DSGVO Betroffenenrechte & Auskunftsrecht
Nach der Erfahrung eines Datenschutzbeauftragten ist das Auskunftsersuchen aus Art. 15 DSGVO das am häufigsten genutzte Betroffenenrecht der Datenschutz-Grundverordnung, neben dem Recht auf Löschung (Art. 17 DSGVO) oder dem Widerspruchsrecht bei Werbung (Art. 21 Abs. 2, 3 DSGVO).
Das Auskunftsrecht hat den Vorteil für den Antragsteller/ Betroffenen, dass dieser mit einer einfachen Anfrage nahezu sämtliche Informationen zu der Verarbeitung personenbezogener Daten erhalten kann, die ein Unternehmen zu diesem Betroffenen hat. Das Auskunftsbegehren schafft für den Betroffenen in Puncto Datenverarbeitung die Transparenz, die der Datenschutz nach der DSGVO erreichen möchte.
Hieraus können sich jedoch für Unternehmen erhebliche organisatorische Schwierigkeiten ergeben. Die erste Hürde ist die Menge und Vielfalt an Informationen, die bereitgestellt werden muss. Die DSGVO schreibt genau vor, welche Informationen die betroffene Person zu „ihren“ Daten bekommen muss:
- die Zwecke der Verarbeitung der personenbezogenen Daten;
- die Kategorien der verarbeiteten Daten (bspw. Name, Geburtsdatum, Hobbies, etc.);
- Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere wenn die Empfänger außerhalb der EU sitzen;
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer;
- das Bestehen weiterer Betroffenenrechte, nämlich des Rechts auf Berichtigung oder Löschung, das Recht auf Einschränkung der Verarbeitung und das Widerspruchsrecht;
- das Recht, sich bei der zuständigen Aufsichtsbehörde beschweren zu können;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person selbst erhoben worden sind, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und in diesen Fällen aussagekräftige Informationen über die involvierte Logik hinter dem Profiling sowie die Tragweite und die angestrebten Auswirkungen dieser Maßnahme für die betroffene Person.
Diese Kombination von gesetzlichen Vorgaben und Zeitdruck sind es, die das Auskunftsersuchen für Unternehmen zu einem erheblichen Risiko machen können.
Eine nicht rechtzeitig oder unvollständig erteilte Auskunft kann einen unzufriedenen Betroffenen schnell dazu bringen, sich bei der Aufsichtsbehörde zu beschweren. Dies kann im schlimmsten Fall zu einem Bußgeld für das Unternehmen führen.
Aus diesen Gründen muss ein verantwortliches Unternehmen sich bereits im Voraus auf ein Auskunftsersuchen einstellen.
In einem ersten Schritt sollte eine zentrale Anlaufstelle geschaffen werden. Auskunftsersuchen, die an der falschen Stelle eingehen und tagelang im Unternehmen kursieren, können die verbleibende Zeit der Monatsfrist, erheblich verkürzen. Hierfür bietet sich natürlich der Datenschutzbeauftragte an. Ist kein Datenschutzbeauftragter benannt, muss eine andere Person diese Aufgabe. Wichtig ist natürlich auch, alle Kollegen über diese Anlaufstelle zu unterrichten. Diese zentrale Anlaufstelle hat auch die Aufgabe die Identität des Antragstellers zu überprüfen. Ist nicht sichergestellt, dass der Antragsteller der ist, der er vorgibt zu sein, so kann das Unternehmen weitere Informationen anfordern. Erst wenn sichergestellt ist, dass es sich um die richtige Person handelt, sollte man fortfahren.
Der nächste Schritt ist die Schaffung eines Prozesses, der es erlaubt, alle erforderlichen Informationen möglichst schnell zusammenzutragen. Dies kann mithilfe von Mitarbeitern erfolgen, die wissen wo sie die notwendigen Informationen finden, wie beispielsweise Abteilungsleitern oder Mitarbeitern der IT. Dieses Vorgehen bindet natürlich Mitarbeiter. Je nach Komplexität der Infrastruktur, aus der diese Informationen herausgeholt werden müssen, sind mehrere Kollegen wochenlang damit beschäftigt, die erforderlichen Informationen zusammenzutragen.
Auskunftsersuchen über 2B Advice PrIME
Eine andere Möglichkeit ist eine softwaregestützte Lösung. Um ein Auskunftsersuchen zeitnah zu beantworten und unternehmensintern abzuwickeln, bietet sich 2B Advice PrIME an. In 2B Advice PrIME können Anfragen mittels Ticketsystem zentral eingehen und als Tickets angelegt werden. Für jede Art von Datenschutzanfragen (Auskunft, Löschen, Berichtigen, Widerruf etc.) können eigene Workflows definiert und hinterlegt werden. So können Unternehmensprozesse in 2B Advice PrIME abgebildet werden.
Ein Workflow weißt einzelnen Mitarbeitern im Unternehmen Maßnahmen zu, welche durch den jeweiligen Mitarbeiter bearbeitet werden. Das Unternehmen behält stets den Überblick über den Bearbeitungsstand des Auskunftsersuchens und kann jederzeit eingreifen, wenn es an einer Stelle einmal hängt.
Durch diese softwaregestützte Bearbeitung können stets alle Schritte des Auskunftsersuchens dokumentiert werden. In einer Maßnahme ist es möglich eine interne Frist zu setzen bis zu der die Informationen vorliegen müssen. Durch Fristen kann die zentrale Anlaufstelle sicherstellen, dass das Auskunftsersuchen auch innerhalb der gesetzlichen Frist bearbeitet wird. In 2B Advice PrIME gibt es darüber hinaus umfangreiche Reporting Funktionen, welche das Monitoring von Datenschutzanfragen erlauben. Die Möglichkeit diesen Prozess vollständig zu dokumentieren ermöglicht Ihnen im Falle eines Streits mit dem Betroffenen den Nachweis, dass Sie alles getan haben, was das Gesetz von Ihnen verlangt. Damit kommen Sie auch der Vorgabe der Rechenschaftspflicht nach, die den Unternehmen von Art. 5 Abs. 2 DSGVO in Datenschutzangelegenheiten aufgegeben wird.
Durch die Funktionen in 2B Advice PrIME werden die Mitarbeiter optimal bei der Abarbeitung von Anfragen unterstützt. So ist das Auskunftsersuchen stets zentral unter Kontrolle und das Risiko von Strafen wird minimiert.
Abschluss des Auskunftsersuchens
Der Betroffene hat mit seinem Recht auf Auskunft auch einen Anspruch auf eine Kopie dieser Informationen. Dies darf jedoch nicht auf eine Weise verstanden werden, die es dem Betroffenen ermöglicht, alle Daten zu seiner Person „abzugreifen“. Es dürfen beispielsweise keine Daten herausgegeben werden, die andere Personen als den Antragsteller erfassen oder interne Geschäftsgeheimnisse betreffen. Auch aus diesem Grund muss ein gründlicher Prozess existieren, der auch verhindert, dass unzulässige Daten an den Antragsteller fließen.
Ist der Prozess abgeschlossen und alle erforderlichen Informationen zusammengestellt, sollten diese dem Antragsteller nach Auffassung der Aufsichtsbehörde Nordrhein-Westfalens nur mit der Post zugestellt werden. Ein Versand per E-Mail sei zu unsicher. Wenn Sie jedoch Maßnahmen eingerichtet haben, die einen sicheren elektronischen Transfer der Daten gewährleistet, so kann auch dieser Weg zulässig sein.