skip to Main Content

Countdown zur EU-Datenschutz-Grundverordnung (DSGVO) Teil 3

Countdown Zur EU-Datenschutz-Grundverordnung (DSGVO) Teil 3
Beitragsserien: Die EU-Datenschutz-Verordnung

Im heutigen Beitrag geht es um die Rechte der Betroffenen, also die Rechte von Personen, deren Daten genutzt werden. Das alte BDSG kannte bereits diese Rechte nach Auskunft, Berichtigung, Löschung oder Sperrung auf Wunsch des Betroffenen. Diese Rechte sind in der DSGVO über mehrere Artikel verteilt:

Diese Rechte haben Betroffene durch die DSGVO

Informationsrecht: Art 13/14

Damit sind die Informationspflichten des Verantwortlichen bei der Erhebung der Daten gemeint. In der Regel findet die Datenerhebung online statt und wird durch die bekannten Datenschutzerklärungen abgedeckt.

Auskunftsrecht: Art 15

Darunter versteht der Gesetzgeber die Beauskunftung der gespeicherten Daten von Betroffenen. Während das Informationsrecht immer greift, muss dem Recht nach Auskunft auf Verlangen des Betroffenen nachgekommen werden.

Berichtigung: Art 16

Hat ein Betroffener erfolgreich und umfassend die über ihn gespeicherten Daten eingesehen, so könnte eine Überprüfung die Unrichtigkeit dieser Daten ergeben. Daraufhin hat das Datensubjekt das Recht auf Korrektur der Daten.

Berichtigung: Art 16

Hat ein Betroffener erfolgreich und umfassend die über ihn gespeicherten Daten eingesehen, so könnte eine Überprüfung die Unrichtigkeit dieser Daten ergeben. Daraufhin hat das Datensubjekt das Recht auf Korrektur der Daten.

Löschung: Art 17

Bei der Löschung von personenbezogenen Daten müssen Sie zwei generelle Fälle unterscheiden.

  • Zum einen muss bereits bei der Erhebung der Daten generell geklärt werden, wie lange die Daten im Zugriff des Verantwortlichen verbleiben. Dieser hat somit in einem Löschkonzept zu dokumentieren und sicherzustellen, dass die betroffenen Daten beispielsweise nach Wegfallen des Zweckes der Datenverarbeitung gelöscht werden.
  • Zum anderen kann der Betroffene seine Einwilligung zur Verarbeitung zurückziehen und auf Löschung seiner Daten bestehen.
Right to be forgotten: Art 17

Eine Besonderheit des Löschens stellt das Recht auf Vergessenwerden dar, welches der Gesetzgeber mit der DSGVO neu eingeführt hat. Diese gesetzliche Anforderung erweitert die Löschpflichten des Verantwortlichen auf Dritte, an die gegebenenfalls die Daten weitergegeben wurden. Diese müssen Sie zumindest über etwaige Löschverlangen informieren.

Right to be forgotten: Art 17

Eine Besonderheit des Löschens stellt das Recht auf Vergessenwerden dar, welches der Gesetzgeber mit der DSGVO neu eingeführt hat. Diese gesetzliche Anforderung erweitert die Löschpflichten des Verantwortlichen auf Dritte, an die gegebenenfalls die Daten weitergegeben wurden. Diese müssen Sie zumindest über etwaige Löschverlangen informieren.

Einschränkung der Verarbeitung (Sperrung): Art 18

Häufig unterliegt die Datenhaltung gesetzlichen Aufbewahrungsfristen außerhalb des Datenschutzes. Dadurch kann der Forderung nach Löschung nicht nachgekommen werden. In diesen Fällen müssen Sie die Zugriffe auf diese Daten auf das absolut notwendige Minimum reduzieren.

Datenübertragbarkeit: Art 20

Um Betroffenen den Wechsel zu einem anderen Anbieter zu erleichtern, sollen diese künftig ihre Daten mitnehmen können. Im Umkehrschluss bedeutet das für Sie als Verantwortlichen, dass Sie die Daten nicht nur finden und in verständlicher Form bereitstellen können müssen. Sie müssen darüber hinaus noch eine „übliche maschinenlesbare“ Form anbieten, um die Wechselwünsche der Betroffenen zu unterstützen.

Wie müssen Sie sich auf die Betroffenenrechte vorbereiten?

Digitale IconsAus den oben genannten Anforderungen lassen sich zwei grundsätzliche Aktivitäten ableiten. Zum einen ist dies die Informationspflicht, welche sich i. a. in den Datenschutzerklärungen eines Unternehmens widerspiegeln. Zum anderen sind es die übrigen Punkte der Betroffenenrechte, für die Vorbereitung im Unternehmen gleichermaßen abläuft.

Diese Vorbereitung bezüglich der Informationspflichten müssen Sie umsetzen

Zur Erfüllung der Informationspflichten müssen Sie alle von ihrem Unternehmen verwendeten Datenschutzerklärungen auf ihre Konformität zur neuen Gesetzeslage überprüfen. Art. 13 Abs. 1 der DSGVO nennt die Pflichtinformationen, welche in einer Datenschutzerklärung enthalten sein müssen, die wesentlichen Punkte sind hier angeführt:

  • Namen und Kontaktdaten des Verantwortlichen
  • Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
  • Gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • Gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
  • Dauer, für die die personenbezogenen Daten gespeichert werden
  • Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung seitens des Verantwortlichen
  • Gegebenenfalls das Recht auf Widerruf
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Grund der Erhebung (gesetzlich oder vertraglich vorgeschrieben)
  • Evtentueller Hinweis auf automatisierte Entscheidungsfindung einschließlich Profiling

Diese Informationen müssen in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung vermitteln (siehe Erwägungsgrund 60 der DSGVO). Die Behörden bieten Ihnen hierzu keine Vorlagen, Sie finden jedoch zahlreiche Muster zu Datenschutzerklärungen im Internet. Eine rechtliche Beratung ist an dieser Stelle angebracht, da unzureichende Erklärungen eine „leichte Beute“ für Verstoß-Meldungen sind und nach Art 83 als formales Vergehen mit bis zu 2 % des Jahresumsatzes belegt werden können.

Vorbereitung bezüglich Auskunftsrecht, Berichtigung, Löschung und Datenübertragung

ParagraphenhaufenWie bereits zuvor erwähnt, betrachten wir in diesem Artikel das Recht auf Auskunft als einen ersten Schritt, dem unter Umständen weitere Bearbeitungsschritte wie Berichtigung, Löschung und Widerspruch folgen können. Die organisatorische Vorbereitung ist für Sie jedoch in allen Fällen die Gleiche.

Die Datenschutzkonferenz (DSK) hat zur DSGVO eine Reihe von Kurzpapieren erlassen, unter anderem finden Sie dort auch eine Information zum Thema Auskunftsrecht:

Daraus lässt sich entnehmen, dass die Behörden die Betroffenenrechte unterstützen und auch eine gewisse Erwartungshaltung an die Verantwortlichen erheben. Betrachten wir uns die Beauskunftung als einen Prozess mit einzelnen Schritten der Abarbeitung.

1.

Anfragen können von jedem Datensubjekt gestellt werden, also auch in unterschiedlichen Sprachen das Unternehmen erreichen. Es ist also im ersten Schritt zu klären, in welcher Form Sie der Internationalität der Anfragen begegnen möchten. In diesem Schritt müssen Sie auch klären, in welcher Form die Auskunft an den Betroffenen zur Verfügung gestellt werden soll. Häufig kommen die Rohdaten aus ganz unterschiedlichen Systemen und in uneinheitlichen Formaten.

2.

Der wesentliche Eingangskanal wird auch in Zukunft ein an das Unternehmen gerichteter Brief sein. Da die Zeit der Bearbeitung einen Monat nicht überschreiten sollte, sind Sie aufgefordert, organisatorisch sicherzustellen, dass Auskunftsanfragen ohne Verzögerung rasch den richtigen Weg zur verantwortlichen Stelle finden. Dies können Sie beispielsweise durch entsprechende Anweisungen und Informationen an die Posteingangsstellen klären. Für Anfragen via E-Mail gilt dies entsprechend.

3.

Der erste Schritt der eigentlichen Bearbeitung ist die eindeutige Identifikation des Anfragenden, denn nichts wäre schlimmer als einem nicht Berechtigten Auskunft über die personenbezogenen Daten eines Dritten zu erteilen. Zur Identifikation können Sie in der Regel Geschäftsdaten (Kundennummer, Bestell- und Auftragsnummer oder Personalnummer) heranziehen. Diese Informationen helfen Ihnen auch bei der Identifikation der richtigen Daten innerhalb des Unternehmens im Falle von Namensgleichheiten.

4.

Um den Prozess zu vereinfachen und möglichst effizient zu gestalten, empfiehlt sich die Einrichtung eines zentralen Teams zur Administration aller Anfragen. Das zentrale Team führt die Identifikationsprüfung durch, filtert die Beauskunftung gegebenenfalls nach zutreffenden Bereichen (z. B. Marketing- oder Personaldaten) und kontaktiert die Geschäftsbereiche, welche nach Daten recherchieren müssen.

5.

Die größte Herausforderung für die meisten Unternehmen ist sicherlich, Kenntnis über die unternehmensweiten internen Datenströme zu gelangen. Bevor die erste Anfrage den Verantwortlichen erreicht, müssen alle Geschäftsbereiche wissen, welche personenbezogenen Daten sie in welchen Systemen verarbeiten. Des Weiteren müssen sie die Daten in die oben beschriebene einheitliche Struktur überführen und zentral ablegen können. Überprüfen Sie im Vorfeld der Prozesseinführung die Wirksamkeit der Datenbereitstellung durch entsprechende Tests. Die Datenströme im Unternehmen unterliegen permanenten Änderungen und Erweiterungen, welche für kommende Abfragen berücksichtigt werden müssen. Der einmal aufgesetzte Prozess ist also ständig zu kontrollieren und anzupassen.

6.

Eine weitere Aufgabe Ihres zentralen Teams ist die Dokumentation der Anfrage. Damit können Sie sicherstellen, dass Ihr Unternehmen alle Anfragen zeitnah und vollständig bearbeitet und außerdem in der Lage ist, auf Verlangen entsprechende Nachweise erbringen kann.

7.

Auf die beschriebenen einzelnen Schritte muss sich jedes Unternehmen grundsätzlich vorbereiten. In welchem Ausmaß ist unter anderem auch vom Tätigkeitsfeld des Unternehmens abhängig. So haben Firmen mit Endkundengeschäft (B2C) tendenziell mit mehr Anfragen zu rechnen, da potenziell jeder Kunde eine entsprechende Beauskunftung verlangen kann. Insbesondere als Betreiber sozialer Netzwerke müssen Sie sich in einem höheren Maße rüsten, um alle Anfragen zeitnah beantworten zu können.

8.

Die hier angeführten Schritte zur Beauskunftung ziehen möglicherweise weitere Schritte nach sich. Wie eingangs beschrieben, können die Betroffenen weitere Bearbeitungen wie beispielsweise das Berichtigen und Löschen verlangen. Dies verlangt unter Umständen die Entwicklung neuer technischer Einrichtungen wie spezieller Software oder die Erstellung neuer Komponenten in existierenden Systemen. Diese Maßnahmen sollten Sie rechtzeitig planen, da sie in der Regel mit einem erheblichen zeitlichen Aufwand verbunden sind. Insbesondere, wenn Applikationen von Drittanbietern eingesetzt werden.

Fazit

Aus der Betrachtung der einzelnen Punkte der Betroffenenrechte ist ersichtlich, dass Sie sich zum einen auf eine wachsende Anzahl von Auskunftsersuchen einstellen müssen und dass die zu treffenden organisatorischen und technischen Maßnahmen zum anderen im Vorfeld einer umsichtigen und rechtzeitigen Planung bedürfen.

Michael Wiedemann arbeitet als stellvertretender Datenschutzbeauftragter bei der SAP SE in Walldorf. Als Verantwortlicher für den Bereich Data Protection Operations sorgt er für die weltweite Umsetzung und Kontrolle der Datenschutzvorschriften. Die Schwerpunkte seiner datenschutztechnischen Aktivitäten liegen bei der Verfahrensaufzeichnung und –kontrolle, dem Aufbau und Betrieb von Managementsystemen und der Lieferantenkontrolle. Michael Wiedemann referiert regelmäßig im Auftrag von Management Circle, tritt häufig als Redner bei datenschutzrechtlichen Veranstaltungen auf und ist Mitverfasser des Buches „Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems“ (Springer Verlag).

Schützen Sie Ihr Unternehmen jetzt vor hohen Bußgeldern!

Sie suchen noch nach umfassenden Informationen, um Klagen im Rahmen der DSGVO zu vermeiden? In unserem Seminar „Die Datenschutz-Grundverordnung“ informiert Sie Michael Wiedemann über die praktische Umsetzung der DSGVO. Erfahren Sie alles, was die Umstellung mit sich bringt. Sie erhalten Checklisten und praxisorientiertes Know-how, das Sie auf die neuen Vorgaben vorbereitet.

Datenschutz-Grundverordnung

Datenschutz-Grundverordnung – Was ändert sich für Unternehmen?

Unternehmen müssen jetzt handeln, um datenschutzrechtliche Anforderungen umzusetzen – sonst drohen erhebliche Bußgelder. Wie Sie dem entgehen können, verrät Fachanwalt für IT-Recht Falk W. Müller.
Jetzt kostenlos herunterladen!

Claudia Blum

Bei Management Circle bin ich für die Personal-, Produktions- und Soft Skills-Themen zuständig. Ich betreue außerdem den Blog zu den Iran-Veranstaltungen. In diesen Portalen informiere ich Sie stets über alle Trends und Entwicklungen. Ich freue mich auf Ihre Anregungen und einen guten Wissensaustausch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top

Modernes Recruiting

Modernes Personalmarketing und Recruiting ist heute viel umfassender und wichtiger denn je. Bereiten Sie sich mit Hilfe dieses Whitepapers auf alle Trends und Besonderheiten vor.

Jetzt herunterladen!