:quality(80)/p7i.vogel.de/wcms/08/c4/08c4c1acaf47f600691dd605db5cd35b/0114958433.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/32/af/32af68c76bfa25c440c69253ca98ce41/0114109630.jpeg "Storage-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/af/3d/af3de6ad104f6e703fa211f6487e6595/0107845077.jpeg "Im Rahmen einer festlichen Abendgala wurden am 20. Oktober 2022 die Gewinner der diesjährigen IT-Awards gekürt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/26/1626dac9b4d82bb34d1c5700378bb35e/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/e0/6a/e06a7723ff81f73a5c55e64a502140d3/0115098238.jpeg "Laut Zerto-Umfrage liegen bei 27 Prozent der befragten Unternehmen zwischen den angefertigten Datensicherungen mehrere Stunden, bei 13 Prozent ein oder mehrere Tage. Die in der Zwischenzeit aufgelaufenen Daten wären bei einem erfolgreichen Cyberangriff verloren. (Bild: ©PeopleImages, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/f4/47/f4476a3f25e7154630180579e8612863/0115236815.jpeg "Eine belastbare Backup- und Disaster-Recovery-Strategie schützt vor Datenverlust – bei Ransomware-Angriffen ebenso wie bei technischen Defekten. (Bild: ©Just_Super, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/e5/8c/e58c2cfe462bb240252f00a0e37122c6/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/9d/97/9d97f86ef48a8ce75519baa64a92c85f/0115200243.jpeg "HDDScan optimiert Festplatten/SSDs und identifiziert defekte Datenträger. (Bild: ©Elnur via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/ae/33/ae338872cc1b7730b2c3a78b78463815/0115312382.jpeg "Die Anforderungen steigen: Storage-Systeme für den großen Speicherbedarf müssen hohe Performance-Werte erfüllen und entsprechende Skalierbarkeit ermöglichen. (Bild: ©74images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/bc/aa/bcaaab7a0545a79998ee63933efc5511/0115194771.jpeg "Beim Klonen von Datenträgern hilft das kleine Tool Hasleo Disk Clone Free. (Bild: ©nantonov, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/36/02/36023ead121e50c039d69f336a6ef721/0115365828.jpeg "Michael Tso ist der CEO von Cloudian. (Bild: Cloudian)")
:quality(80)/p7i.vogel.de/wcms/8d/86/8d8652ca9b47259a0b793a5d5d5fb84d/0115293023.jpeg "Die immensen Datenmengen, die allenthalben anfallen, müssen vom Zeitpunkt ihrer Entstehung an auch verwaltet werden. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/87/de/87de3389685cdeb5f8a0266554c53f8b/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/c1/18/c118015a10d2a86a2f475ae751b25ac4/0113929268.jpeg "Die Nutzung regenerativer Energien, Treibhausgasreduktion, Wassereinsparung – verschiedene Maßnahmen in Summe machen Rechenzentrumsbetrieb und Cloud-Hosting nachhaltiger und stetig „grüner“. (Bild: diloomi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/4b/a04bd75f01dc1b42d494d9b070b49b85/0115393683.jpeg "Die Objektspeicher-Appliance Dell XF960. (Bild: Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/81/3c/813c979d1faf709005bcd149be55ae47/0114704470.jpeg "Oracles CloudWorld 2023 konzentrierte sich auf die Zukunftschancen der Cloud, und die liegt in der KI: „unzählige Milliarden Dollar“ werden in GenAI und Sprachmodelle investiert. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/71/f6/71f641a80b82ea4a33ad961734d9e32b/0114834454.jpeg "Quantum ActiveScale Cold Storage bietet sicheren, langlebigen und kostengünstigen Speicher für die Archivierung von Cold Data. (Bild: Quantum)")
:quality(80)/p7i.vogel.de/wcms/38/86/388656d1f4dda41f12259d5e87aa5a48/0115097220.jpeg "Proxess will sensible Unterlagen mit seinem digitalen Geschäftsleitungsarchiv vor unberechtigten Zugriffen und Manipulationen schützen. (Bild: PROXESS)")
:quality(80)/p7i.vogel.de/wcms/51/d8/51d89a398907e76b88353ac1e3bf86e0/0114542268.jpeg "Die Kuppel des Bundestages. (© su)")
:quality(80)/p7i.vogel.de/wcms/21/64/2164270b4b5157b639351e67c376be4a/0114759335.jpeg "Cohasset Associates haben die für die Finanzbranche geforderte unveränderliche Speicherung des VAST DataStore zertifiziert. (Bild: ©LagartoFilm, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/9a/ce/9ace4c7a23938049d1b1fc92f846c3b9/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/26/fc/26fc875f8f9c3fc15d80759c1b0c78ea/0115100533.jpeg "Nutanix hat mittels neuer Funktionen die Cyberresilienz seiner Cloud Platform erhöht. (Bild: Nutanix)")
:quality(80)/p7i.vogel.de/wcms/de/16/de16e2b16bd87ee1f6790d8a47162222/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/0a/63/0a6348b2b4fb421cada86145461d7628/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/64/06/6406f209b6eaa110f61e7de5aa84fe78/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
Auskunft über gespeicherte Personendaten gemäß DSGVO Unternehmen sollten auf Datenschutzanfragen gut vorbereitet sein
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/82900/82937/65.jpg "PointLogo4Cabgeschnitten.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134300/134357/65.jpg "logo_iTernity_620x620.jpg ()")
Für Unternehmen gilt es zu verstehen, was Anfragen zur Datenauskunft gemäß der DSGVO für sie bedeuten. In diesem Beitrag zeigt Richard Hartmann, Lead Consultant bei Intargia – a valantic company, wie sich Unternehmensentscheider nachhaltig gegen unberechtigte Vorwürfe wehren können.
„Hallo, hiermit möchte ich bitte Auskunft über meine Daten gemäß der DSGVO. Mit herzlichen Grüßen, Max Mustermann.“ Viele Unternehmen haben Anfragen wie diese bereits durch kostspielige Erfahrungen kennengelernt. Doch welche Gefahren lauern für die Unternehmen, und was kann man dagegen tun?
Die Europäische Datenschutz-Grundverordnung (DSGVO) räumt in Artikel 15 jeder natürlichen Person eine Reihe von Betroffenenrechten ein. Dazu zählen das Recht auf Löschung, Auskunft, Widerspruch der Verarbeitung und Einschränkung der Verarbeitung. Jeder kann somit mitbestimmen, was mit den eigenen Daten passiert.
Weitgehendes Auskunftsrecht der DSGVO
Mit dem Auskunftsrecht hat jede Person nicht nur das Recht auf eine Kopie der von ihr verarbeiteten Informationen wie etwa Name, Adresse und Geburtsdatum oder ihrer Bestellhistorie, sondern auch auf Informationen zu internen Aktenvermerken, E-Mails und Chat-Verläufen. Hinzu kommen weitere Informationen über die genauen Zwecke der Datenverarbeitung, die Speicherdauer und die Herkunft der personenbezogenen Daten und weitere Angaben. Die Inanspruchnahme des Auskunftsrechts ist für den Anfragesteller grundsätzlich kostenlos.
Dieses Auskunftsrecht stellt die Unternehmen allerdings vor große Herausforderungen: Wenn ein Nutzer eine Auskunftsanfrage stellt, dann muss beispielsweise zeitnah auch dargelegt werden, an welche Dritte die Daten möglicherweise weitergegeben werden. Bei einem Online-Shop könnten dies zum Beispiel jeder Hosting-Provider, Zahlungs- und Auslieferungsdienstleister sowie viele mehr sein. Spätestens bei erneuter Nachfrage des Betroffenen muss das Unternehmen jeden einzelnen Empfänger nennen. Dass dies sehr aufwendig sein kann, liegt auf der Hand.
Grundsätzlich muss eine Anfrage innerhalb eines Monats erfolgen. Diese Frist lässt sich bei Vorliegen berechtigter Gründe zweimal um jeweils einen Monat verlängern. Über solche Fristverlängerungen ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang des Antrags zu informieren.
Unternehmensrisiken des Auskunftsrechts
Wenn das mit einer Anfrage konfrontierte Unternehmen diese ignoriert, zu spät, unvollständig oder falsch beantwortet, dann kann das nicht nur ein Bußgeld, sondern auch eine Schadensersatzforderung der betroffenen Person nach sich ziehen. Wenn die Person den Vorgang an die Behörde meldet, dann steigt der Aufwand für das Unternehmen noch weiter. Die Behörden reagieren, anders als in den ersten beiden Jahren nach Inkrafttreten der DSGVO, heute sehr schnell und bearbeiten nahezu jede Beschwerde. Der Schaden für die Unternehmen kann sich somit schnell vervielfachen, da das Bußgeld mit der Anzahl der betroffenen Personen zunimmt. Dieses Risiko ist dem Unternehmensmanagement, welches nach datenschutzrechtlichen Grundsätzen verantwortlich ist, oftmals nicht bewusst.
:quality(80)/images.vogel.de/vogelonline/bdb/1920400/1920434/original.jpg "Entscheider in Politik und Wirtschaft sollten nicht der Versuchung erliegen, den Datenschutz pauschal für Fehlentwicklungen und Probleme verantwortlich zu machen. (mixmagic - stock.adobe.com)")
Mehr Unterstützung bei der DSGVO
Was die Datenschutzaufsichtsbehörden im Jahr 2022 planen
Konzept zur Behandlung von Datenschutzanfragen
Ohne ausreichend Vorbereitung ist das Behandeln jeder einzelnen Auskunftsanfrage ein mit Risiken verbundener Kraftakt. Der umfangreiche Auskunftsanspruch zieht hohen Aufwand nach sich. Eine falsche Wortwahl kann unnötige Fragen oder teure Klagen mit sich ziehen. Was gilt es also zu beachten?
Zunächst ist es wichtig, dass jeder Mitarbeiter eine Datenschutzanfrage erkennen und an die zuständigen Ansprechpartner weiterleiten kann. Eine Kontaktadresse für Datenschutzanfragen, zum Beispiel „datenschutz@domain.de“ ist durch aus sinnvoll. Diese zentrale Stelle sollte gut vorbereitete, geprüfte Antwortmuster parat haben, womit ein Großteil der Anfragen schnell und richtig beantwortet werden können. Für folgende Fälle sollten Muster in keinem Betroffenenrechte-Management fehlen:
- Es ist kein Datensatz des Antragstellers vorhanden,
- Beantwortung der Anfrage mit dem vorhandenen Datensatz,
- der Antragsteller konnte nicht identifiziert werden,
- Benachrichtigung über die Verlängerung der Antwortfrist.
Ob die zentrale Stelle das Heraussuchen und die Zusammenstellung des Datensatzes übernimmt, ist unternehmensindividuell je nach Zuständigkeits- und Zugriffsrechtekonzepten ausgestaltbar.
Muster können nicht jeden Fall lösen. Der unternehmensinterne Ansprechpartner sollte mit den Herausforderungen einer Auskunftsanfrage vertraut sein und diese im Bedarfsfall an einen Experten eskalieren können. In der Regel ist das der Datenschutzbeauftragte, ein Datenschutzberater oder ein Fachanwalt für Datenschutzrecht.
:quality(80)/images.vogel.de/vogelonline/bdb/1854300/1854326/original.jpg "Anfang Juni 2021 hat die Europäische Kommission zwei neue Sätze von Standardvertragsklauseln angenommen: einen Satz für Datenübermittlungen zwischen Verantwortlichen und Auftragsverarbeitern und einen Satz für die Übermittlung personenbezogener Daten in Drittländer. (Bernulius - stock.adobe.com)")
Zusätzliche Datensicherheit für den Datentransfer
Die neuen Standardvertragsklauseln der EU
Wie reagiert man adäquat? Tipps & Tricks
Auskunftsanfragen können instrumentalisiert werden, um andere Interessen zu verfolgen. Dies kann von der Absicht, Aufwand bei einem Unternehmen zu erzeugen, bis hin zu raffinierten verhandlungstaktischen Maschen reichen. Zudem sind systematische Abmahnungen oder gar Abmahnfallen keine Seltenheit. Zur Frage, wann ein Rechtsmissbrauch bei einer anscheinend instrumentalisierten Anfrage vorliegt, ist noch keine klare Linie der Rechtsprechung zu erkennen. Neuere Gerichtsurteile beschäftigen sich hauptsächlich mit exzessiven Anfragen und Rechtsmissbrauch.
Die folgenden Tipps und Tricks können jedem Unternehmen weiterhelfen:
Mit einer datenschutzrechtlich sauber formulierten Empfangsbestätigung, die möglichst unmittelbar nach dem Empfang versandt wird, vermittelt man eine hohe Professionalität und verschreckt Missbrauchsversuche.
Mit der Auskunft der möglichen Empfängerkategorien statt jedes einzelnen Empfängers in der ersten Antwort werden aufwendige Untersuchungen gespart. Bei explizitem Verlangen kann die Antwort der Empfänger nachgereicht werden.
Mit der Prüfung der Identität und Zuordnung des Antragstellers in einem ersten Schritt bereits durch die Mitarbeiter erspart man sich häufig eine längere Korrespondenz mit dem Antragsteller im Nachgang. Eine Identifizierung darf nicht anhand eines Datenabgleichs von allgemein bekannten Informationen, zum Beispiel Name, Geburtstag, Adresse et cetera, durchgeführt werden. Häufig ist stattdessen eine Kombination aus Kunden-/Rechnungsnummern oder der Bestellhistorie mit den Stammdaten angemessener. Sofern der Antragsteller anhand der bereitgestellten Informationen nicht identifiziert werden kann, muss keine Auskunft erfolgen. Im Zweifel sollte der Antragsteller auf ein persönliches Vorstellen verwiesen werden.
Die Antwort auf die Auskunftsanfrage sollte nicht als abgeschlossen bezeichnet werden. Durch die Formulierung einer Rückfrage, ob die Anfrage vollständig beantwortet wurde oder ob Anhaltspunkte zu weiteren verarbeiteten Daten vorliegen, kann man sich absichern, falls die Auskunft unbeabsichtigt unvollständig sein sollte.
Unterlassungserklärungen, Schadensersatzforderungen oder Schuldeingeständnisse sollten in jedem Fall anwaltlich geprüft werden.
Offenkundig unbegründete, wiederholte oder sonstig exzessive Anfragen können abgelehnt oder gegen ein angemessenes Entgelt durchgeführt werden. Der Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags sollte dokumentiert werden. Wenn ein Unternehmen begründen kann, dass der Betroffene gar nicht seine Daten erfahren will, sondern lediglich Aufwand produzieren möchte, dann kann es gegebenenfalls die Auskunft verweigern. Der entsprechende Nachweis gestaltet sich in der Praxis jedoch recht schwierig. Im Zweifel sollte der Datenschutzbeauftragte oder ein Fachanwalt für Datenschutzrecht hinzugezogen werden.
*Der Autor: Richard Hartmann ist als Lead Consultant der Intargia – a valantic company ständig auf der Suche nach innovativen Ansätzen, die Unternehmen effizienter machen und gleichzeitig deren Schutz gewährleisten. Seine Beratungsfelder bei der Intargia Managementberatung umfassen Datenschutz, IT-Sicherheit, Projektleitung/-management, Digital Transformation Management.
(ID:48261934)
:quality(80)/p7i.vogel.de/wcms/8a/c2/8ac20bdf926544ea6640e6d44a1f93e1/0114502342.jpeg "Kristina Waldhecker, Manager Product Marketing von MailStore. (Bild: MailStore)")
:quality(80)/p7i.vogel.de/wcms/9e/cf/9ecff8dfd769948f8e45917d62374ba6/0114823898.jpeg "Wichtige Änderungen an der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) stehen an, über die Unternehmen Bescheid wissen müssen. (Bild: mixmagic - stock.adobe.com)")