Bei meinen Kunden treffen langsam die ersten Anfragen von betroffenen Personen zum Auskunftsrecht nach Art 15 DSGVO ein.Mal wird eine generelle Auskunft über deren verarbeitete Daten gewünscht oder eine Löschung des Accounts gefordert.
Laut Gesetz hat die Reaktion des Verantwortlichen unverzüglich, aber spätestens innerhalb eines Monats zu erfolgen.
Handelt es sich um eine besonders komplexe Anfrage oder erhalten Sie gerade extrem viele Anfragen, können Sie diese Frist um weitere zwei Monate verlängern, wenn Sie den Betroffenen innerhalb der ersten Frist informieren.
Wie gehen Sie in Zukunft am besten mit solchen Anfragen um?
Zu Beginn sollte die Bestätigung des Eingangs und eine Information über den weiteren Bearbeitungsverlauf erfolgen sowie eine Information nach Art 13 DSGVO, dass Sie die Anfrage inkl. seiner personenbezogenen Daten sowie den Bearbeitungsverlauf speichern (siehe unten).
Der nächste Schritt ist dann eine Überprüfung der Identität des Anfragenden. Prüfen Sie in Ihren Systemen, z. B. in den Stammdaten Ihres ERP- oder CRM-Systems, ob Sie diese Person z. B. über die E-Mail-Adresse eindeutig zuordnen können. Ist dies der Fall, informieren Sie den Betroffenen entsprechend darüber.
Wenn Sie keine Daten über den Betroffenen finden, so müssen Sie auch dieses beauskunften (Negativauskunft).
Ihre Antwort müssen also in beiden Fällen folgende Informationen enthalten:
- Verarbeitungszweck
- Kategorien von Daten, die verarbeitet werden
- Empfänger der Daten (zumindest die Kategorien), denen diese offengelegt wurden (Achtung, auch in der Vergangenheit) oder noch offengelegt werden
- Bei Übermittlung der Daten an Empfänger in Drittländern sind die zugesicherten Garantien aufzuführen
- Geplante Dauer der Speicherung der Daten – wenn das nicht zu ermitteln ist, sind die Kriterien für die Speicherdauer anzugeben
Tipp: Bis hier finden Sie alle Informationen hoffentlich in Ihrem Verzeichnis der Verarbeitungstätigkeiten.
Des Weiteren müssen Sie den Betroffenen über seine Rechte informieren:
- Berichtigung, Löschung, Einschränkung der Verarbeitung sowie Widerspruchsrecht, sinnvollerweise auch zur Datenübertragbarkeit
- Recht zur Beschwerde bei einer Aufsichtsbehörde
Zum Schluss muss noch über die
- Datenherkunft – also darüber, wo Sie die Daten des Betroffenen herhaben
- sowie über das Bestehen oder eben auch Nichtbestehen einer automatischen Entscheidungsfindung einschl. Profiling
informiert werden.
Empfehlung:
Mein Lieblings-Datenschutzanwalt formulierte es mal so: „Der Antragsteller soll sich kuschelig fühlen.“.
Also, zeigen Sie dem Antragsteller im gesamten Prozess, dass Sie sein Anliegen ernst nehmen und beenden Sie die Auskunft mit einem Satz wie „…Bei Rückfragen oder Unklarheiten stehen wir Ihnen jederzeit gerne für weitere Auskünfte zur Verfügung.“
Des Weiteren hat der Betroffene ein Recht auf Bereitstellung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Hierbei ist darauf zu achten, dass keine Informationen anderer Personen offengelegt werden.
Wichtig: Dokumentieren Sie jede Anfrage sowie Ihre Antworten (inkl. Datum). Die Aufbewahrungsdauer jeder Betroffenenauskunft sollte drei Jahre betragen (Rechtsgrundlage Art 6 Abs 1 lit. f) DSGVO, Interessenabwägung, Abwehr von Rechtsstreitigkeiten). Auch hierbei handelt es sich um eine Verarbeitungstätigkeit, die im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren ist.
Tipp: Fügen Sie einen Absatz über die Speicherung von Anfragen und deren Aufbewahrungsfrist in Ihre Datenschutzerklärung ein.
#DSGVO #GDPR