Betroffenenrechte nach DSGVO (Einführung)
Die »Rechte der betroffenen Person« sind im Kapitel 3 der DSGVO geregelt, also in den Artikeln 12 ff. DSGVO. Zu ihnen gehören daher auch die Informationspflichten gemäß Artikel 13 DSGVO und 14 DSGVO, da mit jeder Pflicht auch immer ein Recht korrespondiert. Die Informationspflichten führen in der Praxis zu den sogenannten Datenschutzerklärungen.
Der Umgang mit Betroffenenanfragen, genauer gesagt die Erfüllung von Betroffenenrechten, stellt für viele Unternehmen eine nicht unerhebliche Herausforderung dar.
Dabei beginnt es häufig damit, eine Kundennachricht überhaupt als Betroffenenanfrage zu erkennen. Fallen dabei Schlüsselbegriffe wie »Datenschutz«, »Information«, »Auskunft, »Daten«, »Löschung«, »Spam«, »ohne meine Erlaubnis (…) Daten«, »widerspreche ich« o.ä., ist in der Regel von einer Betroffenenanfrage auszugehen. Erst recht sollten Unternehmen hellhörig werden, wenn nach dem Datenschutzbeauftragten gefragt oder die Datenschutzbehörden erwähnt und mit Meldungen an diese gedroht werden.
Ist die Kontaktaufnahme des Kunden als Betroffenenanfrage identifiziert, muss in einem zweiten Schritt auf die Betroffenenanfrage richtig reagiert werden. Eine Besonderheit liegt hier darin begründet, dass Anfragen zwar auf allen Kanälen (mündlich, elektronisch, telefonisch oder schriftlich) erfolgen können, die Antwort aber bereits aus Dokumentationszwecken schriftlich oder ggf. elektronisch erfolgen sollte (Rechenschafts- und Nachweispflicht, vgl. Artikel 5 Absatz 2 sowie 24 Absatz 1 Satz 1 DSGVO). Bei elektronischen Antworten sollte vorsichtig vorgegangen werden, da die Datensicherheit bei der Übertragung gewährleistet werden muss. Außerdem muss die Antwort in präziser, transparenter und verständlicher Form sowie leicht zugänglich für die Betroffenen gegeben werden, vgl. Artikel 12 Absatz 1 DSGVO.
Artikel 12 DSGVO ist praktisch die Grundnorm der Betroffenenrechte und regelt vor allen Dingen Form und Frist beim Umgang mit Betroffenenanfragen.
Zu Artikel 12 DSGVO und was dort geregelt ist die nachfolgende Videokommentierung:
Siehe auch: Artikel 12 (MVK)
PDF:
Artikel 12 DSGVOGanz entscheidend ist die Dokumentation der gesamten Kommunikation, um die Vorgänge im Nachhinein auch belegen zu können.
Generell enthält Artikel 12 DSGVO Anforderungen an die transparente Information von betroffenen Personen, an die Kommunikation mit betroffenen Personen sowie an die Modalitäten für die Ausübung ihrer Rechte. Mithin regelt Artikel 12 DSGVO hauptsächlich die Art und Weise bzw. die Verfahren, wie die einzelnen Betroffenenrechte zu erfüllen sind, so z.B., wie die betroffene Person über die Verarbeitung ihrer Daten zu informieren ist.
Vor allen Dingen gibt Artikel 12 DSGVO eine unbedingt zu beachtende Frist auf! Es ist vorgeschrieben, dass die Beantwortung unverzüglich, spätestens jedoch binnen eines Monats ab Eingang der Betroffenenanfrage erfolgen muss, vgl. Artikel 12 Absatz 3 DSGVO. An dieser Stelle setzen in der Praxis viele Bußgelder an: Unternehmen lassen Betroffenenanfragen schlicht zu lange unbeantwortet.
Länger als einen Monat darf die Auskunftserteilung nur dauern, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist (Krankheit oder Urlaub von Mitarbeitern sind nicht als Ausnahmefall anerkannt). Die Frist kann dann um zwei Monate auf maximal drei Monate verlängert werden. In diesem Fall muss der Antragsteller aber innerhalb der Monatsfrist über die Verlängerung und die Gründe für diese informiert werden. Die Frist läuft ab dem Zugang des Auskunftsantrags.
Zum Thema Darstellung gehört auch die Form und hier hatten wir bereits festgestellt, dass die DSGVO regelmäßig dem Verantwortlichen freie Hand lässt. Eine beweissichernde Dokumentation verlangt aber die Schriftform. Außerdem ist zu beachten, dass gemäß Artikel 12 Absatz 3 Satz 4 DSGVO ein elektronisch (also per E-Mail) gestellter Antrag auch auf diesem Wege beantwortet werden sollte (sofern es an der Identität der betroffenen Person keine Zweifel gibt). Die betroffene Person kann überdies gemäß Artikel 12 Absatz 1 Satz 3 DSGVO verlangen, dass ihr die Informationen oder Auskünfte mündlich erteilt werden; dies darf aber natürlich nur dann geschehen, wenn die Identität zweifelsfrei feststeht. Werden der falschen Person die Daten übermittelt, kann dies eine (meldepflichtige) Datenpanne zur Folge haben.
Die weitere gesetzliche Systematik der Betroffenenrechte des Kapitels 3 DSGVO stellt sich wie folgt dar:
- Artikel 12 DSGVO gibt die allgemeinen Anforderungen an die Ausgestaltung des Umgangs mit Betroffenenrechten vor, vorrangig Form und Frist – sogenannte »Rahmenregelungen«.
- Artikel 13 und 14 DSGVO sind zwar jeweils mit Informationspflicht überschrieben, regeln aber sozusagen spiegelbildlich das Recht der Betroffenen auf Information.
- Artikel 15, 16, 17, 18, 20, 21 sowie 22 DSGVO enthalten die klassischen Betroffenenrechte.
- Artikel 19 DSGVO verpflichtet den Verantwortlichen zu bestimmten Mitteilungspflichten an die Empfänger der jeweiligen personenbezogenen Daten.
- Artikel 23 DSGVO gibt den Mitgliedstaaten Möglichkeiten, die Ausübung der Betroffenenrechte zu beschränken. (Ist nicht Gegenstand dieses Skriptes).
