Die DSGVO überfordert Sie? Keine Lust, Sich in noch ein Thema intensiv einzuarbeiten? Wir haben Antworten auf die wichtigsten Fragen zur Beantwortung von Betroffenenrechtsanfragen durch Verantwortliche.
Haben Sie noch mehr Fragen? Schreiben Sie uns unter info@privapi.io und wir nehmen Ihre Frage und die Antwort hier auf.
Mit der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO / GDPR) im Jahr 2018 wurden die Rechte vonBetroffenen (Personen, deren personenbezogene Daten verarbeitet werden)europaweit kodifiziert. Vor dem Hintergrund der informellen Selbstbestimmung können Betroffene Ihre Rechte jederzeit gegenüber Unternehmen geltend machen, die Ihre Daten verarbeiten (sogenannte "Verantwortliche").
Aus den Rechten für Betroffene, die in Art. 12bis 23 DSGVO definiert werden, ergeben sich im Wesentlichen folgendeArten von Anfragen an Verantwortliche:
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten. Die Auskunft muss darüber hinaus die in Art. 15 DSGVO genannten Informationen beinhalten.
Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die in Art. 17 aufgeführten Tatbestände erfüllt sind.
Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Grundsätzlich sind alle Anfragen in allen Formen zu akzeptieren, soweit sie erkennbar an den Verantwortlichen für die Datenverarbeitung gerichtet wurden (z. B. mündlich, telefonisch, schriftlich oder per E-Mail).
Keine Pflicht zur Reaktion besteht, wenn Anfragen überKanäle gerichtet werden, die erkennbar nicht dem Verantwortlichen zuzurechnen sind (z. B. ein nicht vom Verantwortlichen betriebene Facebook Gruppe) oder erkennbar nicht zur Entgegennahme von solchen Anfragen vorgesehen sind (bspw. in einer vom Verantwortlichen angebotenen Funktion zur Bewertung von Produkten auf einer Webseite).
Ebenfalls können Betroffenenrechtsanfragen, die an einzelne Mitarbeiter per E-Mail gerichtet werden, die in den Prozess der Bearbeitung vonAnfragen nicht eingebunden sind (und somit Anfragen möglicherweise nicht als solche erkennen können), als nicht eingegangen betrachtet werden.
Dennoch sollte der Verantwortliche, im Rahmen guter Praxis, ausreichende Vorkehrungen treffen, Betroffenenrechtsanfragen auch in unüblichen Kanälen zu identifizieren und in den Bearbeitungsprozess zu übergeben. Mitarbeiter sollten daher ausreichend geschult werden, um Anfragen im DSGVO-Kontext erkennen und diese an die zutreffende Stelle beim Verantwortlichen weiterleiten zu können. Entsprechende Datenschutz-Schulungen lassen sich online erwerben, ohne dass man das Rad neu erfinden muss, bspw. Datenschutzschulungen von www.e-sec.com.
Die DSGVO sieht vor, dass Betroffenenrechtsanfragen unverzüglich, spätestens jedoch einen Monat nach Eingang der Anfrage umzusetzen sind. InAusnahmefällen, wenn Anzahl oder Komplexität der Anfragen entsprechend hoch sind, kann die Frist um weitere zwei Monate verlängert werden. Der Betroffene ist hierüber innerhalb eines Monats nach Eingehen der Anfrage zu informieren und die Gründe für die Verzögerung sind darzulegen.
Nein, Sie müssen zunächst die Identität des Anfragenden verifizieren. Sich nur auf die Nennung eines Namens in einem Schreiben oder einer E-Mail zu verlassen, ist nicht ausreichend. Auch die Absender-Adresse in einerE-Mail reicht nicht aus, um die Identität sicher zu bestätigen.
Sie müssen daher weitere Informationen anfordern, soweit diese nicht bereits mit der Anfrage mitgeschickt wurden.
Weitere Hilfestellungen für die Identifizierung vonBetroffenen können Sie in unserem Blogeintrag Bearbeitung von Auskunftsersuchen nach Art. 15 DSGVO nachlesen.
Die allermeisten Anfragen werden per E-Mail gestellt. EineAnfrage per E-Mail zu beantworten stellt auch die am wenigsten Aufwendige Methode dar. Vorsicht ist allerdings geboten, wenn personenbezogene Daten in dieser E-Mail versendet werden sollen. Beispielsweise soll im Falle eines Auskunftsersuchens nachArt. 15 DSGVO eine Kopie der verarbeiteten Daten bereitgestellt werden. E-Mails ohne weitere Verschlüsselung sind kein sicheres Medium, die Wahrung der Vertraulichkeit der personenbezogenen Daten ist nicht gewährleistet.
Um die Vertraulichkeit zu gewährleisten sind daher lediglich verschlüsselte Übertragungen zu empfehlen. Der Gesetzgeber stellt sich sogar vor, dass Sie als Verantwortlicher dem Betroffenen einen Fernzugang über einsicheres System zu seinen Daten bereitstellen (siehe Erwägungsgrund 63).
Sollten Sie die Anfrage nicht innerhalb der vorgesehenen 30 Tage beantworten und den Betroffenen auch nicht über eine Verlängerung der Bearbeitungsfrist(siehe oben) informieren, kann der Betroffene sich bei der zuständigen Datenschutzbehörde beschweren. Dies kann dazu führen, dass die Datenschutzbehörde eine Untersuchung anstößt und eine schriftliche Stellungnahme von Ihnen anfordert. Daraufhin kann die Behörde ein Bußgeld aussprechen oder die Untersuchung ausweiten. Die Behörde möchte herausfinden, ob ein Einzelfall oder ein systematischer Verstoß vorliegt. Sollte die Datenschutzbehörde feststellen, dass Ihre Organisation Betroffenenrechtsanfragen in mehreren Fällen nicht DSGVO-konform umsetzt und womöglich auch gar keine geeigneten Prozesse implementiert hat, wird die Höhe des Bußgeldes deutlich steigen.
Der Betroffene oder Vertreter (z.B. Verbraucherschutzvereine) können eine Abmahnung erwirken. In diesem Fall müssen Sie ebenfalls mit nicht unerheblichen Kosten rechnen.
Art. 82 DSGVO eröffnet auch den Weg des Schadenersatzes für materielle oder gar immaterielle Schäden. Die Bandbreite des zugesprochenen Schadenersatzes bei Verstößen gegen die Pflichten nach Art. 12 bis 23 DSGVO reicht in aktuellen Urteilen von 0 € (LG Köln, Urteil vom 16. Februar 2022 – 28 O303/20) bis zu 5 T€ (ArbG Düsseldorf, Urteil vom 5. März 2020 – 9 Ca6557/18).
Unabhängig vom zivilrechtlichen Schadenersatz, kann die zuständige Aufsichtsbehörde ein Bußgeld verhängen. Laut einer Übersicht von CMS Hasche Sigle unter https://www.enforcementtracker.com/wurden europaweit 111 Bußgelder wegen Verstoß gegen die gesetzeskonforme Erfüllung von Betroffenenrechten ausgesprochen. Die kumulierte Höhe derBußgelder betrug ca. 18.748 T€. Rein rechnerisch beträgt damit das durchschnittliche Bußgeld 169 T€.
Es ist jedoch anzumerken, dass in der Bußgeldhöhe Ausreißer mit schweren Verstößen und entsprechend hohen Bußgeldern vertreten sind und der rechnerische Durchschnitt daher nicht wirklich dem Erwartungswert entspricht. Die DSGVO sieht eine maximale Bußgeldhöhe von bis zu 20 Mio. € oder 4% des globalen Konzernumsatzes vor. Die tatsächliche Berechnung folgt einem mehr oder weniger einheitlichen Schema und wird durch die Einschätzung der Parameter durch die Behörde beeinflusst.
Ja, Ihnen kann geholfen werden! Die Software PRIVAPI PORTAL ermöglicht den organisierten Erhalt und die Bearbeitung von Betroffenenrechtsanfragen. Dabei unterstützt die Software bei der Identifizierung von Betroffenen, ermöglicht den verschlüsselten Datenaustausch, kann Vorlagen für die Beantwortung teilweise individuell erstellen und überwacht fristen. Darüber hinaus können Sie Ihre Apps oder Webseiten direkt integrieren.
Damit erreichen Sie eine erhebliche Reduzierung der Risiken und beschleunigen die Beantwortung von Anfragen um ein Vielfaches. Durch die verfügbaren Vorlagen müssen Sie kein Experte im Datenschutzrecht sein, um Anfragen bearbeiten zu können.
Sollten Sie darüber hinaus auch tatkräftige Unterstützung in Datenschutzfragen benötigen, kontaktieren Sie uns gerne unter info@privapi.io.