Datenschutz im Unternehmen richtig umsetzen
Wer personenbezogene Daten verarbeitet, muss sich an die Vorgaben im Datenschutz halten. Diese sind in der Datenschutzgrundverordnung (DS-GVO) und im Bundesdatenschutzgesetz (BDSG) festgelegt. Für die Einhaltung des Datenschutzes ist der Verantwortliche zuständig.
Die Person, deren personenbezogene Daten verarbeitet werden, ist der sogenannte Betroffene. Betroffene können Interessenten, Kunden, Website-Besucher, Lieferanten und vor allem auch Mitarbeiter oder Bewerber sein. Auch wenn Bewerber nicht für eine Stelle in Frage gekommen sind, hört der Datenschutz nach dem Bewerbungsverfahren nicht auf.
BLOG-TIPP: DATENSCHUTZ AKTUELL – MITARBEITERDATEN IM DATENSCHUTZ
Die Bedeutung von Datenschutz für Unternehmen
Wenn Unternehmen personenbezogene Daten verarbeiten, müssen diese den Datenschutz entsprechend umsetzen. Durch die Einhaltung von Datenschutzbestimmungen können Unternehmen nicht nur Bußgelder und rechtliche Konsequenzen vermeiden, sondern auch das Vertrauen ihrer Kunden und Partner stärken.
Ein wichtiger Aspekt des Datenschutzes ist das Recht auf Auskunft für Betroffene. Personen, deren personenbezogene Daten von einem Unternehmen verarbeitet werden, haben das Recht, Informationen über die Verarbeitung ihrer Daten zu erhalten. Dies umfasst unter anderem Auskünfte über die Art der gespeicherten Daten, den Zweck der Verarbeitung und die Empfänger der Daten.
Verantwortliche in Unternehmen müssen sicherstellen, dass sie Auskunftsersuchen von Betroffenen transparent, zeitnah und vollständig bearbeiten. Dies erfordert eine effektive Datenverwaltung und Dokumentation, um sicherzustellen, dass alle relevanten Informationen schnell und präzise bereitgestellt werden können.
Auskunftsverlangen: Was ist das und wie funktioniert es?
Ein Auskunftsverlangen ist ein wichtiger Aspekt des Datenschutzes, der es Betroffenen ermöglicht, Informationen über die Verwendung ihrer personenbezogenen Daten zu erhalten. Der Begriff bezieht sich auf das Recht einer Person, von einer Organisation Auskunft darüber zu verlangen, welche Daten über sie gespeichert sind und wie diese Daten verwendet werden.
Das Recht auf Auskunft ist im Artikel 15 der DS-GVO festgelegt und ist ein Betroffenenrecht. Es kann Grundstein sein für die Ausübung weiterer Betroffenenrechte, wie zum Beispiel das Recht auf Löschung oder das Recht auf Berichtigung.
BLOG-TIPP: BETROFFENENRECHTE – WAS IST DAS RECHT AUF LÖSCHUNG?
Bearbeitung muss sorgfältig sein
Um ein Auskunftsverlangen zu stellen, muss die betroffene Person eine Anfrage an das Unternehmen oder die Organisation richten, die ihre Daten verarbeitet. In der Anfrage sollten alle relevanten Informationen angegeben werden, die es dem Unternehmen ermöglichen, die gesuchten Daten zu identifizieren. Dazu gehören in der Regel Angaben wie Name, Adresse und Kundennummer.
Bei der Bearbeitung der Anfrage muss sorgfältig geprüft werden, ob der Anfragende auch das Recht hat, die Informationen zu erhalten. Eine Identitätsprüfung ist dabei das A und O. Personenbezogene Daten dürfen nicht an Unberechtigte weitergegeben werden.
BLOG-TIPP: AUSKUNFTSERSUCHEN – WIE KANN MAN DEN BETROFFENEN IDENTIFIZIEREN?
Wie Unternehmen ein Auskunftsverlagen bearbeiten müssen
Gemäß der Vorgaben im Datenschutz ist das Unternehmen verpflichtet, innerhalb eines festgelegten Zeitrahmens – unverzüglich – auf das Auskunftsverlangen des Betroffenen zu reagieren.
Die Auskunft muss unverzüglich, spätestens aber innerhalb von einem Monat, erteilt werden. Das Unternehmen muss dem Betroffenen alle relevanten Informationen zur Verfügung stellen, einschließlich der Art der gespeicherten Daten, des Zwecks der Datenverarbeitung und der Kategorien von Empfängern, an die die Daten weitergegeben wurden. Durch die Möglichkeit, Einblick in die Verwendung ihrer personenbezogenen Daten zu erhalten, können die betroffenen Personen Missbrauch oder unrechtmäßige Verarbeitung ihrer Informationen erkennen und entsprechend reagieren.
Wenn keine personenbezogenen Daten verarbeitet oder gespeichert werden, muss dem Betroffenen eine sogenannte Negativauskunft erteilt werden.
BLOG-TIPP: DATENSCHUTZ – AUSKUNFTSRECHT BEI BESCHÄFTIGTEN
Was bedeutet unverzüglich?
Ein aktuelles Beispiel aus dem Jahr 2023 zeigt, dass die Bearbeitungsfrist für die Erteilung der Auskunft nicht ausgereizt werden sollte. Ein ehemaliger Bewerber hatte ein Auskunftsersuchen bei einem Unternehmen gestellt und diesem eine zweiwöchige Frist gestellt. Als das Unternehmen diese nicht eingehalten und die Negativauskunft zwar in der Frist eines Monats aber erst nach Ablauf der Frist des Betroffenen ausgestellt hatte, stellte dieser einen Schadensersatzanspruch.
Diesem wurde zum Teil durch ein Arbeitsgericht stattgegeben. Das Unternehmen berief sich auf die Einhaltung der Frist und auf die ausgiebige Prüfung des Falls. Allerdings sah das Arbeitsgericht diese Begründung nicht als ausschlaggebend an. Das zeigt also, dass die Auslegung von „unverzüglich“ entsprechend zu prüfen ist.
Datenschutzbeauftragter zur Beurteilung
Um ein Auskunftsersuchen im Datenschutz ausreichend und nach den Vorgaben der DS-GVO und dem BDSG umzusetzen gilt es daher ein genaues Vorgehen und eine Ausreichende Prüfung vorzunehmen, aber auch in jedem Fall individuell zu prüfen, wie die Anfrage des Betroffenen ausreichend zu bearbeiten ist. Dabei kann ein Datenschutzbeauftragter unterstützend beraten und Unternehmen oder Organisationen Schritte aufzeigen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.