Mobile-Menu

Auskunft über gespeicherte Personendaten gemäß DSGVO Unternehmen sollten auf Datenschutzanfragen gut vorbereitet sein

Von Richard Hartmann*

Für Unternehmen gilt es zu verstehen, was Anfragen zur Datenauskunft gemäß der DSGVO für sie bedeuten. In diesem Beitrag zeigt Richard Hartmann, Lead Consultant bei Intargia – a valantic company, wie sich Unternehmensentscheider nachhaltig gegen unberechtigte Vorwürfe wehren können.

Anbieter zum Thema

Die DSGVO schützt Verbraucher, birgt für Unternehmen jedoch Herausforderungen und Gefahren.
Die DSGVO schützt Verbraucher, birgt für Unternehmen jedoch Herausforderungen und Gefahren.
(Bild: gemeinfrei / Pixabay )

„Hallo, hiermit möchte ich bitte Auskunft über meine Daten gemäß der DSGVO. Mit herzlichen Grüßen, Max Mustermann.“ Viele Unternehmen haben Anfragen wie diese bereits durch kostspielige Erfahrungen kennengelernt. Doch welche Gefahren lauern für die Unternehmen, und was kann man dagegen tun?

Die Europäische Datenschutz-Grundverordnung (DSGVO) räumt in Artikel 15 jeder natürlichen Person eine Reihe von Betroffenenrechten ein. Dazu zählen das Recht auf Löschung, Auskunft, Widerspruch der Verarbeitung und Einschränkung der Verarbeitung. Jeder kann somit mitbestimmen, was mit den eigenen Daten passiert.

Weitgehendes Auskunftsrecht der DSGVO

Mit dem Auskunftsrecht hat jede Person nicht nur das Recht auf eine Kopie der von ihr verarbeiteten Informationen wie etwa Name, Adresse und Geburtsdatum oder ihrer Bestellhistorie, sondern auch auf Informationen zu internen Aktenvermerken, E-Mails und Chat-Verläufen. Hinzu kommen weitere Informationen über die genauen Zwecke der Datenverarbeitung, die Speicherdauer und die Herkunft der personenbezogenen Daten und weitere Angaben. Die Inanspruchnahme des Auskunftsrechts ist für den Anfragesteller grundsätzlich kostenlos.

Dieses Auskunftsrecht stellt die Unternehmen allerdings vor große Herausforderungen: Wenn ein Nutzer eine Auskunftsanfrage stellt, dann muss beispielsweise zeitnah auch dargelegt werden, an welche Dritte die Daten möglicherweise weitergegeben werden. Bei einem Online-Shop könnten dies zum Beispiel jeder Hosting-Provider, Zahlungs- und Auslieferungsdienstleister sowie viele mehr sein. Spätestens bei erneuter Nachfrage des Betroffenen muss das Unternehmen jeden einzelnen Empfänger nennen. Dass dies sehr aufwendig sein kann, liegt auf der Hand.

Grundsätzlich muss eine Anfrage innerhalb eines Monats erfolgen. Diese Frist lässt sich bei Vorliegen berechtigter Gründe zweimal um jeweils einen Monat verlängern. Über solche Fristverlängerungen ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang des Antrags zu informieren.

Unternehmensrisiken des Auskunftsrechts

Wenn das mit einer Anfrage konfrontierte Unternehmen diese ignoriert, zu spät, unvollständig oder falsch beantwortet, dann kann das nicht nur ein Bußgeld, sondern auch eine Schadensersatzforderung der betroffenen Person nach sich ziehen. Wenn die Person den Vorgang an die Behörde meldet, dann steigt der Aufwand für das Unternehmen noch weiter. Die Behörden reagieren, anders als in den ersten beiden Jahren nach Inkrafttreten der DSGVO, heute sehr schnell und bearbeiten nahezu jede Beschwerde. Der Schaden für die Unternehmen kann sich somit schnell vervielfachen, da das Bußgeld mit der Anzahl der betroffenen Personen zunimmt. Dieses Risiko ist dem Unternehmensmanagement, welches nach datenschutzrechtlichen Grundsätzen verantwortlich ist, oftmals nicht bewusst.

Konzept zur Behandlung von Datenschutzanfragen

Ohne ausreichend Vorbereitung ist das Behandeln jeder einzelnen Auskunftsanfrage ein mit Risiken verbundener Kraftakt. Der umfangreiche Auskunftsanspruch zieht hohen Aufwand nach sich. Eine falsche Wortwahl kann unnötige Fragen oder teure Klagen mit sich ziehen. Was gilt es also zu beachten?

Zunächst ist es wichtig, dass jeder Mitarbeiter eine Datenschutzanfrage erkennen und an die zuständigen Ansprechpartner weiterleiten kann. Eine Kontaktadresse für Datenschutzanfragen, zum Beispiel „datenschutz@domain.de“ ist durch aus sinnvoll. Diese zentrale Stelle sollte gut vorbereitete, geprüfte Antwortmuster parat haben, womit ein Großteil der Anfragen schnell und richtig beantwortet werden können. Für folgende Fälle sollten Muster in keinem Betroffenenrechte-Management fehlen:

  • Es ist kein Datensatz des Antragstellers vorhanden,
  • Beantwortung der Anfrage mit dem vorhandenen Datensatz,
  • der Antragsteller konnte nicht identifiziert werden,
  • Benachrichtigung über die Verlängerung der Antwortfrist.

Ob die zentrale Stelle das Heraussuchen und die Zusammenstellung des Datensatzes übernimmt, ist unternehmensindividuell je nach Zuständigkeits- und Zugriffsrechtekonzepten ausgestaltbar.

Muster können nicht jeden Fall lösen. Der unternehmensinterne Ansprechpartner sollte mit den Herausforderungen einer Auskunftsanfrage vertraut sein und diese im Bedarfsfall an einen Experten eskalieren können. In der Regel ist das der Datenschutzbeauftragte, ein Datenschutzberater oder ein Fachanwalt für Datenschutzrecht.

Wie reagiert man adäquat? Tipps & Tricks

Auskunftsanfragen können instrumentalisiert werden, um andere Interessen zu verfolgen. Dies kann von der Absicht, Aufwand bei einem Unternehmen zu erzeugen, bis hin zu raffinierten verhandlungstaktischen Maschen reichen. Zudem sind systematische Abmahnungen oder gar Abmahnfallen keine Seltenheit. Zur Frage, wann ein Rechtsmissbrauch bei einer anscheinend instrumentalisierten Anfrage vorliegt, ist noch keine klare Linie der Rechtsprechung zu erkennen. Neuere Gerichtsurteile beschäftigen sich hauptsächlich mit exzessiven Anfragen und Rechtsmissbrauch.

Die folgenden Tipps und Tricks können jedem Unternehmen weiterhelfen:

Mit einer datenschutzrechtlich sauber formulierten Empfangsbestätigung, die möglichst unmittelbar nach dem Empfang versandt wird, vermittelt man eine hohe Professionalität und verschreckt Missbrauchsversuche.

Mit der Auskunft der möglichen Empfängerkategorien statt jedes einzelnen Empfängers in der ersten Antwort werden aufwendige Untersuchungen gespart. Bei explizitem Verlangen kann die Antwort der Empfänger nachgereicht werden.

Mit der Prüfung der Identität und Zuordnung des Antragstellers in einem ersten Schritt bereits durch die Mitarbeiter erspart man sich häufig eine längere Korrespondenz mit dem Antragsteller im Nachgang. Eine Identifizierung darf nicht anhand eines Datenabgleichs von allgemein bekannten Informationen, zum Beispiel Name, Geburtstag, Adresse et cetera, durchgeführt werden. Häufig ist stattdessen eine Kombination aus Kunden-/Rechnungsnummern oder der Bestellhistorie mit den Stammdaten angemessener. Sofern der Antragsteller anhand der bereitgestellten Informationen nicht identifiziert werden kann, muss keine Auskunft erfolgen. Im Zweifel sollte der Antragsteller auf ein persönliches Vorstellen verwiesen werden.

Die Antwort auf die Auskunftsanfrage sollte nicht als abgeschlossen bezeichnet werden. Durch die Formulierung einer Rückfrage, ob die Anfrage vollständig beantwortet wurde oder ob Anhaltspunkte zu weiteren verarbeiteten Daten vorliegen, kann man sich absichern, falls die Auskunft unbeabsichtigt unvollständig sein sollte.

Unterlassungserklärungen, Schadensersatzforderungen oder Schuldeingeständnisse sollten in jedem Fall anwaltlich geprüft werden.

Offenkundig unbegründete, wiederholte oder sonstig exzessive Anfragen können abgelehnt oder gegen ein angemessenes Entgelt durchgeführt werden. Der Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags sollte dokumentiert werden. Wenn ein Unternehmen begründen kann, dass der Betroffene gar nicht seine Daten erfahren will, sondern lediglich Aufwand produzieren möchte, dann kann es gegebenenfalls die Auskunft verweigern. Der entsprechende Nachweis gestaltet sich in der Praxis jedoch recht schwierig. Im Zweifel sollte der Datenschutzbeauftragte oder ein Fachanwalt für Datenschutzrecht hinzugezogen werden.

Richard Hartmann ist als Lead Consultant der Intargia – a valantic company.
Richard Hartmann ist als Lead Consultant der Intargia – a valantic company.
(Bild: Intargia)

*Der Autor: Richard Hartmann ist als Lead Consultant der Intargia – a valantic company ständig auf der Suche nach innovativen Ansätzen, die Unternehmen effizienter machen und gleichzeitig deren Schutz gewährleisten. Seine Beratungsfelder bei der Intargia Managementberatung umfassen Datenschutz, IT-Sicherheit, Projektleitung/-management, Digital Transformation Management.

Das Storage-Kompendium zum Thema – kostenfreier Download

Die Zeiten, in denen Backups ausschließlich auf Tape angefertigt wurden, sind vorbei. Heute stellt sich die Situation bezüglich Backup-Medien und -Strategien deutlich vielfältiger dar, was auch zu Unsicherheiten führt.

Backup & Archivierung – gestern, heute und morgen

Storage-Kompendium Backup & Archivierung
Storage-Kompendium „Backup & Archivierung“
(Bild: Storage-Insider)

Die Hauptthemen des Kompendiums sind:

  • Auf dem Weg zur passenden Backup-Strategie
  • Cloud-Backup und Hybrid-Backup
  • Tape – der wehrhafte Dinosaurier
  • Datensicherheit und Storage: Welche gesetzlichen Vorgaben gelten?
  • Langzeitarchivierung mit Objektspeicherung
  • Unstrukturierte Daten ohne Backup schützen
  • Erstklassige Backup- und Archivierungsstrategie

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48261934)