteilung übermittelt werden. Dazu gehört je nach Unternehmens- und Bereichsstruktur auch der interne oder externe Datenschutzbeauftragte.

Die Anfragen von Betroffenen werden dann von einer festgelegten Person oder Abteilung bearbeitet und dokumentiert. Zwecks Vermeidung eines Datenschutzvorfalles, sollte die Identität des Betroffenen zunächst überprüft werden, wobei dies durch Zusendung einer Kopie z.B. des Personalausweises erfolgen kann. Sofern die Identität zweifelsfrei festgestellt werden kann, muss dem Betroffenen «unverzüglich», d.h. ohne schuldhaftes Zögern, geantwortet werden. Grundsätzlich gilt hierfür eine einmonatige Frist, wobei im Falle einer Positivantwort die Frist nach Art. 12 Abs. 3 DSGVO um weitere zwei Monate verlängert werden kann, wenn dies für die Beantwortung erforderlich ist. Denn hier greift das Beantwortungs- und Beschleunigungsgebot. Die konkreten Anfrage muss dann in klarer und verständlicher Sprache beantwortet werden.

Die Beantwortung des Auskunftsbegehrens könnte dann z.B. in Form eines PDF-Datenblattes erfolgen, auf welchem alle verarbeiteten personenbezogenen Daten ersichtlich sind.

Nicht nur die Bearbeitung der eingehenden bzw. noch zu erledigenden Betroffenenanfragen, sondern auch die Dokumentation, welche Betroffenenangelegenheiten/-anfragen bereits bearbeitet wurden, sollte zur späteren Nachvollziehbarkeit und Überprüfung erfolgen, damit dies im Falle einer Kontrolle durch die Aufsichtsbehörde, z.B. im Rahmen einer Beschwerde durch die betroffene Person, ohne größeren Aufwand vorgezeigt werden kann.

In manchen Fällen besteht allerdings das Recht des Verantwortlichen die Auskunft zu verweigern. Dies ist z.B. bei offenkundig unbegründetem oder rechtsmissbräuchlichem Auskunftsersuchen der Fall (Art. 12 Abs. 5 DSGVO), wobei dann zumindest eine Negativauskunft, d.h. die Mitteilung, dass und warum keine Auskunft erteilt wird, gegeben werden muss.

Besteht ein solches Weigerungsrecht nicht, müssen Auskunftsersuchen beantwortet werden um einer möglichen Schadensersatzhaftung durch die betroffene Person nach bürgerlichem Recht (§§ 280 Abs. 1, 286, 249 BGB) zu entgehen. Darüber hinaus sind Unternehmen dem Risiko einer Beschwerde der Betroffenen bei der zuständigen Datenschutzaufsichtsbehörde ausgesetzt und mit den damit zusammenhängenden aufsichtsrechtlichen Maßnahmen, wie Kontrollen etc. belastet zu werden.

Auch wenn die Wahrnehmung von Betroffenenanfragen je nach Gesamtanzahl und Umfang der jeweiligen einzelnen Anfragen eine zeitintensive und bisweilen mühselige Angelegenheit sein kann, sind Unternehmen mit bestehenden und gelebten Prozessen für die Bearbeitung solcher Anfragen gut aufgestellt. Unternehmen müssen sich zudem über die geschilderten möglichen Folgen im Klaren sein, sofern sie den Betroffenenrechten nicht nachkommen.

Zudem schafft der professionelle Umgang mit Betroffenenrechten Transparenz und Vertrauen in die Verarbeitung durch das jeweilige Unternehmen und das meist nicht nur bei der betroffenen Einzelperson. Es empfiehlt sich daher auch auf der Homepage eine aktuelle Version eines bestehenden Datenschutzkonzeptes, Datenschutzbestimmungen bzw. der Privacy policy zum Download anzubieten, damit sich die Betroffenen, als auch Interessierte oder potenzielle Kunden darüber informieren und einen Eindruck gewinnen können, wie das Unternehmen die gesetzlichen Rechte der Betroffenen wahrnimmt.

Marc E. Evers

Rechtsanwalt

zert. Datenschutzbeauftragter

zert. Datenschutzauditor