Angenommen, ein Kunde hat als Betroffener in Bezug auf seine personenbezogenen Daten gegen ein Unternehmen ein Anspruch auf Auskunft und Löschung (§ 34 BDSG f.). Vor welchen Hürden steht das verantwortliche Unternehmen bei der faktischen Umsetzung der Erfüllung dieser Ansprüche?
Der Inhalt im Überblick
Welche Fragen sind vor der Umsetzung zu klären?
Zunächst sollte sich das Unternehmen Klarheit darüber verschaffen, was überhaupt personenbezogene Daten sind. Nur dann kann das Unternehmen wissen, worüber es Auskunft geben und was gelöscht werden muss.
In einem nächsten Schritt hat das Unternehmen zu klären, welche personenbezogenen Kundendaten es verarbeitet, zu welchem Zweck die Verarbeitung erfolgt und ob gegebenenfalls Daten an Dritte übermittelt werden.
Was ist bei der Umsetzung zu beachten?
Eine in vielen IT-Landschaften oft unterschätzte Problematik ist es herauszufinden, in welchen Systemen Kundendaten gespeichert sind. Denn nur wenn das Unternehmen dies weiß, ist es in der Lage, den Löschungsanspruch des Betroffenen zu erfüllen.
Beispiel Newsletter
Gerade in heterogenen bzw. historisch gewachsenen lokalen Netzen werden Daten nicht selten redundant vorgehalten. Dies kann fatale Konsequenzen zum Nachteil des Unternehmens haben: Hat etwa ein Betroffener der weiteren Zusendung eines Newsletters widersprochen, aber nicht sichergestellt, dass seine E-Mail-Adresse systemweit gesperrt oder gelöscht wurde, kann es passieren, dass der Kunde trotz Widerspruch weiterhin einen Newsletter erhält und die Zusendung abmahnt.
Das verantwortliche Unternehmen muss deshalb sicherstellen, dass eine Ermittlung/Abfrage der gespeicherten Kundendaten bei sämtliche Abteilungen erfolgt, bei denen Kundendate verarbeitet werden.
Need-to-know-Prinzip
In diesem Zusammenhang ist das Need-to-know-Prinzip zu beachten: Es dürfen nur diejenigen Mitarbeiter Zugriff auf Kundendaten haben, die den Datenzugriff zur Erfüllung ihrer Aufgabe benötigen. Die unternehmensinterne Auseinandersetzung mit dem Auskunfts- bzw. Löschungsanspruch sollte daher zu einer Schärfung des Berechtigungskonzepts führen.
Im Ergebnis sollte die Einrichtung und Implementierung eines spezifischen standardisierten Verfahrens stehen, in dem insbesondere Verantwortliche und Abläufe genau festgelegt werden.
In welcher Form sollte Auskunft und Löschung erfolgen?
Paragraf 34 Abs. 6 BDSG knüpft die Form der Auskunftserteilung an die Textform. Um Missbrauch zu verhindern, ist eine Beauskunftung durch postalisch versendeten Ausdruck oder Fax vorzunehmen (s. BeckOK DatenSR/Schmidt-Wudy BDSG § 34 Rn. 98-99).
Datenschutzkonforme Löschung der Kundendaten
Das verantwortliche Unternehmen muss sicherstellen, dass im Falle eines Löschungsanspruchs sämtliche Kundendaten unwiederbringlich vernichtet werden. Daher muss sich das Unternehmen Gedanken über ein Löschkonzept und seine technische Umsetzung machen.
Rolle des Datenschutzbeauftragten
Schließlich muss im Unternehmen eine Entscheidung getroffen werden, wer dem Betroffenen gegenüber die Auskunft erteilt bzw. die Löschung der Daten mitteilt. Hier macht es Sinn, dass der Datenschutzbeauftragte die Kommunikation mit dem Betroffenen führt.
Last but not least ist es empfehlenswert, den Umgang mit Begehren des Betroffenen auf Auskunft und Löschung in einer betrieblichen Richtlinie festzulegen. Bei der Erstellung und Umsetzung der Richtlinie hilft Ihnen Ihr Datenschutzbeauftragter.