René Floitgraf info@rene-floitgraf.de +49 2402 385700

    • Erinnerung an Betroffenenrechte

    13. September 2023
    0 Comment
    Datenschutz

    Wir möchten alle Interessierten daran erinnern, wie wichtig der sorgsame Umgang mit den Betroffenenrechten ist und wie wir unsere Mandanten bei der Sensibilisierung und Umsetzung unterstützen können!

    Was waren die Betroffenenrechte nochmal?

    Die Betroffenenrechte werden allen von einer Datenverarbeitung (analog oder digital) betroffenen Personen durch die DSGVO und dem BDSG eingeräumt.

    Kernziel: Die Betroffenen sollen ein Set an möglichen Rechten erhalten, die es ihm ermöglichen die Kontrolle über seine Daten zu behalten und damit das Recht auf informationelle Selbstbestimmung wahrzunehmen.

    Diese Betroffenenrechte beginnen bei der vom Unternehmen geforderten Transparenz in der Datenverarbeitung, die durch die Umsetzung der Informationspflichten erfüllt wird.

    Grob: Dem Betroffenen wird dabei (möglichst vorab) mitgeteilt, welche Daten wann und zu welchem Zweck verarbeitet werden und ob die Daten dabei möglicherweise an Dritte weitergegeben werden.

    Die Schaffung dieser Transparenz ist eine Pflicht des Unternehmens und diese Pflicht muss unaufgefordert erfüllt werden. In allen Verarbeitungen sollte daher sichergestellt werden, dass die Informationen vor Beginn der Verarbeitung an den Betroffenen kommuniziert worden sind.

    Nach der Informationspflicht ist das Recht auf Auskunft eines der bedeutendsten Betroffenenrechte. Dieses Recht ermöglicht es dem Betroffenen vom Unternehmen eine Auskunft darüber zu verlangen, ob Daten über seine Person vom Unternehmen verarbeitet werden und warum. Im Grunde genommen ist dies eine Umkehr der Informationspflicht. Allerdings hat der Betroffenen zusätzlich zu den allgemeinen Informationen auch das Recht eine Kopie der verarbeiteten Daten anzufordern!

    Auch wenn dieses Recht ebenfalls Grenzen hat, stellt es viele Unternehmen doch immer wieder vor Herausforderungen, die Auskunftsersuchen in fristgerechter Form zu beantworten.

    Gefährlich wird der Anspruch auf Auskunft auch deshalb, weil es in letzter Zeit immer wieder in arbeitsrechtlichen Verfahren zum Einsatz kommt und damit auf Seiten des (Ex-) Arbeitgebers weiteren Druck auslöst.

    Beim Auskunftsrecht existieren derzeit noch viele offene Fragen und strittige Auslegungen. Jedoch empfiehlt es sich für alle Unternehmen die grundlegenden Pflichten des Datenschutzes umgesetzt zu haben und entsprechende Prozesse zu etablieren, damit eine fristgerechte Antwort möglich ist, auch wenn dieser Prozess durch geänderte Rechtsaufassungen vielleicht noch einmal angepasst werden müssen.

    Übrigens: Auch wenn ein Unternehmen keine Daten über eine Person gespeichert hat, ist die Auskunft (in diesem Fall negativ) zu beantworten. Keine Antwort zu schicken ist keine Option.

    Zudem sollte dem Anfragenden bei der Beantwortung die Information übermittelt werden, dass die Kerninformationen zum Auskunftsersuchen gespeichert bleiben, damit den Nachweispflichten des Datenschutzes nachgekommen werden kann – selbst, wenn die Person dem Unternehmen vorher unbekannt war!

    Die erfolgte Auskunft gibt dem Betroffenen die Möglichkeit seine weiteren Betroffenenrechte einzufordern.

    Stellt der Betroffenen beispielsweise fest, dass die beauskunfteten Daten falsch sind, so hat er ein Recht auf Vervollständigung bzw. Berichtigung der Daten. Denken Sie dabei auch an die Grundsätze des Datenschutzes, nachdem die verarbeiteten Daten richtig sein müssen. Dieses Betroffenenrecht ist das passende Gegenstück zu diesem Grundsatz.

    Darüber hinaus hat der Betroffene das Recht auf Löschung oder Einschränkung der Verarbeitung und im Falle von Verarbeitungen, die einem berechtigten Interesse des Unternehmens unterliegen, das Recht auf Widerspruch gegen die Verarbeitung.

    Diese Betroffenenrechte oder Situationen sind häufiger anzutreffen und sollten daher im Vorfeld geklärt werden. Denn keins der vorgenannten Betroffenenrechte kommt ohne Ausnahme aus. So sind von der Löschung beispielsweise die Daten ausgenommen, die auf Grund laufender Verträge oder rechtlicher Verpflichtungen weiterhin benötigt oder gespeichert bleiben müssen. Und auch ein Widerspruch muss in der Regel durch den Betroffenen begründet werden. Unternehmen sollten daher im Vorfeld festgestellt haben, welche Daten beispielsweise überhaupt von einer Löschanforderung betroffen sind.

    Zur Vollständigkeit weisen wir noch darauf hin, dass es das Recht auf Datenübertragbarkeit und zur Abwehr automatisierter Entscheidungen gibt. Diese Betroffenenrechte spielen in der Praxis aber tatsächlich bisher eher eine untergeordnete Rolle.

    Warum sollte die Berücksichtigung der Rechte geplant sein?

    Alle Betroffenenrechte, die vom Betroffenen initiiert werden, haben eine Gemeinsamkeit: Für die Erfüllung und Beantwortung hat das Unternehmen in der Regel nur einen Monat Zeit. Einen Fristaufschub gibt es nur, wenn besondere Gründe geltend gemacht werden können, die eine Bearbeitung verzögert haben.

    Wenn im Unternehmen die Strukturen nicht vorbereitet sind, die benötigt werden, um die Betroffenenrechte zu erfüllen, kann ungewollt Zeitdruck entstehen, der nicht selten mit falschen Antworten an den Betroffenen enden.

    Glaubt der Betroffene, dass seine Anfrage unzutreffend beantwortet wurde, oder absichtlich verzögert wird, kann er sich bei der Aufsichtsbehörde beschweren. In besonders schweren Fällen wurden den Betroffenen dabei auch Schadensersatzansprüche zugestanden.

    Wie können wir unsere Mandanten unterstützen?

    Zuerst einmal wirken wir daraufhin, dass die Unternehmen, die wir beratend begleiten dürfen, ihre Hausaufgaben machen. Dreh und Angelpunkt ist dabei das Verzeichnis der Verarbeitungstätigkeiten (VVT)! Auch wenn dieser „Papiertiger“ von den Unternehmen meist belächelt oder vernachlässigt wird, zeigen wir auf, wie das VVT bei der Erfüllung der Betroffenenanfragen helfen kann.

    Einerseits hilft es bei der Eingrenzung, in welchen Prozessen überhaupt Daten der betroffenen Person zu suchen sind und zudem halten wir im VVT mit den Mandanten gemeinsam fest in welcher Situation die Informationspflichten erfüllt werden.

    Damit ist das VVT nicht nur eine Grundpflicht in Bezug auf zu den Nachweispflichten des Datenschutzes, sondern erhält auch Aussagekraft in Bezug auf die Betroffenenrechte.

    Zudem haben wir im Datenschutzmanagementsystem die Möglichkeit die Betroffenenanfragen zu dokumentieren. Dabei wird festgehalten, wann die Anfrage das Unternehmen erreicht hat und welche Informationen dem Betroffenen zurückgespielt wurden. Dabei überwachen wir auch die Frist für die Antwort.

    In unseren Schulungen weisen wir auf die Wichtigkeit der Betroffenenrechte hin. Ziel ist eine Sensibilisierung der Mitarbeiter diesbezüglich, dass entsprechende Anfragen nicht „versumpfen“, sondern zeitnah an die passenden Ansprechpartner im Unternehmen oder an uns kommuniziert werden.

    Zur wiederkehrenden Auffrischung dieser Sensibilisierung haben wir in unseren Dokumentvorlagen zudem einen OnePager, der vom Unternehmen nach belieben genutzt werden kann, um die Mitarbeiter an die Einhaltung der Betroffenenrechte zu erinnern.

    Die Betroffenenrechte müssen auch strukturiert im Unternehmen geregelt werden. Deswegen existiert im Datenschutzhandbuch eine Richtlinie, die sich mit der Gewährleistung von Betroffenenrechten befasst. Damit existiert nach der Umsetzung im Unternehmen eine verbindliche Regelung für die Mitarbeiter. In der Regel können unsere Richtlinien mit wenigen Handgriffen und Änderungen auf das Unternehmen angepasst werden. Dies ermöglicht einen schnellen Start in einen geordneten Datenschutz.

    Unsere Vorlagen und Hilfen im Überblick

    DSMS: Wir unterstützen das Unternehmen bei dem Aufbau und der Pflege des Verzeichnisses der Verarbeitungstätigkeiten.

    Schulungsportal: Unsere Datenschutzschulung vermittelt den Mitarbeitern ein Verständnis des Sinns und der Umsetzung der Betroffenenrechte.

    Vorlagen (BK3): Zudem kann unterjährig mit einem Handout an die Betroffenenrechte (und andere Themen) erinnert werden.

    Datenschutzhandbuch (BK2): Organisatorisch werden die Betroffenenrechte durch das Datenschutzhandbuch und die Richtlinie zu Betroffenenrechten geregelt.

    Meldeportal: Damit alle Mitarbeiter eine Betroffenenanfrage schnell weitergeben können („Melden macht frei!“), stellen wir ein Formular bereit, welches mit wenigen Eingabefeldern und ohne Anmeldung eine Weitergabe der Anfrage ermöglicht.

    Beratung: Darüber hinaus helfen wir auch persönlich im Rahmen unserer Beratung allen Beteiligten dabei, die Betroffenenanfragen fristgerecht und erfolgreich zu beantworten.

    Fazit

    Die Datenschutzgesetze geben dem Betroffenen einen umfangreichen Strauß an Rechten, deren Einhaltung und Umsetzung im Unternehmen angemessen vorbereitet sein sollte, selbst wenn einzelne Detailfragen rechtlich vielleicht noch ungeklärt sind.

    Bei dieser Planung und Umsetzung unterstützen wir gerne und umfangreich.

    Haben Sie Fragen zur Umsetzung in Ihrem Unternehmen, oder liegt möglicherweise bereits eine Betroffenenanfrage vor? Dann nehmen Sie gerne Kontakt mit uns auf!

    Der Beitrag Erinnerung an Betroffenenrechte erschien zuerst auf CompliPro GmbH.