Skip to content

BETROFFENENRECHTE DSGVO

Auskunft und FAQ für Auskunft von Betroffenenanfragen

Aufgrund des Auskunftsrechts können Betroffene beim Unternehmen eine Anfrage stellen, um Informationen über die von ihnen verarbeiteten personenbezogenen Daten zu erhalten.

Diese Betroffenenanfragen verlangen einen sorgsamen Umgang und eine schnelle Antwort durch das Unternehmen. Eine Betroffenenanfrage scheint auf den ersten Blick mit viel Arbeit und Aufwand verbunden zu sein. Nur eine Anforderung, die an den (internen oder externen) Datenschutzbeauftragten herangetragen wird.

Doch wenn Sie sich eine Grundstruktur überlegt haben, an der Sie sich im Fall einer Anfrage richten können, kann vieles automatisiert erfolgen.

Nach Artikel 15 der DSGVO haben alle Menschen, deren Daten in Ihrem Unternehmen verarbeitet werden, das Recht, Auskünfte hierüber zu erhalten. Diese Auskünfte müssen Sie unverzüglich, mindestens aber innerhalb einer angemessenen Frist (üblicherweise maximal einem Monat) erteilen.

Wer kann eine Auskunftsanfrage stellen?

Jeder Betroffene hat gemäß Datenschutz-Grundverordnung umfangreiche Rechte. Welche personenbezogenen Daten werden in welcher Form und zu welchem Zweck im Unternehmen verarbeitet und gespeichert?

Um dieses Informationsrecht geltend zu machen, können die Betroffenen eine Anfrage auf Auskunftserteilung bei dem jeweiligen Unternehmen stellen.

Bei den Betroffenen kann es sich sowohl um Kunden, Besucher der Unternehmenswebsite oder auch um Mitarbeiter und Lieferanten handeln. All diese Personengruppen sind dazu berechtigt, eine Betroffenenanfrage zu stellen und für den Fall, dass von der jeweiligen Person Daten vorliegen, Informationen vom Unternehmen zu verlangen.

Was ist bei Betroffenenanfragen zu beachten?

Eine unzureichende Beantwortung von Betroffenenanfragen kann eine Beschwerde bei der Aufsichtsbehörde nach sich ziehen. Daher ist es wichtig, dass bevor Sie eine Anfrage überhaupt erreicht, Ihre Dokumentation nach DSGVO vollständig ist.

Nur so kann eine sorgfältige und zufriedenstellende Beantwortung auf die Betroffenenanfrage erfolgen. Folgende Punkte sollten von Unternehmen berücksichtigt werden:

  • Identitätsüberprüfung: Da Sie bei einer Betroffenenanfrage nur Auskunft über die Daten der Betroffenen Person machen dürfen, müssen Sie zunächst die anfragende Person identifizieren.
  • Beantwortungsfrist: Wenn Sie eine Betroffenenanfrage erhalten, sollten Sie schnellstmöglich eine Antwort erteilen. Spätestens nach einem Monat endet die Beantwortungsfrist.
  • Auskunftserteilung: Die Betroffenenanfrage beantworten Sie, indem Sie dem Betroffenen eine Kopie mit den ihn betreffenden personenbezogenen Daten übermitteln. Informationen, die Rückschlüsse auf andere Personen ziehen lassen, sind unkenntlich zu machen. Finden sich zu der betroffenen Person keine Informationen in der Datenbank, teilen Sie den Anfragenden eine Negativauskunft mit.
  • Verschlüsselung: Die Auskunftserteilung ist verschlüsselt weiterzugeben und die Informationen sind vertraulich zu behandeln. Die Rechte und Freiheiten anderer dürfen nicht verletzt werden.
  • Dokumentation: Sie sollten die Schritte der Datenverarbeitung zum Nachweis in Ihrem Datenschutzordner speichern.

Recht auf Löschung & Vergessenwerden

Recht auf Datenübertragung 

Einschränkung der Verarbeitung

BETROFFENENRECHTE

Recht auf Berichtigung 

Auskunftsrecht

Widerspruchsrecht

Organisatorische Vorbereitung

Es ist ratsam, bereits vor dem Eintreffen der ersten Auskunftsanfrage im Voraus den Ablauf einer sogenannten Betroffenenauskunft organisatorisch durchzuplanen und vor allem eine sorgfältige Dokumentation zu führen.

Denn wenn eine solche Betroffenenanfrage kommt, müssen Sie sie schnellstmöglich und umfassend beantworten können. Wenn Sie sich eine Ablaufstruktur überlegt haben, nach der Sie sich im Fall einer Anfrage richten können, kann vieles automatisiert und damit deutlich schneller erfolgen.

Wir zeigen Ihnen, was Sie bei der Auskunftserteilung (am besten in Absprache mit Ihrem Datenschutzbeauftragten beachten sollten und welche Fristen einzuhalten sind.

Sie benötigen Unterstützung?

Wir übernehmen u.a. die Beantwortung Ihrer Betroffenenanfragen.

Wer darf eine Betroffenenanfrage stellen?

Zunächst einmal haben alle natürlichen Personen, die vermuten, dass Sie personenbezogene Daten über sie verarbeiten, das Recht zu erfahren, ob Sie ihre Daten tatsächlich verarbeiten („Recht auf Auskunft“). So können beispielsweise Kunden, Besucher der Unternehmenswebsite, Mitarbeiter, Gäste und Lieferanten Ihres Hauses jederzeit eine Auskunftsanfrage an Ihr Unternehmen stellen.

Sie brauchen die Anfrage nicht zu begründen und müssen auch nicht in irgendeiner Beziehung zu Ihrem Unternehmen stehen. Diese Anfrage müssen Sie wahrheitsgemäß beantworten. Liegen Ihnen zu dieser Person keine Daten vor oder wurden diese unumkehrbar anonymisiert, müssen Sie eine Negativauskunft erteilen.

Der Fragesteller darf seine Anfrage formlos und auf jedem beliebigen Weg (telefonisch, postalisch, per E-Mail…) stellen. Er braucht sich weder auf die DSGVO zu beziehen noch das Wort „Betroffenenanfrage“ oder „Auskunftsersuchen“ zu verwenden.

Schon die einfache Frage „Woher haben Sie meine Daten?“ oder „Ich habe eine Frage zum Datenschutz“, eine Beschwerde über unerwünschte Werbung/Anrufe/Spam oder der Wunsch nach Dateneinsicht oder nach Kontakt zum Datenschutzbeauftragten kann eine Betroffenenanfrage sein.

Welche Auskünfte muss ich erteilen?

Verarbeitet Ihr Unternehmen tatsächlich personenbezogene Daten dieses Betroffenen, dann darf er weitere konkrete Auskünfte von Ihnen bzw. Ihrem Datenschutzbeauftragten verlangen. Die entsprechenden Rechte sind in Art. 12 ff. DSGVO festgehalten. Sie müssen dann folgende Angaben innerhalb eines Monats wahrheitsgemäß liefern:

  • Welche Daten dieser Person aus welchen Kategorien wurden/werden von Ihnen verarbeitet?
  • Woher stammen die Daten, falls nicht vom Betroffenen selbst?
  • Zu welchem Zweck wurden oder werden sie verarbeitet?
  • Wer hat diese Daten erhalten oder wird sie künftig erhalten (Empfängerkategorien oder einzelne Empfänger)?
  • Befinden sich die Datenempfänger in Drittländern außerhalb der EU; falls ja, in welchen? Welche Garantien wurden laut Artikel 46 DSGVO dazu gegeben?
  • Wie lange beabsichtigen Sie die Daten zu speichern?
  • Findet mit diesen Daten eine automatisierte Verarbeitung (Profiling, Scoring) statt, die einen signifikanten Einfluss auf die Person hat (beispielsweise automatisierte Entscheidungsfindungen per KI-Profiling)? Falls ja, welche Tragweite haben die auf diesem Wege getroffenen Entscheidungen und welche Auswirkungen entstehen dem Betroffenen hierdurch? An wen wurden diese Daten übermittelt?

Zudem müssen Sie Name und Kontaktdaten des Verantwortlichen für die Datenerhebung sowie ggf. seines Vertreters und die Kontaktdaten des zuständigen Datenschutzbeauftragten angeben und den Betroffenen auf seine Rechte hinweisen, was die weitere Datenverwendung angeht.

Hinweis

Die Frist von einem Monat läuft ab dem Eingangstag der Anfrage. Stellen Sie eine redundante Auskunftserteilungsmöglichkeit sicher, denn Krankheit oder Urlaub des Datenschutzbeauftragten werden als Begründung für eine verspätete Antwort nicht akzeptiert.

Ist die Anfrage unklar gestellt, sollten Sie eine Rückfrage an den Betroffenen stellen, welche Daten genau gemeint sind, um nicht wegen einer Fehlantwort Fristüberschreitungen zu riskieren.

Ihre Antwort muss in verständlicher Form, präzise und transparent erfolgen (einfache und klare Sprache, wenig Fachausdrücke, keine Fachkenntnisse voraussetzen) und für den Fragesteller als Laien leicht technisch zugänglich sein, also ein gängiges Datenformat haben.

Um die Beantwortung zu dokumentieren, sollten Sie immer einen schriftlichen Antwortweg wählen. Die DSGVO sieht vor, dass elektronisch gestellte Anfragen auch elektronisch beantwortet werden, hierbei sind Sie aber für die Daten- und Übermittlungssicherheit verantwortlich.

WICHTIG

Sollte es in Ihrem Unternehmen zu einer Datenschutzpanne gekommen sein, durch die Daten von Betroffenen in falsche Hände oder die Öffentlichkeit geraten sind, müssen Sie von sich aus die hiervon Betroffenen über das Datenleck informieren, wenn für sie ein hohes Risiko besteht (Artikel 34 DSGVO).

Hierzu müssen Sie eine Risikoabwägung und eine Datenschutz-Folgenabschätzung vornehmen. In Fällen mit hohem Risiko für Rechte und Freiheiten der Betroffenen kann auch die Aufsichtsbehörde von Ihnen fordern, dass Sie die Betroffenen informieren.

Die Auskunft muss kostenlos sein

Diese Auskunft muss für den Anfragenden kostenlos erteilt werden. Nur zusätzliche Kopien dürfen Sie eventuell in Rechnung stellen. Falls Sie über sehr große Datenmengen über diese Person verfügen, dürfen Sie eine Präzisierung der Anfrage verlangen. Der Betroffene darf diese Anfrage in „angemessenen Zeitabständen“ wiederholen, ohne dass Sie dafür Aufwendungen abrechnen dürften – etwa um die Umsetzung von Änderungen oder Löschungen zu überprüfen. Welche Zeiträume hierbei als angemessen gelten, werden die Gerichte noch zu klären haben.

Generell haben Sie nur wenige Möglichkeiten, die Auskunft einzuschränken – hier könnten nur die Wahrung der Rechte anderer Personen oder Geschäftsgeheimnisse eine Rolle spielen. Eine komplette Verweigerung der Auskunft dürfte in keinem Fall möglich sein.

In 7 Schritten zur DSGVO-konformen Datenauskunft

Die Datenauskunft und die daraus folgenden Schritte sollten immer und ausschließlich vom Datenschutzbeauftragten durchgeführt werden und nicht etwa „kurz mal nebenbei“ vom Kundendienst oder einem Sachbearbeiter.

Zum einen sieht sich der Betroffene ernster genommen und gewinnt einen professionelleren Eindruck, wenn ein Experte sein Anliegen bearbeitet. Zum anderen haben Kundendienstmitarbeiter nicht die Befugnisse und Möglichkeiten, in sämtliche Systeme einzugreifen, um auch wirklich alle Daten wunschgemäß einzusehen, zu verändern oder zu löschen. Eine unvollständige Datenauskunft oder gar eine nicht vollständige Löschung von Daten kann zur Anzeige bei den Aufsichtsbehörden führen.

Für die Erfassung einer Datenschutzanfrage empfiehlt sich ein Ticketsystem, in dem die einzelnen Bearbeitungsschritte mit Zeitstempel versehen und gut dokumentierbar nachverfolgt werden können.

Schritt 1: Leiten Sie die Anfrage an den Datenschutzbeauftragen Ihres Unternehmens weiter.

Vermerken Sie den Eingangszeitpunkt (Fristberechnung) der Anfrage im Dokument. In Konzernen ist diejenige Gesellschaft für Beantwortung zuständig, die die Datenverarbeitung auch tatsächlich vornimmt. Wenn Sie Auftragsverarbeiter für ein anderes Unternehmen sind, leiten Sie die Anfrage umgehend an den Verantwortlichen Ihres Auftraggebers weiter. Das genaue Verfahren sollte in Ihrem Auftragsverarbeitungsvertrag geregelt sein.

Schritt 2: Bestätigen Sie dem Fragesteller den Eingang seiner Anfrage.

Nutzen Sie dafür am besten den Kommunikationsweg, den der Fragesteller für seine Anfrage gewählt hat, und dokumentieren Sie diese Bestätigung.

Schritt 3: Überprüfen Sie die Identität des Anfragestellers.

Da Sie die Auskunft nur dem Betroffenen selbst oder einer von ihm bevollmächtigten Person erteilen dürfen, müssen Sie zunächst überprüfen, ob der Fragende tatsächlich der Betroffene ist. Nutzen Sie neben dem Namen zusätzliche Identifizierungsmerkmale wie Geburtsdatum, Anschrift oder Kundennummer oder lassen Sie sich hierfür beispielsweise den Personalausweis vorlegen (Sie dürfen diesen aber nicht kopieren!), insbesondere wenn es sich um besonders schützenswerte Daten (Patientenakte etc.) handelt.

Schritt 4: Stellen Sie innerhalb von maximal drei Wochen die Unterlagen für Ihre Antwort zusammen.

Eine Betroffenenauskunft umfasst auf Verlangen des Betroffenen eine Kopie aller personenbezogenen Daten, die das Unternehmen über den Betroffenen besitzt, samt den Antworten auf die oben genannten Fragen. Solange nicht gerichtlich geklärt wurde, wie umfangreich diese Informationen mindestens ausfallen müssen, sollten Sie ALLE Daten über diese Person samt allen Verarbeitungsvorgängen und über alle Abteilungsgrenzen hinweg aus allen Datenverarbeitungsprogrammen kopieren (Verzeichnis der Verarbeitungstätigkeiten nutzen!).

Sollten in diesen Unterlagen auch personenbezogene Informationen zu anderen Personen oder zu Geschäftsgeheimnissen enthalten sein, machen Sie diese unkenntlich.

Schritt 5: Prüfen Sie, ob die ermittelten Daten sich wirklich auf den Anfrager beziehen.

In diesem Schritt sollten Sie beispielsweise Namensgleichheiten ausschließen.

Schritt 6: Beantworten Sie die Anfrage wahrheitsgemäß.

Nutzen Sie für die Auskunft und die Übermittlung der Datenkopien ein sicheres Verfahren. Wenn Sie eine elektronische Auskunft versenden möchten, verschlüsseln Sie die entsprechende E-Mail und alle Anlagen (z. B. geschütztes PDF).

Bei großen Datenmengen kann auch ein verschlüsselter Datenträger oder eine abgesicherte Datenverbindung infrage kommen. Eine mündliche Auskunft ist zwar möglich, wenn die Identität des Gegenübers geprüft werden konnte, allerdings ist die Dokumentation schwierig, daher sollten mündliche Auskünfte nur auf Verlagen des Betroffenen erteilt werden.

Schritt 7: Dokumentieren Sie die Schritte 1-6.

Je nach Dokumentationssystem kann dies elektronisch oder per Datenschutzordner geschehen.

Die weiteren Rechte des Betroffenen

In vielen Fällen wird die Datenauskunft nur der erste Schritt sein, weil die Betroffenen eine bestimmte Absicht mit der Anfrage verbinden. Denn der Betroffene darf von Ihnen verlangen, die ihn betreffenden Daten umgehend – innerhalb eines Monats - zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken.

Außerdem darf er Widerspruch gegen die Datenverarbeitung einlegen und sich bei der Aufsichtsbehörde über die Verarbeitung oder unzureichende Auskünfte hierzu beschweren.

Insgesamt stehen jeder Privatperson laut DSGVO neun Rechte bezüglich ihrer Daten zu, die alle innerhalb eines Monats von Ihnen bearbeitet bzw. begründet abgelehnt werden müssen:

Recht auf Information

Wenn Sie personenbezogene Daten erheben möchten, müssen Sie den Betreffenden zuvor ausführlich über die Art und Zweck der Datenverarbeitung informieren (Art. 13 und 14 DSGVO). Außerdem müssen Sie ihn auf sein Widerspruchsrecht und die Möglichkeit zur Beschwerde hinweisen.

Recht auf Auskunft

Das Recht auf Auskunft (Art. 15 DSGVO), das am Beginn aller Betroffenenauskünfte steht, finden Sie weiter oben.

Recht auf Berichtigung

Stellt der Betroffene aufgrund seiner Anfrage bei Ihnen fest, dass Sie falsche oder unvollständige Daten über ihn gespeichert haben, kann er die unverzügliche Berichtigung bzw. Ergänzung dieser Daten verlangen (Art. 16 DGSVO). Informieren Sie den Betroffenen umgehend, sobald Sie seine Daten geändert haben.

Recht auf Widerspruch

Jeder, dessen Daten Sie verarbeiten, hat das Recht, seine Einwilligung in die Datenverarbeitung (Opt-In) jederzeit und ohne Begründung zu widerrufen (Art. 21 DGSVO). Dies gilt natürlich in jedem Fall, wenn die Einwilligung in die Datenverarbeitung für Werbezwecke gar nicht erteilt wurde. Die Datenverarbeitung muss bei einem Widerspruch in allen Bereichen, in denen ihnen widersprochen wurde – beispielsweise Direktmarketing – sofort und vollständig beendet werden.

Auch die Verwendung für Nutzerprofile und andere Auswertungen muss sofort eingestellt werden. Eine Ausnahme bilden Daten, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden. § 36 BDSG-neu schränkt das Widerspruchsrecht gegenüber öffentlichen Stellen bei einem zwingenden öffentlichen Interesse oder einer zur Verarbeitung verpflichtenden Rechtsvorschrift ein.

Der Betroffene kann auch Sie beauftragen, eine Weiterverarbeitung durch einen von Ihnen beauftragten Dritten zu unterbinden und seine Daten dort löschen zu lassen (Beispiel: Sie haben Daten an Facebook übergeben. Der Nutzer war sich bei seiner Einwilligung darüber nicht im Klaren und kann Sie verpflichten, seine Daten bei Facebook löschen zu lassen).

Informieren Sie den Betroffenen umgehend, sobald Sie die Verarbeitung seiner Daten beendet haben.

TIPP

Entwickeln Sie ein transparentes Widerspruchssystem, bei dem der Nutzer entweder im Kundenkonto oder per Formular/E-Mail der Nutzung seiner Daten für Werbezwecke möglichst leicht widersprechen kann. Auf dieses System sollten Sie den Kunden bereits hinweisen, wenn Sie seine Daten erheben.

Recht auf Löschung/Vergessenwerden

Alle Personen, deren Daten Sie verarbeiten, dürfen verlangen, dass Sie diese Daten löschen, sobald der Zweck der Erhebung erfüllt ist (Art. 17 DGSVO). Dieses Recht wird auch das „Recht auf Vergessenwerden“ genannt. Wenn Sie beispielsweise in Ihrem Shop den Namen und die Adressdaten eines Bestellers erhoben haben und der Kaufvorgang samt Bezahlung abgeschlossen ist, darf der Kunde verlangen, dass Sie seine Daten löschen. Auch wenn der Kunde seine Einwilligung in die Datenverarbeitung vor der Lieferung zurückzieht, müssen Sie den Datensatz löschen – ist die Lieferung allerdings bereits erfolgt, haben Sie das Recht, die Daten bis zur Vertragserfüllung zu speichern. Gelöscht werden müssen Daten, wenn

  • sie unrechtmäßig bzw. nicht konform zu Art. 6 DSGVO erfasst worden sind,
  • die Frist für ihre Speicherung abgelaufen ist,
  • sich der Zweck der Datenerfassung und -verarbeitung geändert hat,
  • der Zweck, für den die Daten erhoben wurden, erfüllt ist,
  • die Löschung zur Einhaltung der Gesetze der EU oder eines Mitgliedstaates erforderlich ist,
  • die Daten erfasst worden sind, als die betroffene Person minderjährig war und damit eine ungültige Einwilligung erteilt hat,
  • der Betroffene die Löschung verlangt.

Wichtig:

Bei allen genannten Punkten außer dem letzten müssen Sie als Datenschutzverantwortlicher selbst darauf achten, dass die Daten von Ihrem Unternehmen aus zeitnah gelöscht werden – es handelt sich hierbei nicht um Löschung nur auf Antrag!

Sie müssen darüber hinaus sicherstellen, dass alle gesammelten und verteilten personenbezogenen Daten gelöscht werden – auch jene, die von Drittparteien verarbeitet worden sind oder veröffentlicht wurden.

WICHTIG

Das Recht auf Vergessenwerden gilt nur innerhalb der europäischen Union. Es besteht bespielweise nicht in den Trefferlisten von in den USA gehosteten oder anderen regionalen Versionen von Suchmaschinen (EUGH-Urteil in der Rechtssache C-507/17).

Hier darf der Suchmaschinenbetreiber darüber entscheiden, ob das Recht auf öffentliche Information oder das Persönlichkeitsrecht des Betroffenen überwiegt (EUGH-Urteil in der Rechtssache C-136/17).

Das Recht auf Löschung ist ausgesetzt, sofern gesetzliche Aufbewahrungsfristen für die Daten bestehen oder wenn die Verarbeitung oder Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. In diesen Fällen kann der Betroffene aber die weitere Verarbeitung der Daten beschränken. Auch bei einem öffentlichen Interesse im Bereich der öffentlichen Gesundheit, Archiv-, Forschungs- und Statistikzwecken kann die Löschung verweigert werden.

Informieren Sie den Betroffenen umgehend, sobald Sie seine Daten gelöscht haben. Anschließend wird auch die Bestätigung der Löschung gelöscht.

Tipp: Es empfiehlt sich, bereits im Vorhinein ein detailliertes Löschkonzept aufzustellen, damit die Löschungen zuverlässig, vollständig und schnellstmöglich durchgeführt werden können.

Recht auf Datenübertragung

Der Betroffene hat das Anrecht, eine vollständige Kopie der dem Unternehmen vorliegenden personenbezogenen Daten zu verlangen und diese anderen Verantwortlichen zu übermitteln – auch maschinell (Art. 20 DGSVO). Hierzu ist ein übliches maschinenlesbares Format zu wählen, etwa eine .csv-Datei.

Die Daten können auch direkt an einen vom Betroffenen beauftragten Dritten übermittelt werden. Hiermit soll der Wechsel beispielsweise von Strom- und Telefonanbietern, aber auch zwischen Plattformen wie sozialen Medien erleichtert werden, indem der gesamte Datenbestand transferiert und die erneute Eingabe der Daten minimiert wird. Für die direkte Übermittlung an einen Dritten muss die Verarbeitung auf einem Vertrag oder einer Einwilligung beruhen und in einem automatisierten Verfahren erfolgen können.

Recht auf Einschränkung der Verarbeitung

Der Betroffene hat nach Art. 18 DGSVO das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  1. die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, oder
  2. die Verarbeitung unrechtmäßig ist und die betroffene Person statt einer Löschung die Einschränkung der Nutzung der personenbezogenen Daten verlangt, oder
  3. der Verantwortliche die personenbezogenen Daten für die Zwecke der ursprünglichen Verarbeitung nicht länger benötigt, sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
  4. die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

In diesen Fällen dürfen die Daten nur begrenzt verarbeitet, aber noch gespeichert werden. Informieren Sie den Betroffenen davon, sobald Sie die Verarbeitung seiner Daten eingeschränkt haben. Sollte die Einschränkung später wieder aufgehoben werden, sind Sie als Verarbeiter wiederum verpflichtet, den Betroffenen vorab darüber zu informieren, dass seine Daten nun wieder im üblichen Rahmen verarbeitet werden.

Unternehmen, die sehr viele Datensätze verwalten, sollten für ein sehr genaues Dokumentationssystem sorgen, in dem die Standardprozesse möglichst automatisiert ablaufen, um die Ein-Monats-Frist nicht zu überschreiten.

Ausnahmen finden sich im BDSG-neu (§ 35).

Recht zur Beschwerde

Wenn der Betroffene den Eindruck gewinnt, dass Sie die Daten nicht in seinem Sinne bzw. wie vereinbart vornehmen, also beispielsweise seine personenbezogenen Daten nicht korrigieren oder löschen, hat er das Recht, sich bei der Aufsichtsbehörde zu beschweren. Aus diesem Grund muss auf Ihrer Website auch die für Sie zuständige Aufsichtsbehörde angegeben werden.

Außerdem kann ein hohes Bußgeld gegen Ihr Unternehmen verhängt werden, wenn Sie Betroffenenanfragen ignorieren oder zu spät beantworten. Die Aufsichtsbehörde muss in jedem Fall tätig werden, wenn sich ein Betroffener an sie wendet (Artikel 57 Absatz 1f DSGVO). Dies kann bei ernsthaften Problemen zu einer behördlichen Prüfung nach Artikel 83 DSGVO führen, die bei mangelnder Vorbereitung sehr teuer werden kann. Sie sollten also Betroffenenanfragen immer innerhalb von einem Monat beantworten können und dafür eine organisatorische Ablaufstruktur vorhalten.

Ganz neu: Die Anti-KI-Regelung

Ein besonderes und auch neues Recht ist jenes auf Unbetroffenheit von maschinellen Entscheidungsprozessen. Hinter dieser eher abstrakten Formulierung verbirgt sich die Entscheidungsfindung allein auf Basis von Datenauswertungen, etwa durch künstliche Intelligenz generiert aus Nutzerprofilen (Artikel 22 Absatz 1 DSGVO).

Die Vorschrift verbietet es, ausschließlich automatisierte Verarbeitungsprozesse zur Entscheidungsgrundlage für die Begründung oder Ablehnung rechtlicher Beziehungen mit Betroffenen zu machen. Dies betrifft etwa das Profiling, aber auch die vollautomatisierte Kreditwürdigkeitsbeurteilung allein auf Datenbankbasis.

Rein maschinell basierten Entscheidungen, die ihn persönlich oder rechtlich erheblich beeinträchtigen, kann der Betroffene ab sofort anfechten. Die Prüfung auf die Bonität bestimmter Zahlungswege wie Kreditkarten oder Lastschriften ist hiervon allerdings nicht berührt.

Fehlerhafte oder unterlassene Auskunft

Wenn Sie die Datenauskunft nicht, nicht vollständig, nicht fristgerecht oder nicht wahrheitsgemäß erteilen, kann die Aufsichtsbehörde ein Bußgeld gegen Ihre Unternehmen verhängen. Die DSGVO ist für ihre hohen Bußgelder bekannt, die bis zu vier Prozent des Vorjahresumsatzes bzw. 20 Millionen Euro reichen können, je nachdem, was höher ist.

Dieser Rahmen wird wohl erst im mehrfachen Widerholungsfalle ausgeschöpft, trotzdem können die Geldbußen recht hoch ausfallen. Da die Möglichkeit der Beschwerde in der DSGVO bewusst vereinfacht wurde und die Behörden dann zur Prüfung verpflichtet sind, sind Strafen hier eher wahrscheinlich.

Schutz von personenbezogenen Unternehmensdaten

Unsere Services und Leistungen zum Datenschutz

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Angebot anfordern 0251 29794740 Remote-Desktop download