DSGVO Betroffenenrechte: Wie Unternehmen optimal vorbereitet sind

27.10.2021

Betroffenenrechte sind in der DSGVO fest verankert. Doch nicht alle Unternehmen respektieren die Betroffenenrechte angemessen, weil sie beispielsweise auf Anfragen nicht oder zu spät reagieren. Es drohen gravierende Folgen, wie z.B. die Verhängung stattlicher Bußgelder.

Die einzelnen DSGVO Betroffenenrechte

Auskunftsrecht (Art. 15 DSGVO)
Die betroffene Person hat ein Recht auf Auskunft darüber, ob und welche ihrer personenbezogenen Daten verarbeitet werden.

Recht auf Berichtigung (Art. 16 DSGVO)
Die betroffene Person hat ein Recht auf die Berichtigung fehlerhafter personenbezogener Daten sowie die Ergänzung unvollständiger personenbezogener Daten.

Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO)
Die betroffene Person hat unter bestimmten Umständen ein Recht auf die Löschung der über sie gespeicherten personenbezogenen Daten.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Die betroffene Person hat bei einem Anbieterwechsel ein Recht auf die Übermittlung ihrer Daten an den neuen Anbieter.

Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Die betroffene Person hat ein Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Weitere Rechte
Die weiteren Rechte der betroffenen Person umfassen das Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) und das Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO). Zudem bestehen Informationsrechte, die aus den Informationspflichten des Verantwortlichen resultieren. Abseits der DSGVO können weitere Betroffenenrechte existieren, die nationalem Rechte (in Deutschland z.B. dem BDSG) entstammen.

Konsequenzen bei Missachtung sowie unzureichender Reaktion

Sobald sich Betroffene auf ihre DSGVO Rechte berufen, gilt es zu reagieren. Eine betroffene Person könnte z.B. anfragen, welche personenbezogene Daten von ihr erfasst wurden. In solch einem Fall gilt es die relevanten Informationen fristgerecht mitzuteilen.

Reagiert ein Unternehmen nicht oder in unzureichender Form, kann dies unangenehme Konsequenzen nach sich ziehen. Die betroffene Person könnte sich z.B. an die zuständige Aufsichtsbehörde wenden oder einen Rechtsanwalt einschalten. Somit können im Ernstfall

  • eine juristische Auseinandersetzung
  • und/oder die Verhängung eines Bußgelds

drohen.

Stolpersteine in der Praxis

Nicht immer sind Unternehmen mit den DSGVO Betroffenenrechten und deren Bedeutung vertraut. Damit geht das Risiko einher, relevante Anfragen falsch einzustufen. Streng handelt es sich nicht nur um Anfragen, sondern um Aufforderungen. Dies setzt allerdings voraus, dass Mitarbeiter in den relevanten Abteilungen (z.B. Service oder Support) solche Aufforderungen erkennen und gezielt weiterleiten.

Ein weiterer Stolperstein sind Vorgehensweisen, die einen angemessenen Umgang mit Aufforderungen rund um die DSGVO Betroffenenrechte sicherstellen. Womöglich fehlen solche Prozesse vollständig, sodass beispielsweise Anfragen unvollständig beantwortet werden.

Ebenso sind die geltenden Fristen nicht außer Acht zu lassen. Sollte beispielsweise ein Auskunftsersuchen erst nach Fristablauf beantwortet werden, könnte dies negative Konsequenzen haben.

Fahrplan für eine sichere Einhaltung der Betroffenenrechte

1. Anfrage erkennen: Zunächst ist zu verstehen, dass sich die betroffene Person auf ihre DSGVO Rechte beruft und somit die Notwendigkeit besteht, angemessen zu reagieren.

2. Betroffenenrecht zuordnen: Es gilt zu erkennen, mit welchem konkreten Recht eine Anfrage in Verbindung steht.

3. Passenden Prozess einleiten: Nun kann der zugehörige Prozess eingeleitet werden, der z.B. eine Ermittlung der notwendigen Daten mit anschließender Erstellung eines Antwortschreibens sicherstellt.

Fazit

Der sichere Umgang mit Betroffenenrechten ist vor allem eine Frage der Prozesse. Es gilt mit den Rechten der Betroffenen vertraut zu sein, um relevante Anfragen und Aufforderungen als solche zu erkennen und anschließend die richtigen Schritte einleiten zu können. Wertvolle Unterstützung leistet ein abgestimmtes Datenschutzmanagementsystem. Dies gewährleistet, dass jederzeit zielführend gehandelt wird.

Fragen & Antworten zum Thema

Gegenüber wem machen Betroffene ihre Rechte geltend?

Damit Betroffene ihr Anliegen korrekt adressieren zu können, müssen Unternehmen einen Ansprechpartner nennen. Anzugeben ist der für den Datenschutz Verantwortliche. Die Nennung hat je nach Zweck der Verarbeitung beispielsweise auf der Datenschutzerklärung im Web oder auch Hinweisschildern (z.B. bei Videoüberwachung) zu erfolgen.

Innerhalb welcher Frist ist zu reagieren, wenn sich Verbraucher auf Ihre Betroffenenrechte berufen?

Die genaue Frist hängt vom jeweiligen Recht ab, auf welches sich eine betroffene Person stützt. Angenommen der Betroffene macht Gebrauch von seinem Auskunftsrecht, so ist innerhalb von vier Wochen darauf zu antworten. In bestimmten Fällen ist eine Fristverlängerung möglich, wobei der Betroffene dann innerhalb der vier Wochen über die Verlängerung zu informieren ist.