Wer kennt das nicht? Ein Mitarbeiter verlässt das Unternehmen oder ein Kunde löscht seinen Nutzer-Account – prompt folgt die Auskunftsanfrage verbunden mit einem Betroffenenanspruch. Seit dem Inkrafttreten der DSGVO im Mai 2018 berufen sich Kunden und Arbeitnehmer nur zu gerne auf Ihre Auskunfts- und Löschungsrechte personenbezogener Daten. Dann droht schnell eine Untersuchung der Aufsichtsbehörde. Hier haben wir bereits dargelegt, welchen Umfang ein datenschutzrechtlicher Auskunftsanspruch hat und wie dieser zu erfüllen ist. Doch in der Praxis ergeben sich noch ganz andere Probleme. Auf welche datenschutzrechtlichen Hürden man als Unternehmen dabei stößt und wie man diese möglichst einfach nimmt, erläutern wir anhand eines kleinen Beispiels.
Praxisbeispiel für Betroffenenanspruch
Nina Naseweiß schreibt eine E-Mail an die Chaos GmbH. Sie gibt an, dass sie die Nase davon voll habe, dass sie ständig irgendwelche Anrufe, E-Mails und Briefwerbung bekomme. Sie habe doch nur einmal etwas im Internetshop bestellt. Daher verlangt sie Folgendes: Zum einen möchte sie Auskunft über alle von Ihr verarbeiteten Daten sowie die Empfänger dieser Daten erhalten. Zum anderen soll die Chaos GmbH die entsprechenden Daten sofort löschen. Diese E-Mail landet zunächst im allgemeinen Postfach info@chaos.de und wird anschließend an den Datenschutzkoordinator im Unternehmen mit der Bitte um Bearbeitung weitergeleitet.
Die Suchen nach Daten beginnt
Der Datenschutzkoordinator prüft nun erst einmal die Identität der Betroffenen und notiert sich die Frist zur Auskunftserteilung und Löschung. Soweit hat der Prozess zum Umgang mit dem Betroffenenanspruch also schon gut funktioniert.
Voller Tatentrang macht sich der Datenschutzkoordinator dann direkt an die Beantwortung der Anfrage. Hierbei stößt er, wie andere Unternehmen, schnell auf eine Frage: Wo finde ich denn die Daten von Nina Naseweiß, die die Chaos GmbH verarbeitet? Und wo sind diese gespeichert bzw. an wen wurden sie weitergegeben?
Erste Anhaltspunkte sind die Angaben von Nina Naseweiß aus der E-Mail. Sie hat in dem Onlineshop etwas bestellt und sie hat Werbung per E-Mail, Telefon und Post bekommen. Somit ist auch klar, dass neben der Anschrift auch die E-Mail-Adresse und die Telefonnummer gespeichert wurden. Doch wo im Unternehmen lassen sich die Daten finden?
Hoffnungsquelle: Das Verarbeitungsverzeichnis
Im Laufe seiner Recherche stößt der Datenschutzkoordinator auf das Verarbeitungsverzeichnis. Er hatte es mit Mühe und Not gemeinsam mit dem Datenschutzbeauftragten erstellt. Das hilft ihm herauszufinden, welche Daten wo im Unternehmen verarbeitet sowie an Dritte weitergegeben werden. Da das Verarbeitungsverzeichnis gut geführt ist, kann der Datenschutzkoordinator die Verarbeitungstätigkeiten zunächst nach der Kategorie der Betroffenen sortieren. So erhält er einen ersten Überblick, welche Verarbeitungstätigkeiten in jedem Fall und welche möglicherweise bei Frau Naseweiß stattgefunden haben.
Nun kann er im zweiten Schritt nach den Rechtsgrundlagen sortieren. Bei der Rechtsgrundlage der Vertragserfüllung ist klar, dass diese Daten in der Auskunft enthalten sind. Wahrscheinlich dürfen sie auf Grund der Aufbewahrungsfristen aber noch gar nicht gelöscht werden. Bei den Verarbeitungstätigkeiten, die auf Grund einer Einwilligung oder des berechtigten Interesses stattgefunden haben, verhält es sich anders. Diese Daten der ersten Kategorie sind zur Erfüllung der Löschanfrage nach der Auskunftserteilung zu löschen. Daten der zweiten Kategorie darf man ggf. nach einer zweiten Interessensabwägung löschen oder weiter aufbewahren.
Da das geklärt ist, sollte aus dem Verarbeitungsverzeichnis auch erkennbar sein, mit welchen Programmen die Daten von Nina Naseweiß verarbeitet wurden. Man kann diese dann im jeweiligen Programm ggf. löschen oder sperren. Darüber hinaus ist an dieser Stelle auch erkennbar, an wen die Daten weitergegeben wurden. Denn die Datenweitergabe an Dritte ist im Verarbeitungsverzeichnis stets zu notieren. So ist der Datenschutzkoordinator in der Lage Frau Naseweiß die Empfänger ihrer Daten mitteilen.
Fazit
Das Verarbeitungsverzeichnis ist ein wichtiger Punkt im Unternehmen – nicht nur, aber auch zur Erfüllung eines Betroffenenanspruchs. Daher ist es auch so entscheidend, das Verarbeitungsverzeichnis ganz individuell für Ihr Unternehmen zu erstellen und auch stets aktuell zu halten. Werden hier Verarbeitungstätigkeiten nicht aufgelistet und damit Tools und Programme nicht erfasst, erhält Nina Naseweiß nach einer Auskunftserteilung und Bestätigung der Löschung ihrer Daten womöglich doch noch weitere Werbung oder Anrufe. Dann stehen die Aufsichtsbehörde sowie Schadensersatzansprüche von Frau Naseweiß direkt vor der Tür.
Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.
Kein Kommentar