Die Datenschutz-Checkliste

Für die betriebliche Praxis – ohne Fachjargon

Dokumentation der Erfüllung von Betroffenenrechten

Was ist das?

Was sind Betroffenenrechte?

Personen, deren Daten von einem Unternehmen gespeichert oder irgendwie genutzt werden, heißen im Datenschutz „Betroffene“. Diese Personen haben bestimmte, gesetzlich garantierte Rechte, das sind beispielsweise das Menschenrecht auf die Achtung des Privatlebens oder das Grundrecht auf den Schutz der eigenen personenbezogenen Daten.

Auf der Grundlage dieser Rechte können sich beispielsweise Kunden oder Beschäftigte mit folgenden Anliegen bezüglich der sie selbst betreffenden Daten an ein Unternehmen wenden:

Auskunft über die vorhandenen Daten (Recht auf Auskunft),
Berichtigung der vorhandenen Daten (Recht auf Berichtigung),
Löschung der vorhandenen Daten (Recht auf Löschung und Recht auf Vergessenwerden),
Einschränkung der Verarbeitung der vorhandenen Daten (Recht auf Einschränkung der Verarbeitung),
Übertragung der vorhandenen Daten an einen anderen Anbieter (Recht auf Datenübertragbarkeit),
Widerspruch gegen die Verarbeitung von Daten zur Direktwerbung und anderen berechtigten Interessen (Widerspruchsrecht),

(Es besteht ferner das Recht, nur in bestimmten Fällen einer automatisierten Entscheidungsfindung unterworfen werden zu dürfen. Da solche Vorgänge im Normalfall in Unternehmen nicht zum Einsatz kommen, werden sie hier nicht weiter erläutert.)

Bevor man einer Person Ihre Betroffenenrechte erfüllt, ist man verpflichtet sicherzustellen, dass die betroffene Person auch diejenige ist, die sie vorgibt zu sein. Es ist allerdings verboten, vorbeugend Daten einzusammeln, die nur der Identifizierung dienen, solange dies kein relevanter Teil der Dienstleistung ist. Hat man begründete Zweifel an der Identität der Person, darf man jedoch zusätzliche Informationen einholen, um die Identität der Person sicherzustellen. Hierbei sind aber immer die am wenigstens eingreifenden Mittel zu wählen, mit denen die Identifizierung erreicht werden kann. Es ist nicht einfach so erlaubt, um eine Ausweiskopie zu bitten.

Eine Identifizierung der betroffenen Person kann jedoch auch mit bereits vorhandenen Daten vornehmen. Hierbei kann man bei der betroffenen Person Daten abgleichen, die nur diese kennen sollte, wie etwa zu ihrer Kaufhistorie, falls man der Person Waren oder Dienstleistungen verkauft hat.

Und das muss ich dokumentieren?

Ja. Alles, was man an Pflichten im Datenschutz erfüllt, muss man gegenüber den Aufsichtsbehörden nachweisen können. Die Pflicht, Pflichterfüllung zu dokumentieren, nennt sich „Rechenschaftspflicht“.

Wieso ist das sinnvoll?

Die Betroffenenrechte korrekt und fristgemäß zu erfüllen, hat ein paar handfeste Vorteile:

Man erhält kein Bußgeld von der Aufsichtsbehörde;
Man wird vom Anwalt der betroffenen Person nicht abgemahnt;
Man zeigt seinen Kunden, dass man sie ernst nimmt und wertschätzt und ihnen deswegen ihre Grund- und Menschenrechte auf die Bestimmung über ihre personenbezogenen Daten erfüllt.

Was braucht man?

Die Form

Man kann die Erfüllung von Betroffenenrechten in Papierform oder in elektronischer Form dokumentieren.

Diese Dokumentation sollte man (abhängig von der Höhe eines möglichen Bußgelds, wenn man etwas falsch gemacht haben sollte) bis zu drei Jahre aufbewahren, wonach der Vorgang für Aufsichtsbehörden verjährt ist (§ 31 OWiG).

Man fragt sich nun vielleicht, „Moment, ich soll dokumentieren, wenn jemand ‚vergessen werden‘ möchte oder ich alle seine personenbezogenen Daten löschen soll?“ Klingt widersprüchlich, ist es aber nicht. Es geht bei dem Recht auf Löschung und Vergessenwerden nicht darum, dass keine Daten mehr vorhanden sind oder niemand weiß, dass es diese Person gibt, sondern nur darum, dass man nicht mit den gesammelten Daten der Person weiterarbeitet. Es macht einen Unterschied, ob ich die Kontaktdaten, Interessen und Verkaufshistorien einer Person habe oder nur eine Notiz, dass ich diese Daten dieser Person zu einem bestimmten Zeitpunkt gelöscht habe.

Der Gegenstand

Die Dokumentation sollte nur das notwendige an Daten beinhalten, mit dem man genau den Vorgang dokumentieren kann, um den es geht. Was in der Dokumentation steht ist also vom Anliegen der betroffenen Person. Bei einer Bitte um Datenübertragbarkeit reicht also die Dokumentation, an welche betroffene Person wann welche Daten in Welcher Form über welches Medium herausgegeben wurden- Bei einer Bitte um Löschung kann ein Vermerk über die betroffene Person und die gelöschten Datenarten ausreichen und man kann zur besseren Nachweisbarkeit auch noch ein Löschprotokoll hinzufügen.

Der Inhalt

Aus der Dokumentation sollten die wesentlichen Eckdaten hervorgehen, die man mit den entsprechenden Belegen nachweisen können sollte:

Welche betroffene Person hat
wann
welches Recht eingefordert?
Was wurde
mit welchen Datenarten
wann unternommen?

Wer kann einem das machen?

Diese Dokumentationen kann man sehr gut selbst vornehmen, ohne dafür einen Experten in Anspruch zu nehmen. Die einzelnen Betroffenenrechte korrekt und fristgemäß zu erfüllen, kann aufwändiger werden, je nach den Gegebenheiten im eigenen Unternehmen.

Externer Datenschutzbeauftragter

2.400,00 € exkl. USt.
exkl. 19 % MwSt.

In den Warenkorb
Wir erstellen Ihre TOM-Liste

619,00 € exkl. USt.
exkl. 19 % MwSt.

In den Warenkorb
Mitarbeiterschulung zum Datenschutz und zur Datensicherheit (online, Paketpreis, mit Zertifikat)

449,00 € exkl. USt.
exkl. 19 % MwSt.

In den Warenkorb

Wenn im Unternehmen regelmäßig Betroffenenrechte umzusetzen sind, sollte man als Teil seines Datenschutzmanagements einen klaren Prozess schaffen, bei welche Anfrage welche Schritte von wem zu erfüllen sind. Hier werden regelmäßig verschiedene Rollen miteinander interagieren: die für den Datenschutz zuständige Person wird mit den für Kunden- oder Beschäftigtendaten verantwortliche Person interagieren müssen.

Man sollte außerdem darauf vorbereitet sein, entsprechende Daten löschen oder exportieren zu können oder für die Verarbeitung einschränken zu können, ohne erstmal einen IT-Dienstleister auftreiben zu müssen, der einem schnell diese Funktionen in die veraltete Datenbanksoftware einbaut. In solch einem Fall ist die Frist zur Umsetzung der Betroffenenanfrage schnell abgelaufen und der Vorgang wird durch Abmahnungen oder gar Bußgelder schnell teuer, als wenn man sich im Voraus darauf vorbereitet hätte.

Nochmal in trocken!

Art. 5 Abs. 2 DS‑GVO legt die Rechenschaftspflicht fest;
Art. 12 Abs. 6 DS‑GVO zusätzliche Daten zur Identifizierung;
Art. 15 DS‑GVO regelt das Recht auf Auskunft;
Art. 16 DS‑GVO regelt das Recht auf Berichtigung;
Art. 17 DS‑GVO regelt das Recht auf Löschung und Recht auf Vergessenwerden;
Art. 18 DS‑GVO regelt das Recht auf Einschränkung der Verarbeitung;
Art. 19 DS‑GVO regelt weitere Mitteilungspflichten, denen man als Verantwortlicher unterliegt, wenn die Berichtung, Löschung oder Einschränkung der Verarbeitung gefordert wurde;
Art. 20 DS‑GVO regelt das Recht auf Datenübertragbarkeit;
Art. 21 DS‑GVO regelt das Recht auf Widerspruch gegen die Verarbeitung, insbesondere bei Direktwerbung.

Wo erfährt man mehr darüber?

Zur Dokumentation der Erfüllung von Betroffenenrechten findet sich sehr wenig bis gar nichts in der Fachliteratur.

Zur Dokumentation selbst hat die Datenschutzkonferenz hat bislang ebenfalls noch kein Kurzpapier herausgegeben. Nur ausgewählte Betroffenenrechte selbst wurden bislang näher erläutert, nämlich das Recht auf Auskunft (Art. 15 DS‑GVO) sowie das Recht auf Löschung und Recht auf Vergessenwerden (Art. 17 DS‑GVO):

Datenschutzkonferenz (2018): Kurzpapier Nr. 6. Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO.
Datenschutzkonferenz (2018): Kurzpapier Nr. 11. Recht auf Löschung/„Recht auf Vergessenwerden“.

Shop