By: Comments off 22. März 2019

Den ein oder anderen von Ihnen hat es schon ereilt – die Betroffenen üben ihre nach der DSGVO nun bestehenden Rechte, insbesondere auf Auskunft und Löschung aus.

Der Umgang ist für Sie als Unternehmer oft eine Herausforderung. Folgend stellen wir die unterschiedlichen Anforderungen und Problemgestaltungen dar:

Umfang

Wann ein Unternehmen welche Informationen zur Verfügung stellen muss,  ist oft schon nicht leicht einzuschätzen. Denn in vielen Fällen wollen die Betroffenen mehr Rechte geltend machen als ihnen zustehen.

Haben Sie keine personenbezogenen Daten vom Betroffenen (mehr), müssen Sie ihm, unter Belehrung seiner Rechte, auch nur das mitteilen.

Verarbeiten Sie personenbezogene Daten des Anfragenden, müssen Sie, je nach Art des ausgeübten Rechts (Bsp. Auskunft, Einschränkung, Widerruf, Löschung), prüfen, ob die Voraussetzungen vorliegen und die notwendigen Maßnahmen ergreifen.

Beispiel Auskunft

Macht der Betroffene sein Auskunftsrecht geltend und sind Daten vom ihm vorhanden, so ist das Unternehmen nach Art. 15 Abs. 3 DSGVO verpflichtet, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Stellt die betroffene Person den Antrag elektronisch, müssen die Informationen in einem gängigen elektronischen Format zur Verfügung gestellt werden.

Wurden die Daten des Betroffenen nicht beim Unternehmen selbst erhoben sondern bei einem Dritten, müssen u.U. auch diesbezügliche Informationen mitgeteilt werden.

Schriftlicher Antrag

Erfolgt der Antrag schriftlich, wird auch die Auskunft  auf diesem Wege per Post erteilt.

Telefonischer Antrag

Wird der Antrag per Telefon gestellt, könnte das Unternehmen auch die Auskunft telefonisch erteilen. Hiervon raten wir aus Gründen der Haftbarkeit und Beweisbarkeit ab. Denn das Unternehmen muss sicherstellen, dass es sich bei dem telefonischen Gesprächspartner tatsächlich um den Betroffenen handelt. Wenn Sie die Auskunft doch per Telefon geben wollen, sollten Sie vorab zur Identifizierung der betroffenen Person zusätzliche Informationen (Geburtsdatum oder Anschrift) abfragen.

Antrag per E-Mail

Erfolgt der Antrag per E-Mail, so erfolgt die Auskunft auch per E-Mail. Hierbei achten Sie darauf, dass die Anfragenden häufig eine andere E-Mail-Adresse als die beim Unternehmen vorliegende  verwenden.

Antrag über Nutzerkonto

Besteht ein Nutzerkonto beim Unternehmen, können die Informationen direkt dort bereitgestellt werden oder die betroffene Person erhält nach erfolgter Antragstellung einen Hinweis (bspw. per E-Mail), dass die Auskunft nun über das Nutzerkonto abgeholt werden kann.

Identifizierung

Die Identifizierungspflicht liegt beim Unternehmen. Dies im Übrigen nicht nur im Rahmen der Auskunftserteilung bei Betroffenenrechten. Dies gilt grundsätzlich bei der Weitergabe/ Mitteilung von personenbezogenen oder vertraulichen Daten.

Bei telefonischen Anfragen ist es üblich, zusätzliche Informationen der betroffenen Person abzufragen. Was dies sein kann, ist nicht festgelegt und auch branchenunterschiedlich. Möglich ist das Abfragen von Geburtsdatum und Anschrift, jedoch können diese abgefragten Informationen auch Angehörigen oder Verwandten bekannt sein.

Eine weitere Möglichkeit der Identifizierung ist die Übermittlung eines Ausweisdokuments, wo alle Daten außer Name, Anschrift, Geburtsdatum und Gültigkeitsdauer geschwärzt werden. Stellt die betroffene Person das Auskunftsersuchen per E-Mail und fordert das Unternehmen zur Identifikationszwecken eine Ausweiskopie, so muss das Unternehmen einen sicheren Zugangsweg bereitzustellen (z.B. Ende-zu-Ende Verschlüsselung per E-Mail, Bereitstellung eines Links zu einer HTTPS-geschützten Website).

Ebenfalls werden zur Identifizierung der elDAS-Dienst (Online Ausweisfunktionen) oder das von Banken oft verwendete  Post-/Video-Ident-Verfahren genutzt.

Fazit

Einerseits müssen Unternehmen als die Verantwortlichen Auskünfte an eine falsche Person vermeiden und eine möglichst hohe Sicherheit im Identifizierungsprozess anstreben. Andererseits verpflichtet die DSGVO, dass die Betroffen ihre Rechte mit einem möglichst geringen Aufwand für die betroffene Person wahrnehmen können. Das macht die ohnehin schon nicht einfache Thematik noch schwieriger und haftungsanfälliger.

 

Author: Total Post: 9