In unserem heutigen und letzten Beitrag aus unserer Reihe zum „DSGVO – information privacy standard“ widmen wir uns dem Kriterium P.8 – nämlich den Betroffenenrechten.
Kapitel P. 8 – Betroffenenrechte
Das Kapitel Betroffenenrechte ist in zehn weitere Unterkapitel untergliedert. Nachfolgend wollen wir Sie über die konkreten Anforderungen im Hinblick auf die Betroffenenrechte nach dem „DSGVO – information privacy standard“ aufklären. Insgesamt richten sich die Anforderungen an die Betroffenenrechte an interne Prozesse als auch an die Gestaltung der konkreten Applikation.
Kapitel P.8.1 – P.8.8
Zunächst betrachten wir die Betroffenenrechte der Kapitel P.8.1 – P.8.9. Sie betreffen das Recht auf Auskunft (P.8.1), das Recht auf Berichtigung (P.8.2), das Recht auf Löschung (P.8.3), das Recht auf Einschränkung (P.8.4), die Mitteilungspflicht (P.8.5), das Recht auf Datenübertragbarkeit (P.8.6), das Recht auf Widerspruch (P.8.7), das Recht auf Widerruf bei Einwilligung (P.8.8) sowie das Beschwerdemanagement (P.8.10). Die Anforderungen orientieren sich an den Bestimmungen der DSGVO nach dem Art. 7 Abs. 3 DSGVO sowie den Art. 15 ff. DSGVO.
Klärung der Identität
Stellen Betroffene eine Anfrage an den Verantwortlichen, muss dieser über Prozesse verfügen, um die Identität der anfragenden Person zweifelsfrei zu klären. Bestehen begründete Zweifel an der Identität, können unter Berücksichtigung des Art. 11 DSGVO zusätzliche Informationen zur Verifizierung angefordert werden.
Fristen
Nach Eingang der Anfrage muss der Verantwortliche sicherstellen, dass diese unverzüglich, spätestens jedoch innerhalb eines Monats, beantwortet wird. Ist dies nicht möglich, muss der Verantwortliche den Betroffenen die Gründe hierfür nennen und sie über das Recht zur Beschwerde hierüber informieren.
Form
Die Antwort muss in derselben Kommunikationsform wie die Anfrage erfolgen oder – sofern möglich – elektronisch. Dabei ist zu beachten, dass dies in transparenter, einfacher und verständlicher Sprache erfolgen muss. Insbesondere im Hinblick auf die Kommunikation mit Kindern muss dies gewährleistet werden.
Umsetzung
Die einzelnen Betroffenenrechte erfordern unterschiedliche Umsetzungen, die durch interne Prozesse, Richtlinien, Formulare oder Anweisungen geregelt sein müssen.
P.8.1 – Recht auf Auskunft
Die Auskunft muss folgende Informationen enthalten:
- Ob und welche Daten verarbeitet werden
- Zweck der Verarbeitung
- Kategorien der Daten
- Empfänger der Daten (inklusive mögliche Drittlandübermittlung)
- Speicherdauer
- Betroffenenrechte (Berichtigung, Löschung, usw.)
- Sofern Daten nicht selbst erhoben wurden, Herkunft der Daten
- Automatisierte Entscheidungen/Profiling
P.8.2 – Recht auf Berichtigung
Die Berichtigung muss
- rechtzeitig und an allen relevanten Speicherorten erfolgen,
- innerhalb der etablierten Prozesse, so gestaltet sein, dass sie die Ausübung des Rechts auf Berichtigung nicht behindern, und
- die Betroffenen nach der Berichtigung darüber informiert werden.
P.8.3 – Recht auf Löschung
Die Löschung erfolgt dabei auf den Systemen und im Rahmen etablierter Prozesse. Insofern muss die Löschung auch in Backups, Log-Dateien und temporären Dateien möglich sein. Kann die betroffene Person die Löschung nicht selbst durchführen, muss der Verantwortliche diese unverzüglich durchführen. Bei Weitergabe an Dritte müssen alle Empfänger über die Löschung informiert werden.
P.8.4 – Recht auf Einschränkung
Im Hinblick auf das Recht auf Einschränkung ist zunächst zu klären, ob die Anfrage berechtigt ist. Dies ist immer dann anzunehmen, wenn
- die Richtigkeit der Daten bestritten wird,
- die Verarbeitung unrechtmäßig ist, aber eine Löschung nicht gewünscht wird,
- die Daten nicht mehr benötigt werden, aber z. B. für etwaige Rechtsansprüche benötigt werden.
- ein Widerspruch gegen die Verarbeitung eingelegt wurde, dieser aber noch geprüft wird.
Die Verarbeitung muss technisch und organisatorisch eingeschränkt werden können.
P.8.5 – Mitteilungspflicht
Der Kunde als Verantwortlicher muss durch interne Prozesse sicherstellen, dass allen Empfängern, denen personenbezogene Daten offengelegt wurden, über Berichtigungen, Löschungen oder Einschränkungen der Verarbeitung informiert werden. Zudem muss der Verantwortliche auf Verlangen der betroffenen Person diese über die Empfänger informieren, außer dies ist unmöglich bzw. mit unverhältnismäßigem Aufwand verbunden.
P.8.6 – Recht auf Datenübertragbarkeit
Betroffene müssen ihre personenbezogenen Daten in einem maschinenlesbaren, strukturierten und gängigen Format erhalten und an einen anderen Verantwortlichen übermitteln können – sofern die Verarbeitung auf Grundlage einer Einwilligung oder eines Vertrags und automatisiert – also nicht bei Aufgaben im öffentlichen Interesse oder hoheitlicher Gewalt – erfolgt.
Der Verantwortliche muss dies technisch ermöglichen können.
P.8.7 – Recht auf Widerspruch
Der Widerspruch muss technisch-organisatorisch möglich und leicht zugänglich sein. Zudem muss der Verantwortliche sicherstellen, dass die Verarbeitung nach Eingang des zulässigen Widerspruchs beendet wird, außer es liegen zwingende schutzwürdige Gründe vor oder die Verarbeitung ist zur Rechtsverteidigung notwendig.
P.8.8 – Recht auf Widerruf der Einwilligung
Nach Eingang des Widerrufs der Einwilligung darf keine Verarbeitung mehr stattfinden, außer es besteht eine andere Rechtsgrundlage zur Verarbeitung. Der Widerruf muss genauso einfach möglich sein wie die ursprüngliche Erteilung der Einwilligung.
P.8.9 – Automatisierte Entscheidungen/Profiling
Der Verantwortliche oder Auftragsverarbeiter muss sicherstellen, dass keine ausschließlich automatisierten Entscheidungen über betroffene Personen getroffen werden. Davon ausgenommen sind automatisierte Entscheidungen hinsichtlich der Vertragserfüllung, bei gesetzlicher Verpflichtung oder mit ausdrücklicher Einwilligung der betroffenen Person.
Profiling auf Basis sensibler Daten ist nur mit gesetzlicher Grundlage und geeigneten Schutzmaßnahmen zulässig. Verantwortlichkeiten, Fristen und Meldewege sind durch den Verantwortlichen innerhalb seiner Prozesse klar zu definieren.
Auftragsverarbeiter
Handelt es sich bei dem Kunden um einen Auftragsverarbeiter, muss er den Verantwortlichen aktiv bei der Beantwortung von Betroffenenanfragen unterstützen sowie alle relevanten Informationen bereitstellen und eine Kontaktperson seinerseits benennen.
Ausnahmen
Ausnahmen gelten bei gesetzlich zulässigen Einschränkungen gemäß Art. 23 DSGVO, sowohl für Verantwortliche als auch für Auftragsverarbeiter.
Kapitel 8.10 – Beschwerdemanagement
Der Kunde als Verantwortlicher muss innerhalb seines Datenschutz-Managementsystems (DSMS) ein Beschwerdemanagement betreiben. Dies umfasst Beschwerden zu Datenschutzverstößen, Zertifikatsnutzung oder Konformitätsaussagen. Diese müssen systematisch erfasst, analysiert und bearbeitet werden. Zudem ist sicherzustellen, dass relevante Beschwerden und/oder Datenschutzverstöße der Zertifizierungsstelle gemeldet werden. Letztlich muss der Beschwerdeprozess klar dokumentiert sein. Insbesondere die Verantwortlichkeiten, Fristen, Erreichbarkeit und Meldewege müssen eindeutig definiert sein.
Fazit
Das Kapitel P. 8 – Betroffenenrechte des „DSGVO – information privacy standards“ verdeutlicht, wie wichtig die Wahrung der Betroffenenrechte ist. Kunden müssen durch Prozesse dafür sorgen, dass Anfragen effektiv, transparent und fristgerecht bearbeitet werden können. Dies kann insbesondere durch strukturierte Prozesse, Richtlinien, klare Verantwortlichkeiten sowie technische Umsetzbarkeit umgesetzt werden. Auch das Beschwerdemanagement ist ein wesentlicher Bestandteil eines funktionierenden Datenschutz-Managementsystems.