Meine ersten Wochen als Datenschutzbeauftragter verliefen sehr ruhig und entspannt. Gemeinsam mit der Geschäftsführung wurde relativ schnell die erforderliche Dokumentation umgesetzt. Zusätzlich haben wurden dann noch die Mitarbeiter geschult und alle notwendigen Dokumente, Formulare und Prozesse angepasst. Was ich dann in dem extra für alle Datenschutzthemen eingerichteten Mail-Postfach fand, war allerdings schon eine echte Herausforderung.
Und plötzlich war sie da - Die Betroffenenanfrage.
Unter einer Betroffenenanfrage wird allgemein die Ausübung eines der Rechte verstanden, welche die DSGVO einer betroffenen Person (bspw. Kunde, Mitglied, Patient) in den Artikel 15 bis 22 einräumt.
Grundsätzlich stehen allen betroffenen Personen die folgenden Rechte zu:
Somit hat jeder Betroffene, ihr Kunde oder Mitglied, die Möglichkeit, Ihnen eine Menge an Arbeit zu verschaffen - und dafür müsste er lediglich die ihm zugesprochenen Rechte einfordern. Der Einfachheit halber finden sich im Internet auch noch unzählige Vorlagen, mit deren Hilfe der Betroffene ohne große Mühe eine entsprechende Anfrage bei Ihnen stellen kann.
Und damit nicht genug, regelt Artikel 12 Absatz 3, dass eine Betroffenenanfrage innerhalb eines Monats beantwortet werden muss und nur in Ausnahmefällen um bis zu zwei Monate verlängert werden kann.
Es gilt demnach, die Betroffenenanfrage schnell und möglichst sorgsam zu behandeln. Denn sollten Sie die Frist versäumen oder die Anfrage überhaupt nicht bearbeiten, dann kann der Betroffene sich bei der zuständigen Aufsichtsbehörde beschweren. Und durch Artikel 57 Absatz 1 lit. f ist die zuständige Aufsichtsbehörde dazu verpflichtet, sich in einer angemessenen Frist mit der Bearbeitung der Beschwerde zu befassen. Darüber hinaus ist eine derartige Beschwerde gleichzusetzen mit einem Verstoß gegen die DSGVO welcher nach Artikel 83 Absatz 5 mit einem Bußgeld von bis zu 20 Mio. € bestraft werden kann.
Zusätzlich sollten Sie bei einem Verstoß gegen die DSGVO auch immer mit einem nicht unerheblichen Imageverlust rechnen. Ebenso könnte es passieren, dass durch das Bekanntwerden von Problemen mit Ihrem Datenschutz eine Welle an Betroffenenanfragen los getreten wird, die Ihnen noch mehr Arbeit verschafft.
Der richtige Umgang mit der Betroffenenanfrage
Um Imageschäden und drohende Bußgelder zu vermeiden gilt es daher, eine gewisse Form und die vorgeschriebene Frist bei der Beantwortung der Betroffenenanfrage einzuhalten.
Das klingt erst einmal arbeitsintensiv und kompliziert. Bei genauerer Betrachtung sind viele der zu erledigenden Schritte jedoch ohne größeren Aufwand zu erledigen.
Unsere Infografik zeigt einfach und kompakt, welche Schritte für eine - der DSGVO entsprechende - Bearbeitung notwendig sind und welche Fragen vor einer Beantwortung der Anfrage unbedingt geklärt werden sollten.
Sie dürfen die Infografik frei verwenden, auch für kommerzielle Zwecke. Sie dürfen sie jedoch nicht verändern (z.B. Angaben zum Urheber entfernen). Nutzungserlaubnis: CC BY-ND 4.0
Step by Step - die angemessene Beantwortung
Konnte der Betroffene zweifelsfrei identifiziert und seine Anfrage als begründet eingestuft werden, so gilt es diese binnen eines Monats zu beantworten.
Den sprichwörtlichen Königsweg gibt es für die Beantwortung leider nicht und Sie müssen für sich selbst entscheiden, welches Vorgehen das Beste für Sie ist. Ich kann Ihnen nur empfehlen, sich bei der Beantwortung an der folgenden Abfolge zu orientieren. Natürlich sollten Sie bei der Beantwortung auch stets Ihren Datenschutzbeauftragten - sofern vorhanden - kontaktieren und um Rat fragen.
01 Empfang bestätigen und Termin festlegen
Der erste Schritt bei der Beantwortung sollte der Versand einer Eingangsbestätigung sowie die interne Festlegung des spätesten Termins zur Wahrung der Frist sein.
02 Prüfung der vorliegenden Daten
Als nächstes sollten Sie alle ihre vorhandenen Systeme und Unterlagen nach Daten der anfragenden Person durchsuchen und dokumentieren, in welchen Systemen und Unterlagen sich Daten befinden.
03 Identifizierung der betroffenen Person
04 Anpassung der Daten je nach Anfrage
05 Antwort und Dokumentation
Aus Erfahrung kann ich sagen, dass gerade der zweite Schritt nicht immer ganz so einfach ist. Die Daten zu der entsprechenden Person müssen schließlich erst einmal gefunden werden müssen.
Neben einer geordneten analogen sowie digitalen Ablage kann ein übersichtliches Verarbeitungsverzeichnis, welches alle in Frage kommenden Datenquellen und Systeme beinhaltet, bei der Suche sehr nützlich und wertvoll sein.
Fazit - Alles halb so wild.
In Summe betrachtet war die Herausforderung dann doch nicht so groß wie anfangs befürchtet. Mit dem richtigen Vorgehen und einer geordneten Struktur bei der Beantwortung ist der größte Stress bereits im Voraus behoben.
Wie viel Aufwand die jeweilige Betroffenenanfrage anschließend noch in Anspruch nimmt, ist je nach Anfragetyp und anfragender Person verschieden. Der Teufel steckt bekanntlich im Detail.
Falls Sie jetzt immer noch unsicher sind und nicht genau wissen, wie Sie beim Eingang einer Betroffenenanfrage am Besten vorgehen sollten, dann schauen Sie sich nochmal unser Tool und unseren Mitgliederbereich an. Mit NonPro DS erstellen Sie ein übersichtliches Verarbeitungsverzeichnis und erhalten Zugang zu allen notwendigen Vorlagen und Musterschreiben, welche Sie für die einfache und stressfreie Beantwortung einer Betroffenenanfrage benötigen.
Worauf warten Sie noch - wir sehen uns im Mitgliederbereich.