personenbezogene Daten

Datenschutz in der praktischen Umsetzung

Die Datenschutzgrundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG) schreiben feste Vorgehensweisen im Umgang mit den personenbezogenen Daten von Betroffenen vor. Dazu gehören auch die Betroffenenrechte. In diesem Blog beschäftigen wir uns genauer damit, wie mit Betroffenenanfragen umgegangen werden muss.

Worauf muss man bei Betroffenenanfragen im Datenschutz für NRW achten? –Datenschutzberater.NRW erklärt Ihnen wie Sie reagieren müssen.

Recht auf Auskunft – Datenschutz für Unternehmen in NRW

Zu den Betroffenenrechten gehört auch das Recht auf Auskunft. Das bedeutet, dass jeder Betroffene das Recht auf eine detaillierte Aufstellung der eigenen personenbezogenen Daten hat, die in einem Unternehmen oder ähnlichem verarbeitet werden. Sobald Sie also personenbezogene Daten verarbeiten, sollten Sie in der Lage sein einem Betroffenen genau mitzuteilen, welche dies sind.

Was sind personenbezogene Daten? Lesen Sie dazu unseren Blog.

Wann verarbeitet man personenbezogene Daten?

Personenbezogene Daten werden öfter verarbeitet als manchmal bewusst ist. Die Datenschutzgrundverordnung greift hier sehr weit, was bedeutet, dass nicht nur die Erfassung und Speicherung von personenbezogenen Daten eine Verarbeitung darstellt, die dem Datenschutz unterliegt. Die Löschung von Daten, das Vernichten von Datenträger o.ä. gehört zur Datenverarbeitung. Die Verarbeitung von Daten auf der Homepage – wie z.B. das Verarbeiten von IP-Adressen, welche ebenfalls zu den personenbezogenen Daten gehören, zu Analysezwecken – gehört auch zur Datenverarbeitung im Sinne des Datenschutzes.

Eine Besondere Rolle bei der Verarbeitung spielt auch die Videoüberwachung – welche genau, können Sie in unserem Blog zum Thema nachlesen.

Hinzu kommt, dass die Datenverarbeitung sich anders als oft gedacht, nicht nur auf den digitalen Bereich bezieht. Auch manuell erfasste Daten, Lieferadressen in der Gastronomie, Handakten in verschiedenen Bereichen des Geschäfts- und Vereinslebens usw. zählen dazu und müssen entsprechend behandelt werden.

Datenverarbeitung ist beinahe überall ein Thema

Wenn man alle Vorgaben der DS-GVO und die damit zusammenhängenden Definitionen von Datenverarbeitung betrachtet, so kommt kaum jemand, der mit personenbezogenen Daten arbeitet um die Einhaltung der DS-GVO herum, einige Beispiele sind:

  • Unternehmen
  • Vereine
  • Schulen, Kindergärten, OGATAS, Kitas usw.
  • Gastronomie und Hotelgewerbe, Freizeiteinrichtungen (vor allem bei der Registrierungspflicht für NRW in Corona-Zeiten)
  • Fitnessstudios
  • Dienstleister und Handwerker
  • Ärzte, Krankenhäuser und Pflegeeinrichtungen
  • Steuerberater, Rechtsanwälte, Kanzleien
  • Arbeitgeber in jeglicher Hinsicht

Betroffenenanfrage – was ist zu tun?

Wie schon beschrieben, hat jeder Betroffene das Recht, die von ihm erhobenen Daten beim entsprechenden Verantwortlichen zu erfragen.

Um Datenpannen zu vermeiden, muss als aller erster Schritt sichergestellt werden, dass der Betroffene sich eindeutig verifizieren kann. Schaffen Sie einen Mechanismus, mit dem Sie eindeutig sicher sein können, dass kein Dritter die personenbezogenen Daten erhalten kann.

Es muss dem Betroffenen dabei dargelegt werden, welche Daten in welchem Zusammenhang verarbeitet werden.

Eine Auskunft für den Betroffenen nach Artikel 15 DS-GVO sollte u.a. folgende Angaben enthalten:

  • gespeicherte Daten des Betroffenen
  • Verarbeitungszwecke
  • Datenkategorie der gespeicherten Daten
  • Datenempfänger, falls die Daten an Dritte weitergegeben werden – hierbei auch der besondere Zweck der Weitergabe
  • Speicherdauer
  • Herkunft der Daten
  • Übermittlung in Drittstaaten
  • Hinweis auf die Betroffenenrechte, die Möglichkeit der Beschwerde bei der Aufsichtsbehörde und die Angabe der zuständigen Behörde

Zudem hat jeder Betroffene das Recht auf eine Kopie der Daten, wenn er von seinem Auskunftsrecht nach DS-GVO gebrauch macht. Achten Sie dabei auch auf die Daten, die Sie in analoger Form in Akten o.ä. aufbewahren.

Auftragsdatenverarbeitung beachten

Im Zusammenhang mit den personenbezogenen Daten ist auch die Auftragsdatenverarbeitung zu prüfen. Geben Sie immer auch an, welche Daten Sie an andere Datenempfänger weitergeben.

Mehr zum Thema ADV-Verträge finden Sie hier.

Fristen bei Betroffenenanfragen für den Datenschutz in NRW

Grundsätzlich sollte jeder Datenverarbeiter ein Interesse daran haben, die Betroffenenanfragen fristgerecht zu bearbeiten. Dies kann nur dann funktionieren, wenn die Betroffenenanfragen dort landen, wo Sie bearbeitet werden können. Bei Unternehmen in NRW, die einen Datenschutzbeauftragten (DSB) berufen, wird diese Anfrage durch den DSB bearbeitet.

Es ist daher empfehlenswert für den Datenschutz eine E-Mail-Adresse einzurichten, an welche betroffene Personen ihre Anfrage zum Datenschutz senden können. So können die Anfragen direkt selektiert werden. Nicht immer stellt dies natürlich sicher, dass der Betroffene diese E-Mail-Adresse auch nutzt. Sensibilisieren Sie Ihre Mitarbeiter daher auch dafür, wie generell mit Betroffenenanfragen umgegangen werden soll, stellen Sie sicher, dass diese Anfragen nicht durch den einzelnen Mitarbeiter beantwortet werden.

Grundsätzlich sollten die Anfragen von Betroffenen rasch bearbeitet werden. Die Vorgaben in der DS-GVO sagen hier genau aus, dass „unverzüglich“ gehandelt werden muss. Deutlicher wird die Datenschutzgrundverordnung in Artikel 12 Abs. 3 S. 1:

„Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gem. den Artikel 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.“

Auch wenn unter bestimmten Umständen eine Fristverlängerung möglich wäre (über welche der Betroffene innerhalb der 4-Wochen-Frist informiert werden muss), so sollte man sich an diese erste Frist halten.

Beschwerden von Betroffenen – richtig reagieren

Bei Nichteinhaltung der Fristen oder gar wenn man keine Auskunft an den Betroffenen erteilt, muss man mit empfindlichen Strafen rechnen. So kann der Betroffene wegen einer fehlenden oder mangelhaften Auskunft eine Beschwerde bei der zuständigen Behörde einreichen. In NRW ist dafür die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) zuständig.

Wenn eine solche Beschwerde bei Ihnen über den Landesbeauftragten oder die Landesbeauftragte eingereicht wird, sollten Sie in jedem Fall sofort handeln und innerhalb der (meist) vorgegebenen Frist die gewünschte Dokumentation vollständig vorlegen.

Hier zeigt es sich, dass die Dokumentation im Datenschutz eine wichtige und sinnvolle Rolle spielt. Legen Sie von Beginn an eine genaue Vorgehensweise fest, wie Betroffenenanfragen zu bearbeiten sind. Dokumentieren Sie jede Betroffenenanfrage entsprechend der Vorgaben der DS-GVO. Das Datenschutzmanagementsystem kann bei der Umsetzung helfen. Ein gut organisierter und dokumentierter Datenschutz schützt sowohl die Daten der Betroffenen als auch den Verantwortlichen bei Beschwerden vor möglichen Strafen.

Dokumentation im Datenschutz

Die Dokumentation spielt im Datenschutz eine wichtige Rolle. So auch bei Beschwerden von Betroffenen bei der Aufsichtsbehörde. Liegt also eine solche Beschwerde vor, wird vermutlich auch die Dokumentation der Datenverarbeitung für die Behörde eine wichtige Rolle spielen.

Stellen Sie also sicher, dass die Vorgaben des Datenschutzes, auch ohne Beschwerde, durch ein gut organisiertes Datenschutzmanagementsystem eingehalten werden. Dazu gehören unter anderem:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT), welches jeden Vorgang beschreibt, bei dem personenbezogene Daten verarbeitet werden
  • Technische und organisatorische Maßnahmen (TOMs), welche dokumentieren, mit welchen Maßnahmen die personenbezogenen Daten vor Zugriffen Unbefugter geschützt werden
  • ADV-Verträge, die bei Auftragsdatenverarbeitung ermöglichen, dass der Datenschutz sichergestellt wird
  • Je nach Art der Daten und der Verarbeitung: Durchführung einer Schwellwertanalyse und einer Datenschutzfolgenabschätzung, bei der das Risiko analysiert und dokumentiert wird, dem die Daten nach Einhaltung der o.g. Vorgänge ausgesetzt sind

Dokumentieren Sie unbedingt auch entsprechende Betroffenenanfragen und die Antworten. Sollte im Nachgang eine Beschwerde des Betroffenen bei der zuständigen Aufsichtsbehörde vorliegen, können Sie so nachweisen in welchem Umfang Sie der Auskunftspflicht nachgekommen sind.

Datenschutzbeauftragter und Betroffenenanfragen in NRW

Zuständig für den Datenschutz ist immer der Verantwortliche. Der (externe) Datenschutzbeauftragte weist auf mögliche Schwachstellen hin und unterstützt dabei, den Datenschutz nach DS-GVO für NRW umzusetzen. Er bildet aber auch die erste Anlaufstelle für Betroffene und Behörden, wenn es um den Datenschutz geht. Daher sollten Sie eine Anfrage einer betroffenen Person immer zeitnah an Ihren (externen) Datenschutzbeauftragten weiterleiten.

Dieser kann dann sicherstellen, dass alle nötigen Daten zusammengetragen, fristgerecht und unter Einhaltung der gesetzlichen Vorgaben an den Betroffenen weitergegeben werden. Auch bei Beschwerden durch den Betroffenen sollte der (externe) DSB hinzugezogen werden.

Das Team von Datenschutzberater.NRW hilft Ihnen bei der Umsetzung des Datenschutzes im Unternehmen. Mit Fachleuten aus dem Bereich Datenschutz, IT-Sicherheit und Steuerrecht sind wir der richtige Ansprechpartner für alle, die eine kompetente Beratung im Raum Köln, Bonn, Düsseldorf und ganz NRW suchen.

Unser externer Datenschutzbeauftragter (TÜV) wird in seiner Arbeit durch eine Datenschutzfachkraft (TÜV) unterstützt. Unser Angebot umfasst u.a.:

Gerne beraten wir Sie bei der Umsetzung des Datenschutzes in NRW und erstellen Ihnen ein individuelles und praxisnahes Angebot zum Thema Datenschutz – nehmen Sie einfach zu uns Kontakt auf.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie die Vorgaben der DS-GVO für NRW eingehalten haben, dann lassen Sie sich von uns professionell beraten. Weitere Handlungsempfehlungen für KMU in NRW finden Sie hier.

Umgang mit Betroffenenanfragen für Unternehmen in NRW