Natürlichen Personen stehen nach der DSGVO diverse Betroffenenrechte zu. Wenn Ihr Unternehmen die Daten von einer Vielzahl von Personen verarbeitet, wird die erste datenschutzrechtliche Anfrage nicht lange auf sich warten lassen.
Machen wir uns nichts vor: In einigen Fällen wird die Anfrage gestellt, weil die Person unzufrieden mit Ihrem Unternehmen ist. Unzufrieden als Ihr Kunde, Mitarbeiter oder Geschäftspartner. Sozusagen aus Rache. Nichts desto trotz müssen auch solche Anfragen beantwortet werden.
Umgang mit Anfragen
Jede Person in Ihrem Unternehmen muss wissen, dass und an wen eingehende Datenschutzanfragen weiterzuleiten sind. In der Regel bekommt der Datenschutzbeauftragte oder Datenschutzkoordinator die Anfragen zugesandt. Bei einer hohen Anzahl eingehender Anfragen kann auch über eine Art Ticketsystem nachgedacht werden.
Bevor Sie einer Anfrage nachkommen, sollten Sie sich immer folgende Fragen stellen:
- Ist Ihr Unternehmen der richtige Ansprechpartner? Wenn Sie zum Beispiel Daten im Auftrag eines anderen Unternehmens verarbeiten (sogenannte Auftragsverarbeitung), sind Sie nicht verantwortlich, sondern müssen die Betroffenenanfrage an das auftraggebende Unternehmen weitergeben.
- Ist der Anfragende derjenige, für den er sich ausgibt? Kommen Sie der Anfrage erst nach, wenn Sie keine Zweifel an der Identität des Anfragenden haben. Das ist in der digitalen Welt bei reichlich krimineller Energie oftmals schwer. Falls Sie sich also nicht sicher sind, fordern Sie zunächst Nachweise von der anfragenden Person an.
Fristen
Abhängig von dem ausgeübten Recht unterscheidet sich die Frist, in der Sie tätig werden müssen. Sollten Ihnen verschiedene Betroffenenrechte unbekannt sein, lesen Sie bitte die entsprechenden DSGVO Artikel.
Ausgeübtes Recht | DSGVO Art. | Frist |
Informationsrecht | 13 | bei Erhebung |
Auskunftsrecht | 15 | 1 Monat |
Recht auf Berichtigung | 16 | unverzüglich |
Recht auf Löschung | 17 | unverzüglich |
Einschränkung der Verarbeitung | 18 | 1 Monat |
Recht auf Datenübertragbarkeit | 20 | 1 Monat |
Widerspruchsrecht | 21 | unverzüglich |
Automatisierte Verarbeitung | 22 | unverzüglich |
Widerruf der Einwilligung | 7 | unverzüglich |
Informieren Sie die anfragende Person, sobald Sie Ihr Recht umgesetzt oder aus welchen Gründen nicht umgesetzt haben.
Keine Reaktion bedeutet Ärger
Wenn Sie der Anfrage nicht oder nicht rechtzeitig nachkommen, könnte sich die anfragende Person bei der Datenschutzaufsichtsbehörde beschweren. Die Aufsichtsbehörde wird sich daraufhin bei Ihnen postalisch melden. Das kann einige Zeit dauern, aber wird erfahrungsgemäß nicht vergessen. Sie werden in dem Schreiben mit der Beschwerde des sogenannten Beschwerdeführers konfrontiert. Auch weitere unangenehme Fragen zu Ihren Unternehmensprozessen können dabei sein. Auf jeden Fall haben Sie sich in diesem Fall rechtswidrig verhalten und stehen im Visier der Aufsichtsbehörde.
Lassen Sie es nicht so weit kommen!