Professioneller Umgang bei Datenschutzanfragen & Betroffenenanfragen
Kategorie: Datenschutz
Unsere Lösung für Sie:
- Analyse der Ist-Situation
- Beratung bei der zeitlichen Optimierung von Betroffenenanfragen
- Unterstützung bei der Anpassung der Datenschutzstandards, um Anfragen zu Datenexporten zu vereinfachen
- Unterstützung und Erstellung von Auskunftsvorlagen für schnellere Bearbeitungszeiten
- Schulung / Sensibilisierung der Mitarbeiter beim Thema Betroffenenanfragen sowie Rechte und Pflichten
Wir helfen sofort!
Jetzt melden und Vorteile sichern!
Ihr direkter Draht für Datenschutzanfragen und Betroffenenanfragen
+49 (0) 157 595 000 55
info@andre-sandner.com
Die im Kontaktformular eingetragenen und übermittelten Daten werden zwecks Bearbeitens der Anfrage gespeichert. Die vollständigen Datenschutz-Hinweise finden Sie in der Datenschutzerklärung.
Und für alle die es genauer wissen möchten …
Die DSGVO regelt ganz klar, welche Rechte und Pflichten die Unternehmen und Betroffenen haben. Die Rechte der Betroffenen sollten in jeder Datenschutzerklärung enthalten sein, um Missverständnissen bei Anfragenden zu reduzieren.
Solange Sie keine Anfragen zu Datenänderungen oder Datenlöschungen erhalten, wird das Thema recht häufig zu oberflächlich behandelt. Doch genau hier entscheidet sich, ob Sie bei einer Betroffenenanfrage professionell agieren oder erst Daten suchen müssen – oder gar nicht erst finden.
Grundsätzlich sind sensibilisierte Mitarbeiter ein erster richtiger Schritt, da sie verstehen, welche Pflichten ein Unternehmen bei Datenschutzanfragen hat. Daher sind Schulungen zum Aufbau eines Datenschutz-Grundverständnisses ein gutes Mittel, um auch einfach Fragen zu klären.
Hier ein paar Beispielfragen:
Wer ist Betroffener?
Ein Betroffener ist jede natürliche Person, die mit den von Ihnen verarbeiteten Daten in Verbindung gebracht werden kann.
Was können Betroffene verlangen?
Wenn Sie personenbezogene Daten verarbeiten, stehen den betroffenen Personen folgende Rechte zu:
- Recht auf Auskunft
- Recht auf Löschung
- Recht auf Berichtigung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch gegen die Datenverarbeitung
Was können Betroffene verlangen und was nicht?
Die Auskunft und Berichtigung falscher Daten kann ein Betroffener jederzeit verlangen, sofern keine außergewöhnlichen Umstände bestehen.
Das Recht auf Datenübertragbarkeit besteht grundsätzlich dann, wenn der Datenexport technisch machbar ist und keine Drittrechte, wie zum Beispiel Geschäftsgeheimnisse, verletzt werden.
Das Recht auf Löschen kann der Betroffene jederzeit verlangen, sofern keine gesetzlichen Aufbewahrungsfristen oder berechtigte Interessen entgegenstehen. Es ist auf jeden Fall hilfreich, wenn geeignete Aufbewahrungsfristen im Verarbeitungsverzeichnis definiert wurden.
Das Recht auf Einschränkung der Verarbeitung wird ähnlich dem Recht auf Löschen behandelt und muss ebenfalls im Einzelfall geprüft werden.
Wie schnell muss eine Betroffenenanfrage beantwortet werden?
Grundsätzlich sollte eine Anfrage eines Betroffenen so schnell wie möglich beantwortet werden – innerhalb einer Woche ist ein guter Wert, maximal jedoch innerhalb von vier Wochen.
Dennoch gibt es, je nach Umfang der Anfrage, auch Dienstleister, welche mitwirken müssen oder interne Prüfungen für ein berechtigtes Interesse. Dies ist meist nicht innerhalb einer Woche zu lösen, sodass mit einer Kombination aus Kommunikationspolitik dem Betroffenen gegenüber und effizienten Prozessen entgegengewirkt werden kann.
Sollten Sie selbst umfangreiche Anfragen nicht innerhalb von zwei Wochen bearbeiten können, empfiehlt sich eine Prozessoptimierung.
Was sind die Konsequenzen, falls Datenschutzanfragen nicht oder nur verzögert bearbeitet werden?
Jeder Betroffene hat das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen. Ausbleibende oder fehlerhafte Kommunikation in der Anfrage, keine vollständige Bearbeitung der Betroffenenanfrage – im schlimmsten Fall drohen Bußgelder.
So sollte eine Betroffenenanfrage bearbeitet werden
Die Bearbeitung einer Datenschutzanfrage variiert je nach Verlangen des Betroffenen.
Erhalten Sie von einem ehemaligen Kunden die Bitte, sein Kundenkonto zu deaktivieren, dann reicht hier die einfache Bestätigung, dass dies umgesetzt wurde. Umfangreicher dagegen sind Verlangen nach dem Datenexport oder Datenabfragen. Hierfür werden meist Auskunftsvorlagen verwendet, um keine Informationen zu vergessen und nicht relevante Daten zu kommunizieren.
Hier finden Sie eine allgemeine Empfehlung zur Umsetzung einer Betroffenenanfrage:
- Versenden Sie eine Eingangsbestätigung mit Angaben, zu wann mit einer Antwort zu rechnen ist … Vergessen Sie die vier Wochen-Frist nicht!
- Prüfen Sie, ob der Anfragende auch der Betroffene ist – Falls Ihnen Fehler unterlaufen, ist dies ggf. eine Datenpanne und muss gemeldet werden.
- Prüfung des Verlangens – Ist die Anfrage des Betroffenen berechtigt oder bestehen zum Beispiel gesetzliche Aufbewahrungsfristen oder ein berechtigtes Interesse.
- Umsetzung der Anfrage
- Beantworten Sie die Anfrage des Betroffenen gemäß den notwendigen Informationen. Zur Bestätigung reicht bei manchen Anfragen eine kurze Bestätigung, bei Datenexporten oder Datenabfragen empfiehlt sich eine Auskunftsvorlage. Wichtig: Vergessen Sie keine Information zur korrekten Bearbeitung der Anfrage.
- Sollten Schwachstellen oder Probleme bei der Bearbeitung aufgetreten sein, dann optimieren Sie den Bearbeitungsprozess oder Unternehmensprozesse zur Einhaltung der Datenschutzvorschriften.