In diesem Beitrag bekommt ihr einen ersten Überblick zu Auskunfts-, Berichtigungs- und Löschungsanfragen eurer Kund:innen.
Um den Grundrechtsschutz zu gewährleisten, sehen die Datenschutzgesetze zahlreiche Betroffenenrechte vor. Sie sollen Kenntnis darüber erlangen können, wer welche Informationen über sie gespeichert hat und welchen Zwecken die Daten dienen.
Um sie durchsetzen zu können, hat jedes Bundesland eine Datenschutzaufsichtsbehörde, die Verstöße gegen die Datenschutzgesetze ahnden kann.
Sicherstellung der Betroffenenrechte
Zunächst ist zwischen Informationspflichten und Auskunftsrechten zu unterscheiden.
Immer, wenn mit personenbezogenen Daten umgegangen werden soll, müssen Betroffene zuvor in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache insbesondere informiert werden über:
- Name und Kontaktdaten des Verantwortlichen,
- Kontaktdaten des Datenschutzbeauftragten,
- Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen und die Rechtsgrundlage dafür,
- Interessen des Verantwortlichen, wenn er Daten aufgrund einer Interessenabwägung verarbeiten möchte und
- Empfänger der Daten, wenn der Verantwortliche sie weitergeben möchte.
Betroffenen ist darüber hinaus mitzuteilen:
- Dauer der Speicherung der Daten bzw. Kriterien für die Löschung,
- Hinweis auf das Recht auf Auskunft, Berichtigung, Löschung usw.,
- Hinweis, dass eine Einwilligung jederzeit grundlos widerrufen werden kann und
- Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde
Diese Informationspflichten müssen zum Zeitpunkt der Datenerhebung beim Betroffenen erfüllt werden, also vor einem Verarbeitungsvorgang.
Davon ist das Recht auf Auskunft abzugrenzen, welches einen konkreten Antrag erfordert. Es besagt, dass die betroffene Person das Recht hat, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende, personenbezogene Daten verarbeitet werden. Wenn ja, so hat sie ein Recht auf Auskunft über diese Daten und auf Informationen wie z.B. Verarbeitungszwecke, Empfänger der Daten, geplante Speicherdauer, Beschwerdemöglichkeit bei der Aufsichtsbehörde usw.
Wichtig ist, sich vor Auskunftserteilung darüber zu vergewissern, dass der Antragsteller die Person ist, die er vorgibt zu sein. Im Zweifelsfall kann es erforderlich sein, sich weitere Nachweise über die Identität des Antragstellers zuschicken zu lassen.
Die Abschrift der Daten kann schriftlich oder elektronisch übermittelt werden und die Auskunft ist kostenlos zu erteilen. Dabei muss sie den konkreten Inhalt (Maxi Musterfrau, Musterstr. 1, 12345 Musterstadt) und nicht nur die Kategorien (Name, Adresse) bezeichnen.
Darüber hinaus gibt es für betroffene Personen das Recht auf Löschung, auf Berichtigung, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit, auf Widerspruch etc.
Der Verantwortliche muss dann die begehrte Auskunft bzw. Informationen über die ergriffenen Maßnahmen unverzüglich, jedenfalls innerhalb eines Monats nach Antragseingang, zur Verfügung stellen. Eine Fristverlängerung ist möglich, wenn es die Komplexität und die Anzahl von Anträgen erforderlich machen.
Sanktionen
Verstöße gegen die Datenschutzgesetze können empfindliche Strafen nach sich ziehen. Durch die Datenschutz-Grundverordnung werden Geldbußen und Schadensersatz einschließlich Schmerzensgeld geregelt.
Nicht verunsichern lassen
Jede Aufsichtsbehörde stellt zwar sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Bei studentischen Projekten, kleinen Start-ups oder Vereinen, die sich bemühen und keine Ist-mir-egal-Haltung an den Tag legen, wird eine scharfe Sanktion eher nicht der Fall sein. Durch den Grundsatz der Verhältnismäßigkeit werden die Aufsichtsbehörden Verstöße zunächst rügen, auf Beseitigung der Missstände drängen und nach Ablauf von Fristen erst zu angemessenen Geldbußen greifen.
Abschließend ist zu sagen, dass dies auch ein Grund ist, das Datenschutzrecht ernst zu nehmen und im unternehmerischen Alltag zu verankern.
Und jetzt weiter zur Situation einer Datenschutzpanne: https://gumbrecht.org/wie-ist-bei-sicherheitsvorfaellen-zu-reagieren/