Für Unternehmen stellt die praktische Umsetzung und Erfüllung des Auskunftsrechts gem. Art. 15 DSGVO eine nicht unerhebliche Herausforderung dar. In diesem Artikel geben wir deshalb einen kurzen Überblick über die Ausgestaltung eines Prozesses zur Beantwortung von Auskunftsverlangen.
Der Inhalt im Überblick
Inhaltliche Anforderungen an das Auskunftsrecht
Die Datenschutz-Grundverordnung sieht, wie das aktuelle Datenschutzrecht in § 34 BDSG, ein Auskunftsrecht für betroffene Personen vor. Danach kann der Betroffene von einem Verantwortlichen Auskunft über dort gespeicherte personenbezogene Daten verlangen. Welche Informationen Verantwortliche den Betroffenen zukünftig in diesem Zusammenhang zur Verfügung stellen müssen und welche formalen Anforderungen gelten, haben wir bereits hier dargestellt. Im Folgenden soll näher auf den dafür erforderlichen Prozess eingegangen werden.
Etablierung eines strukturierten Prozesses
In größeren Unternehmensstrukturen kann eine zuverlässige und zeitnahe Beantwortung von Auskunftsverlangen nur gewährleistet werden, wenn dafür ein strukturierter Prozess etabliert wurde. Ein solcher Prozess umfasst neben konkreten Ablaufregelungen zur Umsetzung auch die Festlegung von Zuständigkeiten im Unternehmen. Außerdem ist eine entsprechende Schulung der mit dem Prozess betrauten Mitarbeiter erforderlich. Fehlt es an solchen Regelungen ist bereits die Beantwortung eines einzelnen Auskunftsverlangens eine kleine Herausforderung für ein Unternehmen. Eine größere Menge von Anfragen kann dann nicht bewältigt werden. Bei der Entwicklung eines Prozesses sollte insbesondere an die technische Maßnahmen gedacht werden, die für ein schnelles Bereitstellen der relevanten Daten erforderlich sind.
Verfahrensschritte nach Eingang eines Auskunftsverlangens
Geht beim Verantwortlichen ein Auskunftsverlangen eines Betroffenen ein, dann sollte in folgenden Schritten vorgegangen werden:
- Überprüfung ob es sich überhaupt um ein Auskunftsverlangen handelt
Da Auskunftsverlangen nicht immer eindeutig formuliert sind, ist immer eine genaue Prüfung von eingehenden Anfragen erforderlich. Auch eine vermeintliche Kundenbeschwerde kann im Einzelfall als Auskunftsverlangen auszulegen sein. Umgekehrt stellt nicht jedes Auskunftsersuchen ein Auskunftsverlangen im datenschutzrechtlichen Sinne dar - Erfassung der Anfrage in einem geeigneten Dokumentationssystem
Zur Erfassung eigenen sich beispielsweise sog. Ticketsysteme, wie sie vielfach in Callcentern oder Support-Abteilungen eingesetzt werden. Mit einem solchen System kann die Bearbeitung, insbesondere die Einhaltung der Bearbeitungsdauer und -qualität überwacht werden. Durch eine übersichtliche Darstellung und Filterfunktion ist zudem ein einfacherer Nachweis der Beantwortung eines Auskunftsverlangens möglich. - Versendung einer Eingangsbestätigung an den Antragssteller
Die Eingangsbestätigung signalisiert dem Antragssteller direkt, dass seine Anfrage ernst genommen wird und ein entsprechender Prozess zur Bearbeitung vorhanden ist. - Prüfung der Identität des Antragsstellers
Da die abgefragten Informationen zahlreiche personenbezogene Daten enthalten, muss sichergestellt sein, dass der Antragssteller auch wirklich der Betroffene ist, dem das Auskunftsrecht zusteht. Deshalb muss vor Beantwortung der Anfrage die Identität des Antragsstellers überprüft werden. - Prüfung, ob personenbezogene Daten der betroffenen Person verarbeitet wurden
Die Prüfung, ob und wenn ja welche personenbezogenen Daten von der betroffenen Person verarbeitet wurden kann mit erheblichem Aufwand für den Verantwortlichen verbunden sein. Eine schnelle Überprüfung ist nur möglich, wenn die Speicherorte von bestimmten Datensätzen klar festgelegt sind und die Sichtung der Informationen wenig Zeit beansprucht. Um die Prüfung einfacher zu machen, sollte zukünftig bereits bei der Einführung neuer Kundendatenbanken an die Erfüllung von Auskunftsverlagen gedacht werden. - Wenn keine Daten vorhanden sind: Negativmitteilung an den Betroffenen
Wenn der Verantwortliche keine personenbezogenen Daten des Betroffenen verarbeitet, muss er dies der betroffenen Person mitteilen. Er muss eine so genannte Negativauskunft erteilen, d.h. die Information geben, dass keine personenbezogenen Daten zu der betroffenen Person gespeichert sind. - Wenn Daten vorhanden sind: Zusammenstellung und unverzügliche Beantwortung
Die Informationen müssen dem Betroffenen unverzüglich (max. 2-3 Wochen) in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Der Verantwortliche stellt der betroffenen Person im Regelfall eine Kopie der personenbezogenen Daten zur Verfügung. Wird der Antrag elektronisch gestellt, sind die Informationen in einem gängigen elektronischen Format bereitzustellen.
Prozesse für andere Betroffenenrechte
Auch wenn das Auskunftsrecht sicher eines der wichtigsten Betroffenenrechte ist, müssen zur Erfüllung der anderen Betroffenenrechte (z.B. das Recht auf Berichtigung oder Löschung von personenbezogenen Daten) ebenfalls entsprechende Prozesse etabliert werden. Die durchzuführenden Schritte ähneln sich aber teilweise und es kann auf bereits bestehende Ablaufregelungen zurückgegriffen werden. Da viele Unternehmen in der Vergangenheit noch keine Erfahrungen mit der Erfüllung von Betroffenenrechten gemacht haben steht die Praxisprobe der entwickelten Prozesse noch bevor. Nach der ersten Praxiserfahrung sollten die Prozesse neu bewertet, geprüft und bei Schwächen ggf. korrigiert werden.
Vielen Dank für die Prozessbeschreibung! Folgende Fragen dazu:
– wie kann die Identitätsprüfung sinnvoll stattfinden? Kopie des Personalausweises ????
– Betrifft die Auskunftspflicht auch geschäftliche Dokumente, z. B. weil der Name in der Rechnungsadresse genannt ist? oder ist diesbzgl. eine allgemeine Auskunft ausreichend (oder muss gar nicht gegeben werden)? Wie verhält es sich mit Protokolldateien von Mitarbeiter-Aktivitäten? Und mit möglicherweise vorhandenen Backups der letzten 10 Jahre?
Es müssen die Maßnahmen zur Überprüfung getroffen werden, die nach der Art der Kontaktanfrage angemessen sind. Erfolgt die Anfrage beispielsweise auf dem Postweg, genügt regelmäßig der Vergleich zwischen der aus früherer Kommunikation bekannten Postanschrift und der für die Anfrage verwendeten Postanschrift. Bei Online-Diensten und Online-Kennungen kommt es darauf an, ob im Rahmen der erstmaligen Registrierung eine Identitätsüberprüfung (z.B. durch Ausweis oder durch Abgleich mit Zahlungsdaten) stattgefunden hat. Wurde bei der Registrierung ein solches Authentifizierungsverfahren durchgeführt, dann genügen dieselben Nachweise auch für die Identitätsüberprüfung im Rahmen des Auskunftsrechts.
Wenn geschäftliche Dokumente (wie z.B. Rechnungen) aufbewahrt werden, die personenbezogene Daten eines Ansprechpartners enthalten, dann muss auch hierüber informiert werden. Die Datenschutz-Grundverordnung differenziert hier nicht. Der Betroffene muss auch über die Speicherung seiner Daten in Backups informiert werden. Gibt es für die Aufbewahrung keine Rechtsgrundlage oder ist eine Aufbewahrungsfrist abgelaufen, so sollen ihm die Informationen aus dem Auskunftsanspruch ermöglichen andere Betroffenenrechte geltend zu machen.
Die Prozessbeschreibung hilft wirklich weiter. Allerdings habe ich eine Frage zum Ticketsystem. Um die Anfrage zu verarbeiten muss ich dort ja Name, Vorname und Emailadresse hinterlegen.
Sollte der Antragssteller um Löschung gebeten haben. Wann muss das Ticket anonymisiert werden? Eigentlich direkt nach Abschluss der Bearbeitung oder?
Um dem Löschverlangen wirklich gerecht zu werden, müssten die Daten anschließend anonymisiert werden. Allerdings lässt sich dann im Streitfall der Nachweis der Beantwortung des Löschverlangens nur schwer führen. Hier sollte es aber regelmäßig genügen, dass man über die anonymisierten Tickets nachweisen kann, dass man zu einem bestimmten Zeitpunkt ein Löschverlangen beantwortet hat.
Zum Thema Auskunftsersuchen habe ich noch eine etwas speziellere Frage:
Eine Mitarbeiterin kündigt fristlos. Aufgrund des Verdachts auf Verstöße gegen den Arbeitsvertrag (Wettbewerbsverbot) und gegen die Verschwiegenheitspflicht wird ein Detektiv beauftragt. Dadurch bestätigt sich der Verdacht. Die Mitarbeiterin wird nun bis zum Ende der regulären Kündigungsfrist weiter beschäftigt. Allerdings hat sie von der Arbeit des Detektivs erfahren und möchte darüber Auskunft erhalten. Welche Daten erhoben, zu welchem Zweck sie verarbeitet, an wen sie weitergegeben wurden/werden usw. muss natürlich nach Art 15 DSGVO beantwortet werden. Zusätzlich möchte sie aber wissen, wer den Detektiv beauftragt hat, wann der Auftrag erteilt wurde und ob der Vorgang durch den Datenschutzbeauftragten dokumentiert wurde.
Hat die Mitarbeiterin ein Recht auf Auskunft über diese „zusätzlichen“ Informationen?
Die von Ihnen erfragten Informationen dürften durch Einsicht in die Personalakte des Arbeitnehmers erlangt werden können. Ob und inwieweit darüber hinausgehende Auskunftsansprüche nach der DSGVO bestehen, wäre im Rahmen einer Einzelfallprüfung durch einen Rechtsanwalt zu klären.
Ich hätte auch noch eine spezielleres Thema:
Wie lange müssen die Anträge auf Auskunft aufbewahrt bzw. vorgehalten werden? Stellen die Auskunftsverlangen im unternehmerischen Bereich Geschäftspapiere mit entsprechenden Aufbewahrungspflichten dar?
Im Rahmen der Rechenschaftspflichten sollte der Verantwortlicher in der Lage sein, den Vorgang nachzuweisen.
Eine unbefristete Speicherung wäre – wie auch bei anderen Daten – unzulässig.
Regelmäßig empfiehlt sich eine Orientierung an den gesetzlichen Verjährungsvorschriften des Ordnungswidrigkeitsrechts, die über § 41 BDSG gelten.
Mich würde interessieren, wie man am Besten mit Auskunftsersuchen umgeht, die ein Unternehmen stellt. Dies kommt in meiner Praxis in letzter Zeit verstärkt vor. Ich tue mich schwer damit, diese pauschal abzulehnen, anderseits ist Betroffene zunächst einmal immer die natürliche Person. Insbesondere wenn sich aus der Firmierung auch keine Rückschluss auf eine natürliche Person ziehen lässt, sehe ich keinen wirklichen Grund, eine Beantwortung vorzunehmen. Wie sehe Sie dass? Erfahrungswerte?
Wenn aus den Schreiben nicht hervorgeht, dass es sich bei der anfragenden Person um eine natürliche Person handelt, oder ob es sich überhaupt um ein Auskunftsverlangen gem. Art. 15 DSGVO handelt, können wir Ihre verhaltene Reaktion gut verstehen.