FAQ Betroffenenrechtsanfragen

Die DSGVO überfordert Sie? Wir haben Antworten auf die wichtigsten Fragen zur Beantwortung von Betroffenenrechtsanfragen.

Die DSGVO überfordert Sie? Keine Lust, Sich in noch ein Thema intensiv einzuarbeiten? Wir haben Antworten auf die wichtigsten Fragen zur Beantwortung von Betroffenenrechtsanfragen durch Verantwortliche.

Haben Sie noch mehr Fragen? Schreiben Sie uns unter info@privapi.io und wir nehmen Ihre Frage und die Antwort hier auf.

Welche Betroffenenrechte gibt es? 

Mit der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO / GDPR) im Jahr 2018 wurden die Rechte vonBetroffenen (Personen, deren personenbezogene Daten verarbeitet werden)europaweit kodifiziert. Vor dem Hintergrund der informellen Selbstbestimmung können Betroffene Ihre Rechte jederzeit gegenüber Unternehmen geltend machen, die Ihre Daten verarbeiten (sogenannte "Verantwortliche").

Aus den Rechten für Betroffene, die in Art. 12bis 23 DSGVO definiert werden, ergeben sich im Wesentlichen folgendeArten von Anfragen an Verantwortliche:

Auskunftsrecht der betroffenen Person

Art.  15 DSGVO

Die betroffene Person hat das Recht, von dem  Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende  personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein  Recht auf Auskunft über diese personenbezogenen Daten. Die Auskunft muss  darüber hinaus die in Art. 15 DSGVO genannten Informationen beinhalten.

Recht auf Berichtigung

Art.  16 DSGVO

Die betroffene Person hat das Recht, von dem  Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger  personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der  Verarbeitung hat die betroffene Person das Recht, die Vervollständigung  unvollständiger personenbezogener Daten – auch mittels einer ergänzenden  Erklärung – zu verlangen.

Recht auf Löschung

Art.  17 DSGVO

Die betroffene Person hat das Recht, von dem  Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten  unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die in Art. 17  aufgeführten Tatbestände erfüllt sind.

 

Recht auf Einschränkung der Verarbeitung

Art.  18 DSGVO

Die betroffene Person hat das Recht, von dem  Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine  der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.

 

Recht auf Datenübertragbarkeit

Art.  20 DSGVO

Die betroffene Person hat das Recht, die sie  betreffenden personenbezogenen Daten, die sie einem Verantwortlichen  bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen  Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.

 

Widerspruchsrecht

Art.  21 DSGVO

Die betroffene Person hat das Recht, aus Gründen,  die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die  Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies  gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Wann muss ich auf eine Anfrage reagieren? 

Grundsätzlich sind alle Anfragen in allen Formen zu akzeptieren, soweit sie erkennbar an den Verantwortlichen für die Datenverarbeitung gerichtet wurden (z. B. mündlich, telefonisch, schriftlich oder per E-Mail).

Keine Pflicht zur Reaktion besteht, wenn Anfragen überKanäle gerichtet werden, die erkennbar nicht dem Verantwortlichen zuzurechnen sind (z. B. ein nicht vom Verantwortlichen betriebene Facebook Gruppe) oder erkennbar nicht zur Entgegennahme von solchen Anfragen vorgesehen sind (bspw. in einer vom Verantwortlichen angebotenen Funktion zur Bewertung von Produkten auf einer Webseite).

Ebenfalls können Betroffenenrechtsanfragen, die an einzelne Mitarbeiter per E-Mail gerichtet werden, die in den Prozess der Bearbeitung vonAnfragen nicht eingebunden sind (und somit Anfragen möglicherweise nicht als solche erkennen können), als nicht eingegangen betrachtet werden.

Dennoch sollte der Verantwortliche, im Rahmen guter Praxis, ausreichende Vorkehrungen treffen, Betroffenenrechtsanfragen auch in unüblichen Kanälen zu identifizieren und in den Bearbeitungsprozess zu übergeben. Mitarbeiter sollten daher ausreichend geschult werden, um Anfragen im DSGVO-Kontext erkennen und diese an die zutreffende Stelle beim Verantwortlichen weiterleiten zu können. Entsprechende Datenschutz-Schulungen lassen sich online erwerben, ohne dass man das Rad neu erfinden muss, bspw. Datenschutzschulungen von www.e-sec.com.

Wie lange habe ich Zeit für die Bearbeitung?

Die DSGVO sieht vor, dass Betroffenenrechtsanfragen unverzüglich, spätestens jedoch einen Monat nach Eingang der Anfrage umzusetzen sind. InAusnahmefällen, wenn Anzahl oder Komplexität der Anfragen entsprechend hoch sind, kann die Frist um weitere zwei Monate verlängert werden. Der Betroffene ist hierüber innerhalb eines Monats nach Eingehen der Anfrage zu informieren und die Gründe für die Verzögerung sind darzulegen.

Kann ich personenbezogene Daten ohne Weiteres herausgeben?

Nein, Sie müssen zunächst die Identität des Anfragenden verifizieren. Sich nur auf die Nennung eines Namens in einem Schreiben oder einer E-Mail zu verlassen, ist nicht ausreichend. Auch die Absender-Adresse in einerE-Mail reicht nicht aus, um die Identität sicher zu bestätigen.

Sie müssen daher weitere Informationen anfordern, soweit diese nicht bereits mit der Anfrage mitgeschickt wurden.

Weitere Hilfestellungen für die Identifizierung vonBetroffenen können Sie in unserem Blogeintrag Bearbeitung von Auskunftsersuchen nach Art. 15 DSGVO nachlesen.

Kann ich auf Anfragen per E-Mail antworten?

Die allermeisten Anfragen werden per E-Mail gestellt. EineAnfrage per E-Mail zu beantworten stellt auch die am wenigsten Aufwendige Methode dar. Vorsicht ist allerdings geboten, wenn personenbezogene Daten in dieser E-Mail versendet werden sollen. Beispielsweise soll im Falle eines Auskunftsersuchens nachArt. 15 DSGVO eine Kopie der verarbeiteten Daten bereitgestellt werden. E-Mails ohne weitere Verschlüsselung sind kein sicheres Medium, die Wahrung der Vertraulichkeit der personenbezogenen Daten ist nicht gewährleistet.

Um die Vertraulichkeit zu gewährleisten sind daher lediglich verschlüsselte Übertragungen zu empfehlen. Der Gesetzgeber stellt sich sogar vor, dass Sie als Verantwortlicher dem Betroffenen einen Fernzugang über einsicheres System zu seinen Daten bereitstellen (siehe Erwägungsgrund 63). 

Was passiert, wenn ich nicht rechtzeitig oder nicht richtig antworte?

Sollten Sie die Anfrage nicht innerhalb der vorgesehenen 30 Tage beantworten und den Betroffenen auch nicht über eine Verlängerung der Bearbeitungsfrist(siehe oben) informieren, kann der Betroffene sich bei der zuständigen Datenschutzbehörde beschweren. Dies kann dazu führen, dass die Datenschutzbehörde eine Untersuchung anstößt und eine schriftliche Stellungnahme von Ihnen anfordert. Daraufhin kann die Behörde ein Bußgeld aussprechen oder die Untersuchung ausweiten. Die Behörde möchte herausfinden, ob ein Einzelfall oder ein systematischer Verstoß vorliegt. Sollte die Datenschutzbehörde feststellen, dass Ihre Organisation Betroffenenrechtsanfragen in mehreren Fällen nicht DSGVO-konform umsetzt und womöglich auch gar keine geeigneten Prozesse implementiert hat, wird die Höhe des Bußgeldes deutlich steigen.

Der Betroffene oder Vertreter (z.B. Verbraucherschutzvereine) können eine Abmahnung erwirken. In diesem Fall müssen Sie ebenfalls mit nicht unerheblichen Kosten rechnen.

Art. 82 DSGVO eröffnet auch den Weg des Schadenersatzes für materielle oder gar immaterielle Schäden. Die Bandbreite des zugesprochenen Schadenersatzes bei Verstößen gegen die Pflichten nach Art. 12 bis 23 DSGVO reicht in aktuellen Urteilen von 0 € (LG Köln, Urteil vom 16. Februar 2022 – 28 O303/20) bis zu 5 T€ (ArbG Düsseldorf, Urteil vom 5. März 2020 – 9 Ca6557/18). 

Wie hoch sind die Bußgelder bei Verstößen gegen die Betroffenenrechte?

Unabhängig vom zivilrechtlichen Schadenersatz, kann die zuständige Aufsichtsbehörde ein Bußgeld verhängen. Laut einer Übersicht von CMS Hasche Sigle unter https://www.enforcementtracker.com/wurden europaweit 111 Bußgelder wegen Verstoß gegen die gesetzeskonforme Erfüllung von Betroffenenrechten ausgesprochen. Die kumulierte Höhe derBußgelder betrug ca. 18.748 T€. Rein rechnerisch beträgt damit das durchschnittliche Bußgeld 169 T€.

Es ist jedoch anzumerken, dass in der Bußgeldhöhe Ausreißer mit schweren Verstößen und entsprechend hohen Bußgeldern vertreten sind und der rechnerische Durchschnitt daher nicht wirklich dem Erwartungswert entspricht. Die DSGVO sieht eine maximale Bußgeldhöhe von bis zu 20 Mio. € oder 4% des globalen Konzernumsatzes vor. Die tatsächliche Berechnung folgt einem mehr oder weniger einheitlichen Schema und wird durch die Einschätzung der Parameter durch die Behörde beeinflusst.

Kann mir jemand bei der Bearbeitung helfen?

Ja, Ihnen kann geholfen werden! Die Software PRIVAPI PORTAL ermöglicht den organisierten Erhalt und die Bearbeitung von Betroffenenrechtsanfragen. Dabei unterstützt die Software bei der Identifizierung von Betroffenen, ermöglicht den verschlüsselten Datenaustausch, kann Vorlagen für die Beantwortung teilweise individuell erstellen und überwacht fristen. Darüber hinaus können Sie Ihre Apps oder Webseiten direkt integrieren.

Damit erreichen Sie eine erhebliche Reduzierung der Risiken und beschleunigen die Beantwortung von Anfragen um ein Vielfaches. Durch die verfügbaren Vorlagen müssen Sie kein Experte im Datenschutzrecht sein, um Anfragen bearbeiten zu können. 

Sollten Sie darüber hinaus auch tatkräftige Unterstützung in Datenschutzfragen benötigen, kontaktieren Sie uns gerne unter info@privapi.io.

Weitere Blog Posts, die für Sie interessant sein könnten: