Seit Inkrafttreten der DSGVO sind Anfragen von Betroffenen stark im Zunehmen begriffen. Wir zeigen, auf welchen Wegen diese Anfragen erfolgen können und wie sie behandelt werden müssen. [...]
Es existiert in der DSGVO keine Formvorschrift, deshalb gilt jede Betroffenen Anfrage ganz gleich wo und an wen Sie im Unternehmen übermittelt wird. Die Kontaktaufnahme kann postalisch, per Mail, per Fax, mündlich (zum Beispiel in einem Geschäft oder in einer Filiale) oder telefonisch erfolgen.
Eine Erkenntnis nach Einführung der DSGVO existiert: die Anfragen von Betroffenen sind stark im Zunehmen begriffen. Zehn Interaktionen pro Woche sind keine Seltenheit. Problematisch dabei ist, dass Anfragen von Betroffenen an jene Mitarbeiter des Unternehmens gerichtet werden, mit denen bereits ein Geschäftskontakt bestand. Mit anderen Worten: Auskunfts-Begehren bzw. Löschungs-Begehren werden häufig nicht an den Datenschutzbeauftragten gerichtet, auch nicht an den Verantwortlichen (Geschäftsführer), sondern an irgendeinen Mitarbeiter im Unternehmen.
Im Folgenden werden alle Varianten der Kontaktaufnahme durchleuchtet.
Variante 1: Betroffene kontaktieren den DSB
Im Folgenden wird dargestellt, wie die Kommunikation an den Datenschutzbeauftragten oder Verantwortlichen im Falle eines Betroffenen-Begehrens zu erfolgen hat:
Die Kommunikation im Detail:
- Der Betroffene kontaktiert direkt den DSB (Datenschutzbeauftragten) des Unternehmens. Das ist der Regelfall.
- Der Datenschutzbeauftragte verständigt den Verantwortlichen des Unternehmens (oder einen vereinbarten Koordinator innerhalb des Unternehmens) über das Begehren des Betroffenen (Auskunft, Berichtigung, Übermittlung, Löschung).
Die in Frage kommenden Abteilungen des Unternehmens recherchieren nach PbD (Personen-bezogene Daten) des Betroffenen.
- Der Koordinator übermittelt die allenfalls gefundenen Datenblätter an den DSB. Wenn keine Daten gefunden werden, wird eine „Nullmeldung“ geschickt.
- Wird vom Betroffenen eine Berichtigung der Daten begehrt, übermittelt der Koordinator nach erfolgter Berichtigung die Datenblätter an den DSB.
- Falls der Betroffene die Übermittlung der Daten begehrt (Datenportabilität), werden die Daten in maschinell lesbarer Form als Kopie an den DSB geschickt.
- Im Falle eines Löschbegehrens, wird dem DSB die Vollzugsmeldung der Löschung übermittelt.
- Der Datenschutzbeauftragte sendet dem Betroffenen folgende Unterlagen:
- Datenblätter im Falle eines Auskunftsbegehrens sowie im Falle einer begehrten Berichtigung
- Kopie der Daten in maschinell lesbarer Form
- Löschbestätigung
- Sämtliche Informationsflüsse und Kommunikationswege werden dokumentiert und als Nachweis der ordnungsgemäßen Umsetzung der Betroffenenrechte protokolliert.
Variante 2: Betroffene kontaktieren den Verantwortlichen
In diesem Fall wendet sich der Betroffenen nicht an den DSB sondern an den Verantwortlichen – das gilt vor allem für jene Fälle, in denen vom Unternehmen kein DSB benannt wurde.
Die Kommunikation im Detail:
- Der Betroffene kontaktiert direkt Verantwortlichen (Geschäftsführer)
- Der Verantwortliche informiert den DSB (Datenschutzbeauftragte) und den Koordinator innerhalb des Unternehmens über das Begehren des Betroffenen (Auskunft, Berichtigung, Übermittlung, Löschung).
Die in Frage kommenden Abteilungen des Unternehmens recherchieren nach PbD (Personen-bezogene Daten) des Betroffenen.
- Ab dem 3. Schritt erfolgt die Kommunikation wie oben.
Variante 3: Betroffene kontaktieren Irgendwen
Am heikelsten sind jene Fälle, in denen der Betroffene sich weder an den DSB bzw. an den Verantwortlichen wendet, sondern sein Begehren an irgendjemanden im Unternehmen richtet. Die Bandbreite reicht von allgemeinen Postfächern wie z.B: support@firma.at, office@firma.at, info@firma.at bis hin zu Kontaktadressen, die der Betroffene durch Korrespondenz zufällig erhalten hat.
Die Kommunikation im Detail:
- Der Betroffene kontaktiert einen beliebigen Mitarbeiter des Unternehmens oder ein „allgemeines“ Postfach.
- Der kontaktierte Mitarbeiter informiert den Verantwortlichen, den DSB (Datenschutzbeauftragte) und den Koordinator innerhalb des Unternehmens über das Begehren des Betroffenen (Auskunft, Berichtigung, Übermittlung, Löschung).
Die in Frage kommenden Abteilungen des Unternehmens recherchieren nach PbD (Personen-bezogene Daten) des Betroffenen.
- Ab dem 3. Schritt erfolgt die Kommunikation wie oben.
Die wenigsten Betroffenen-Begehren werden an den Verantwortlichen oder an den Datenschutz-Beauftragten adressiert. Die meisten landen in der Inbox von support@firma.at, info@firma.at oder office@firma.at. Vereinzelt werden aber beliebige Mitarbeiter eines Unternehmens kontaktiert. Da kommt es schon einmal vor, dass die Bedeutung eines Betroffenen-Begehren nicht entsprechend gewürdigt wird und die gesetzliche Frist von einem Monat verstreicht, ohne dass die gewünschte Auskunft erteilt bzw die Daten gelöscht werden.
Ein Beispiel: wenn ein Unternehmen auch Filialen/Geschäftsstellen hat, kann es vorkommen, dass der Betroffene jenen Verkäufer in der Geschäftsstelle/Niederlassung kontaktiert, bei dem er seine bisherigen Bestellung aufgegeben hat. So ein Auskunfts-Begehren bleibt unter Umständen bei dem Mitarbeiter liegen, da er keine Anweisungen hat, wie er damit umgehen muss. Es kann aber auch sein, dass der Mitarbeiter trotz Schulung und Belehrung das Ganze nicht so wichtig nimmt. Der Mitarbeiter ist sich u.U. dessen nicht bewusst, dass er sofort handeln und das Begehren sofort an weiterleiten muss.
Der oben beschriebene Ablauf funktioniert nur dann, wenn ALLE Mitarbeiter eines Unternehmens darüber unterrichtet und sensibilisiert sind, wie sie im Falle einer Kontaktaufnahme durch Betroffene zu reagieren haben. Wichtig ist die unverzügliche Weiterleitung, da die Frist zur Beantwortung des Begehrens ab dem Zeitpunkt der Übermittlung/Übergabe läuft.
Herausforderung Mehrfachspeicherung
Insbesondere Unternehmen mit Webshops kennen das Problem der Mehrfach-Registrierung.
Im Klartext heiß das, dass der gleiche Betroffene mit zwei oder mehr Kundennummern existiert. In der Praxis kommt es vor, dass der Betroffene unter einer Kundennummer Waren gekauft hat, unter einer anderen Nummer aber nur registriert ist, ohne dass ein Kauf abgeschlossen wurde.
Begehrt so ein Betroffener die Löschung seiner Daten, kann dem für die Kundennummer ohne Vertragsbeziehung entsprochen werden. Die Daten der Kundennummern mit Verkaufsdaten müssen bis zum Ablauf der vertragsrechtlich relevanten Fristen gespeichert bleiben. Darüber hinaus müssen die buchhalterisch relevanten Daten bis zum Ablauf der gesetzlichen Aufbewahrungspflicht gespeichert bleiben.
Die folgende Abbildung skizziert ein praktisches Beispiel:
Herausforderung: Löschbestätigung
Im Folgenden wird ein Beispiel aus der Praxis für die Textierungen einer Löschbestätigung zitiert:
Wir haben Ihr Löschbegehren vom 25.05.2018 erhalten. Wunschgemäß bestätigen wir hiermit, dass eine Löschung Ihrer Daten durchgeführt wurde. Bitte beachten Sie, dass Daten mit gesetzlich definierten Aufbewahrungsfristen bis zum Ablauf dieser Fristen gespeichert bleiben.
Für weitere Auskünfte stehe ich Ihnen als Datenschutzbeauftragter gerne unter datenschutz@firma.at zur Verfügung.
Sie werden darüber informiert, dass Ihnen das Recht der Beschwerde zusteht. Diese kann an die Datenschutzbehörde www.dsb.gv.at gerichtet werden.
Diese Formulierung ist zwar korrekt, aber nicht befriedigend, da unklar ist, die Daten welcher Kundennummer gelöscht wurden bzw welche Daten weiterhin gespeichert bleiben.
Der Betroffene hat das Recht neuerlich eine Auskunft über seine Daten zu begehren. Damit kann er sich ein Bild davon machen, was nach dem Löschen noch gespeichert ist.
Herausforderung: Neue Adressdaten
An dem folgenden Beispiel soll eine weitere Herausforderung skizziert werden. Ein Betroffener begehrt von einem Unternehmen die Löschung seiner Daten. Er möchte u.a. damit erreichen, dass er kein Werbematerial von diesem Unternehmen mehr erhält. Die Löschung wird ordnungsgemäß durchgeführt und mittels Mail bestätigt.
Monate später startet das Unternehmen eine neue Werbe-Kampagne und kauft zu diesem Zweck Daten von einem Adressverlag. Die Wahrscheinlichkeit, dass die Daten dieses Betroffenen in den gekauften Adressen wieder enthalten ist, ist sehr groß. Erhält dieser Betroffene jedoch neuerlich Werbematerial, fühlt er sich veräppelt, da seine Daten ja angeblich gelöscht wurden. Er verlangt daher neuerlich die Löschung – oder er startet eine Beschwerde bei der Datenschutzbehörde.
Dieses Szenario kann nur dadurch verhindert werden, dass das Unternehmen die Daten des Betroffenen in einer „Sperr-Liste“ vermerkt. Das steht natürlich im Widerspruch zum Löschungs-Begehren. Es liegt also auf der Hand, dass hier die DSGVO nicht konsistent ist. Wie unsere Datenschutz-Juristen bestätigen, ist vermutlich die Speicherung der Daten des Betroffenen in Sperr-Listen erlaubt, „da es im überwiegendem Interesse“ des Unternehmens ist, dem Wunsch des Betroffenen nach Einstellung der Werbe-Zusendungen gerecht zu werden.
Herausforderung: Beweisführung
Ein weiteres Beispiel zeigt, dass die lückenlose Löschung der Daten des Betroffenen nicht 100%ig umsetzbar ist. Als Datenschutzbeauftragte, sind wir verpflichtet, die Umsetzung der DSGVO nachweisen zu können. Dies gilt auch für allfällige Haftungsansprüche des Betroffenen gegenüber dem Unternehmen und/oder dessen Datenschutzbeauftragten.
Wenn sich ein Betroffener bei der Datenschutzbehörde beschwert, dass sein Begehren nach Auskunft oder Löschung der Daten nicht umgesetzt wurde, ist es notwendig nachzuweisen, dass die Auskunft bzw die Löschung erfolgt ist. Damit dieser Nachweis gelingt, ist es erforderlich, das Begehren des Betroffenen, die erfolgte Auskunft sowie die Löschbestätigung zu archivieren,. Auch das steht natürlich im Widerspruch zum Begehren des Betroffenen, dass alle seine Daten gelöscht werden sollen.
Auch hier gilt nach Auskunft der Juristen, dass ein „überwiegendes Interesse“ des Unternehmens bzw dessen Datenschutzbeauftragten besteht, allfällige Schuldzuweisungen durch den Betroffenen widerlegen zu können.
Schlussbemerkung
Der Prozess des Umgangs mit den Begehren Betroffener ist für jedes Unternehmen individuell festzulegen. Dazu braucht es nicht nur Wissen um die Vorgaben der DSGVO und des DSG, sondern auch Praxiserfahrung. Das ist die Kernkompetenz der DSGVO Datenschutz Ziviltechniker GmbH.
Die bisherigen Folgen:
(8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?
Be the first to comment