Selbstauskunft nach DSGVO – das müssen Unternehmen beachten

Souverän auf Auskunftsersuchen von Verbrauchern antworten...

Werbung
Oje, da will es einer aber genau wissen... wie Unternehmer richtig auf Auskunftsersuchen nach DSGVO reagieren...
Oje, da will es einer aber genau wissen... wie Unternehmer richtig auf Auskunftsersuchen nach DSGVO reagieren...
☆ Dieser Artikel ist Teil unseres Special Datenschutz: Die DSGVO im Detail…
☆ Lesen Sie auch: Selbstauskunft nach DSGVO einholen – so einfach geht’s (was Verbraucher dabei beachten müssen), erschienen bei DigitalLifestyle. ☆

Mit der Datenschutzgrundverordnung (DSGVO) kommt auf Unternehmen eine Vielzahl von Änderungen im Bereich des Datenschutzrechts zu.

Das Einholen von „Selbstauskünften nach DSGVO“ durch die eigenen Kunden und Nutzer zählt beispielsweise dazu, wenngleich dies keine eine ganz so neue Errungenschaft der geänderten Gesetzeslage ist:

Zwar bot das Bundesdatenschutzgesetz (BDSG) in seiner bisherigen Fassung ebenfalls die Option für Verbraucher, Auskünfte über verarbeitete personenbezogene Daten zu verlangen (geregelt im §34 BDSG alt). Hauptsächlich genutzt wurde dies vor allem bei Wirtschaftsauskunfteien und gegenüber Banken – privatwirtschaftliche Unternehmen waren eher selten von solchen Anfragen betroffen.

Das dürfte sich – schon allein aufgrund der medialen Berichterstattung – bei der DSGVO nun ändern. Zukünftig haben Betroffene das Recht, nach Artikel 15 DSGVO von Unternehmen eine Bestätigung darüber zu verlangen, ob sie personenbezogene Daten verarbeiten und falls ja, in welchem Umfang dies geschieht.

Ebenfalls neu geregelt wurde das sogenannte „Recht auf Vergessenwerden“ – also die Pflicht, personenbezogene Daten eines Verbrauchers nach Zuruf umgehend zu vernichten. Als Ausnahme gelten natürlich laufende Geschäftsbeziehungen aber auch andere rechtliche Vorschriften (z.B. Steuerrecht).

Formbrief für die Selbstauskunft nach DSGVO

Gemeinsam mit dem DigitalLifestyle-Magazin haben wir einen Formbrief erstellt, den Interessierte als Vorlage für ein Auskunftsersuchen gegenüber Unternehmen nutzen können. Auch die Option für das Löschen personenbezogener Daten wurde berücksichtigt.

Download: Datenschutzrechtliche Selbstauskunft nach DSGVO (.odt, OpenDocument-Text)

Selbstauskunft – so müssen Unternehmen reagieren

Wer als Unternehmer dieses oder ein ähnlich formuliertes Schreiben erhält, wird sich fragen, wie man denn nun genau darauf antworten muss. Und ob überhaupt.

Einfach wegwerfen oder ignorieren kann nämlich empfindliche Strafen der Aufsichtsbehörden nach sich ziehen. Und wirklich kundenfreundlich wäre ein solches Verhalten natürlich ebenfalls nicht.

(1) Identität verifizieren

Der erste und vielleicht sogar wichtigste Schritt besteht darin, die anfragende Person zu identifizieren, um sicherzustellen, daß keine personenbezogenen Daten durch übereilten Gehorsam an nicht autorisierte Dritte übermittelt werden. Ein datenschutzrechtlicher (und im übrigen nach der DSGVO sogar meldepflichtiger) Super-GAU, der unbedingt zu vermeiden ist.

Wie lässt sich die Identität des Betroffenen prüfen ?

Bei eigenen Kunden ist das einfach: Mittels eines Kontrollanrufs bei der im Kundendatensatz hinterlegten Telefonnummer und der Abfrage einiger persönlicher Daten (z.B. Geburtsdatum und Straßenanschrift oder Kundennummer) lässt sich relativ einfach eine solche Prüfung vornehmen.

Schwieriger sieht es aus, wenn nur wenige Daten vorliegen, die eine Identifikation mit vertretbarem Aufwand gar nicht zulassen. Das Gesetz kennt hier leider keine Handlungsempfehlung. Im Zweifel sollte der „Wert der herauszugebenden Daten“ abgewogen werden:

Eine E-Mail-Adresse und die dazugehörigen Informationen für das Opt-In beim Newsletter (Zeitstempel und IP-Adresse von Anmeldung und Bestätigung) wiegen natürlich weniger schwer, als die Übermittlung der vollständigen Straßenanschrift samt Geburtsdatum, Geschlecht und Bestellhistorie.

Kann die Identität des Betroffenen also nicht verifiziert werden und würden dabei persönlichste Daten herausgegeben, ist es sinnvoller, eine Anfrage abzulehnen und es auf eine Beschwerde bei der zuständigen Aufsichtsbehörde ankommen zu lassen. Hier kann man dann nämlich mit der Unmöglichkeit einer geeigneten Identifikation argumentieren und hat gute Chancen, den Vorfall unbeschadet zu überstehen.

Ausweiskopie – ja oder nein ?

Das Anfordern einer Ausweiskopie ist zum einen ein sinnloses Unterfangen, wenn keine geeigneten Personendaten zum Abgleich vorliegen und zum anderen könnte es sich sogar als Bumerang herausstellen:

Allein aus Beweissicherungsgründen (und zu den gesetzlich verlangten Protokollierungszwecken) wäre die Ausweiskopie aufzubewahren, was zur Folge hätte, noch mehr personenbezogene Daten speichern zu müssen. Besonders problematisch, wenn über die jeweilige Person eigentlich gar keine Daten vorliegen.

Eine praktikable Alternative wäre das Anfragen einer Ausweiskopie mit der Bitte, alle nicht relevanten Stellen im Dokument zu schwärzen. Auch ein Hinweis, daß bei negativer Auskunft die Kopie innerhalb eines klar definierten Zeitrahmens (z.B. drei Monate) vernichtet wird, ist sinnvoll.

Erwägungsgrund 64

Erwägungsgrund 64 Satz 1 der DSGVO spricht allgemein von „allen vertretbaren Mitteln“, um die Identität der anfragenden Person zu prüfen.

(2) Zeitnah antworten

Auskunftsersuchen sollten möglichst zeitnah, jedoch nicht später als dreißig Tage nach Erhalt beantwortet werden. Zwar setzt der Gesetzgeber keine Frist, man darf jedoch davon ausgehen, daß die üblicherweise für Geschäftskorrespondenz geltenden Reaktionszeiten Anwendung finden.

Stichwort „Kosten und Gebühren“

Die Auskunft über verarbeitete personenbezogene Daten muss kostenlos erfolgen.

Ein angemessenes Entgelt auf Grundlage der eigenen Selbstkosten darf nur bei mehrmaligen Anfragen innerhalb eines kurzen Zeitraums erhoben werden. Leider hat der Gesetzgeber es versäumt, Grenzen zu definieren, wie oft „zu oft“ ist, um eine Gebühr zu rechtfertigen.

Man wird jedoch die nach der alten Regelung eingebürgerten Zeiträume von ca. einem Jahr zugrunde legen; es sei denn, die Art und Weise der Verarbeitung personenbezogener Daten gebietet eine häufigere Nachfrage (z.B. bei sich schnell ändernden Gesundheitsdaten oder im Kreditwesen).

Unter Umständen lohnt es sich, automatisierte Verfahren für die Einholung von Selbstauskünften nach DSGVO einzuführen – denn eine Flut von Anfragen könnte schnell eine Kostenlawine nach sich ziehen.

(3) Kommunikationskanäle beachten

Grundsätzlich sollte auf die gleiche Weise geantwortet werden, die auch der Anfragende benutzt hat. Sprich, per Post, wenn das Ersuchen per Brief kam oder via E-Mail bei einer elektronischen Übermittlung.

Praktikabler (und billiger) ist natürlich der elektronische Versand. Doch der Gesetzgeber überlässt es dem Verbraucher, das für ihn geeignete Format zu bestimmen (siehe Artikel 15 Absatz 3 Satz 3 DSGVO).

Verständlichkeit ist Trumpf

So oder so kommt es darauf an, alle gesammelten personenbezogenen Daten in einer übersichtlichen Form zu liefern. Datenschützer dürften wohl schnell bemängeln, wenn absichtlich verwirrende Angaben (z.B. durch eine missverständliche Darstellung) gemacht oder Datenberge in 6 Punkt großer hellgrauer Schrift auf weißem Papier geliefert werden.

Wer als Unternehmer Datenschutz ernst nimmt, sollte seinen Kunden und Nutzern ohnehin die Möglichkeit einräumen, Rückfragen hinsichtlich der Verständlichkeit zu stellen oder allgemeingültige FAQs anzubieten, welche die gelieferten Daten näher erläutern.

(4) Auskunftspflicht vollständig erfüllen

Wurden personenbezogene Daten gespeichert, so müssen die folgenden Informationen geliefert werden (ansonsten genügt eine kurze Notiz ohne zusätzliche Erläuterungen):

  • Kategorien 1] der personenbezogenen Daten, einschließlich Zusendung einer Kopie aller Daten
  • Verarbeitungszwecke der personenbezogenen Daten
  • Angaben zur Herkunft der personenbezogenen Daten
  • Empfänger oder allgemeine Empfängerkategorien 2], falls personenbezogene Daten weitergegeben wurden oder dies in Zukunft beabsichtigt ist
  • Dauer der geplanten Datenspeicherung oder Nennung der Kriterien, welche für die Berechnung des Zeitraum der Aufbewahrung maßgeblich sind
  • Hinweise auf die Rechte zur Berichtigung, Löschung und Einschränkung der Verarbeitung
  • Hinweis auf das mögliche Beschwerderecht bei einer Aufsichtsbehörde
  • Bei Nutzung einer automatisierten Entscheidungsfindung (Profiling), Informationen über die involvierte Logik und Darlegung zur Nutzung der somit gewonnenen Erkenntnisse
  • Nachweise über geeignete Garantien zur datenschutzkonformen Verarbeitung bei Übermittlung von Daten in ein Drittland oder an eine internationale Organisation

1] Beispiele: Allgemeine Personendaten, Geldverkehrsdaten, physische Merkmale.
2] Beispiele: Mitarbeiter, Kunden, Lieferanten, Banken, Steuerbehörden.

(5) Information nicht um jeden Preis

Der interessierte Verbraucher hat das Recht auf eine umfassende, verständliche und möglichst detaillierte Darlegung der über ihn erhobenen Daten.

Sobald jedoch konkrete Geschäftsgeheimnisse tangiert werden, können sich Unternehmen auch darauf berufen. In diesen Bereich fällt beispielsweise die konkrete Darlegung einzelner Algorithmen bei der automatischen Entscheidungsfindung (Profiling).

Auch nicht mitgeteilt werden müssen solche personenbezogenen Daten, welche die Rechte und Freiheiten anderer Personen beeinträchtigen. Dabei könnte es sich zum Beispiel um Scoring-Werte der Kreditwürdigkeit eines Ehepaares handeln, bei dem nur einer der Betroffenen seine Rechte geltend macht.

Verhaltensregeln und Arbeitsabläufe

Sinnvoll ist es außerdem, ein solches Auskunftsersuchen intern einmal durchzuspielen, um die Arbeitsabläufe zu erproben. Zwar dürften kleine Firmen, Selbständige und Handwerker eher selten damit zu tun haben, es lohnt sich jedoch, für den Fall der Fälle vorbereitet zu sein.


Stand der Informationen: Mai 2018
Wichtig: Bitte beachten Sie die Nutzungsbedingungen und rechtlichen Hinweise für diesen Beitrag !

Werbung