In diesem dritten und letzten Teil unserer Artikelserie möchten wir Geschäftsführer und Führungskräfte mit nützlichen Hinweisen zum Umgang mit Betroffenenrechten und Anfragen betroffener Personen unterstützen. Wenn Sie zunächst wissen möchten, welche Betroffenenrechte es gibt, lesen Sie dazu unsere Artikel: Betroffenenrechte gemäß DSGVO – Teil 1 und Betroffenenrechte gemäß DSGVO – Teil 2.

1. Betroffene sind über ihre Rechte zu informieren

In Art. 13 Abs. 1 und Abs. 2 der DSGVO ist eindeutig geregelt, dass betroffene Personen über ihre Rechte zu informieren sind. Dies hat in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erfolgen. In der Regel erstellen wir die entsprechenden Dokumente gemeinsam mit unseren Mandanten.

Es empfiehlt sich, die Informationen so bereitzustellen, dass sie der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten übermittelt werden können. Die Information kann in schriftlicher, elektronischer oder auch in mündlicher Form erfolgen. In jedem Fall sollte nachweisbar sein, dass über die Betroffenenrechte informiert wurde – das hilft in Streitfällen. Ihr HUBIT-Datenschutzbeauftragter erläutert Ihnen, wie und in welchen Fällen dieser Nachweis erbracht werden kann.

2. Jede Anfrage einer betroffenen Person muss rechtzeitig beantwortet werden

Eine betroffene Person kann ihre Rechte ohne Begründung zu jedem Zeitpunkt geltend machen. Als Unternehmen sind Sie verpflichtet, innerhalb von maximal vier Wochen darauf korrekt und vollständig zu antworten. In Ausnahmefällen ist eine Verlängerung von zwei Monaten möglich. Um diese zu erhalten, braucht es allerdings eine plausible Begründung, die über „wir schaffen es nicht rechtzeitig“, hinausgeht. Darauf sollten Sie sich also eher nicht verlassen.

Unternehmen unterschätzen die Anfragen Betroffener leider manchmal und zögern Antworten hinaus, weil es im Tagesgeschäft aufwendig ist, diese zu beantworten. Das kann allerdings fatale Folgen haben, denn für die Nichteinhaltung der Betroffenenrechte wurden innerhalb der EU und auch speziell in Deutschland bereits zahlreiche Bußgelder verhängt. Also nehmen Sie die Anfragen ernst und lassen sich gegebenenfalls von einem Datenschutzbeauftragten unterstützen.

3. Etablieren Sie Prozessschritte für Anfragen betroffener Personen

Die Anfragen betroffener Personen gehen in der Regel unerwartet im Unternehmen ein. Da die Beantwortung und die damit zusammenhängenden Maßnahmen umfangreich sein können, sollten Sie bestenfalls bereits vor einer konkreten Anfrage einen Prozess etablieren, der den Umgang damit regelt. Der mit Ihrem HUBIT-Datenschutzbeauftragten erarbeitete Prozess sollte den verantwortlichen Mitarbeitern bekannt sein und unverzüglich umgesetzt werden können. Die Erarbeitung ist zwar mit zusätzlichem Aufwand verbunden, doch dieser zahlt sich aus, sobald die erste Anfrage an Sie gerichtet wird. Sie profitieren dann von einer guten Vorarbeit. Um einen reibungslosen Ablauf sicherzustellen, der alle Eventualitäten berücksichtigt – denn der individuelle Sachverhalt kann äußerst komplex sein – raten wir Ihnen, einen Datenschutzbeauftragten zur Ausarbeitung und Implementierung der Prozessschritte hinzuzuziehen.

4. Klären Sie die Identität der anfragenden Person

Eine betroffene Person darf ihre Rechte nur selbst geltend machen. Sofern eine dritte Person die Anfrage im Auftrag an Sie richtet, muss diese eine schriftliche Vollmacht vorweisen. Sie sollten grundsätzlich nur Auskunft geben, wenn die Identität der betroffenen Person zweifelsfrei geklärt ist. Andernfalls fordern Sie einen Identitätsnachweis ein. Dazu können zum Beispiel Ihnen bekannte personenbezogene Daten abgefragt werden. Übermitteln Sie die Antwort auf die Anfrage im besten Fall postalisch. Sofern Sie eine E-Mail senden, verwenden Sie nur eine Adresse, die Ihnen bereits vor der Anfrage bekannt war. Denn sollten Sie einer falschen Person Auskunft geben – und sei es versehentlich – handelt es sich um einen Datenvorfall, der ggf. gemeldet werden muss. Wird die Auskunft elektronisch – also beispielsweise per E-Mail – erteilt, so müssen die beauskunfteten Daten verschlüsselt übertragen werden.

5. Ãœberlassen Sie die Kommunikation in Streitfragen dem Datenschutzbeauftragten

Im Rahmen des Beschwerderechts kann eine betroffene Person sich entweder direkt an Sie wenden, um eine Beschwerde zu äußern, oder diese an die zuständige Aufsichtsbehörde richten, die dann wiederum Ermittlungen anstellt. Sollte es zu einer Beschwerde kommen, empfehlen wir Ihnen, die Kommunikation – mit der betroffenen Person oder der Aufsichtsbehörde – Ihrem HUBIT-Datenschutzbeauftragten zu überlassen. So sparen Sie einerseits Zeit, da Ihr Datenschutzbeauftragter genau weiß, was zu antworten ist und Sie stellen sicher, dass zielgerichtet und deeskalierend kommuniziert wird, um eine zügige Erledigung im Sinne Ihres Unternehmens zu ermöglichen.

Fazit

Betroffenenrechte sind wichtig und müssen ernst genommen werden. Sind Sie noch auf der Suche nach einem Datenschutzbeauftragten, der Sie in diesem Zusammenhang berät und unterstützt? Dann sprechen Sie uns an. Das Team von HUBIT Datenschutz hilft Ihnen gern!