Sowohl die DSGVO als auch die ISO 27701 sehen vor, dass ein Unternehmen sich um die Rechte der betroffenen Personen zu kümmern hat. Dieser Beitrag beschäftigt sich mit dem Thema “Bearbeitung von Betroffenenrechten“ und prüft, ob diese in den – ggf. bereits bestehenden – Prozess „Beschwerdemanagement“ integriert werden kann. Dieser Artikel ist Teil unserer Reihe zur „Datenschutz-Zertifizierung nach ISO 27701“.
Der Inhalt im Überblick
Welche Vorgaben hat die DSGVO im Bereich Betroffenenrechte?
Die Betroffenen der Datenverarbeitung haben nach der DSGVO folgende Rechte:
- Informationsrecht
- Auskunfts- und Widerspruchsrecht
- Recht auf Berichtigung, Löschung und Einschränkung
- Recht auf Datenübertragbarkeit
Zweck der Regelung in der DSGVO ist es, für mehr Transparenz zu sorgen. Die Betroffenen sollen wissen, wer welche Daten zu welchem Zweck über sie erhebt und sie sollen in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. -nutzung zu prüfen.
Eine ausführliche Darstellung der Betroffenenrechte können Sie unserem Artikel Neues EU-Datenschutzgesetz: Das sind Ihre Rechte entnehmen. Des Weiteren haben wir bereits umfangreich über die Informationspflichten sowie über die Erteilung der Auskunft berichtet.
Wichtig ist, dass der Verantwortliche für sich definiert, wie zu reagieren ist, falls ein Betroffener (Kunde, Lieferant, Interessent oder Mitarbeiter) von seinen Rechten Gebrauch macht. Dabei sollten folgende Fragen im Rahmen der Prozessbeschreibung beantwortet werden:
- An wen und in welcher Frist soll die E-Mail, der Brief oder das Telefonat des Betroffenen weitergeleitet werden und wer ist für die Bearbeitung des Anliegens zuständig? Was ist insbesondere zu beachten (Stichwort: „Vertraulichkeit“)?
- Wer sind die Ansprechpartner für verschiedene Datenbanken, Systeme und Tools, um die Löschung oder Änderung von Betroffenendaten überall im Unternehmen gewährleisten zu können, falls der Anspruch begründet ist.
- Wer prüft, ob ein Anspruch begründet ist?
- Wer kontaktiert den Betroffenen in welcher Frist?
Welche Vorgaben hat die ISO 27701 im Bereich Betroffenenrechte?
Die erste Erwähnung von dem Begriff „betroffene Personen“ findet sich in der Norm ISO 27701 in Kapitel 5.2.2 (Verstehen der Erfordernisse und Erwartungen der interessierten Parteien). Dort ist festgelegt, dass die Organisation (im Folgenden Unternehmen) die interessierten Parteien, die für ihr ISMS relevant sind, benennen muss. Zusätzlich zu den Anforderungen, die sich aus Kapitel 4.2 der ISO 27001 ergeben, sind zu den interessierten Parteien auch diejenigen Parteien zu zählen, die Interessen oder Verantwortlichkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten haben, einschließlich der betroffenen Personen. Das heißt, neben den „Klassikern“, wie Kunden, Lieferanten, Mitarbeitern und diverser Behörden (u.a. auch Datenschutzaufsichtsbehörde) sollten explizit die von der Datenverarbeitung Betroffenen genannt werden.
Das Unternehmen muss sich allerdings nicht nur Gedanken machen, welche interessierte Parteien es gibt, sondern auch, was diese erwarten. Bei den betroffenen Personen ergeben sich die Erwartungen hinsichtlich ihrer Rechte im Bereich Datenschutz aus der DSGVO und dem BDSG (Geltungsbereich vorausgesetzt).
Anforderungen an PII-Beauftragte
Des Weiteren werden in Kapitel 7.3 der ISO 27701 die Verpflichtungen gegenüber betroffenen Personen aufgelistet, die ein PII-Beauftragter (Verantwortlicher) zu erfüllen hat.
Die Zielsetzung dieses Kapitels ist es, sicherzustellen, dass betroffenen Personen angemessene Informationen über die Verarbeitung ihrer personenbezogenen Daten erhalten. Ein weiteres Ziel der Maßnahmen ist es, dass der PII-Beauftragte alle anderen anwendbaren Verpflichtungen gegenüber betroffenen Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten erfüllt.
Unterkapitel 7.3 der ISO 27701 listet die Maßnahmen zur Erreichung der Ziele auf, enthält zusätzlich aber noch Anleitungen zur Umsetzung dieser Maßnahmen. Diese Anleitungen sind recht umfassend und durchaus verständlich beschrieben.
Die in der Kapitel 7.3 erläuterten Maßnahmen werden im normativen Anhang A der ISO 27701 aufgegriffen, wodurch deren Umsetzung verpflichtend wird, um Normenkonformität zu erreichen.
So hat das Unternehmen sicherzustellen, dass sie den rechtlichen, behördlichen und geschäftlichen Verpflichtungen gegenüber den betroffenen Personen nachkommen kann. Es muss die Informationen, die den betroffenen Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten zur Verfügung zu stellen sind und den Zeitpunkt einer solchen Bereitstellung festlegen und dokumentieren. Dabei decken sich die Arten der Informationen, die den betroffenen Personen zur Verfügung zu stellen sind, stark mit dem Inhalt des Art. 13 DSGVO.
Die weiteren Verpflichtungen des Unternehmens, die es im Zusammenhang mit den Betroffenenrechten zu erfüllen hat, werden in ISO 27701, Kapitel 7.3 ausführlich dargestellt. Beispielsweise hat das Unternehmen ein Mechanismus zur Änderung oder zum Widerruf von Einwilligungen bereitzustellen. Auch müssen Richtlinien, Verfahren und/oder Mechanismen umgesetzt werden, damit das Unternehmen seinen Verpflichtungen gegenüber den betroffenen Personen nachkommen kann, soweit es um Zugriff, Korrektur, Löschung oder Bereitstellung einer Kopie der personenbezogenen Daten geht. Weitere Maßnahmen sind in der Norm im Kapitel 7.3 zu finden.
Anforderungen an PII-Verarbeiter
In Kapitel 8.3 der ISO 27701 werden die Verpflichtungen gegenüber betroffenen Personen aufgelistet, die ein PII-Verarbeiter (Auftragsverarbeiter) zu erfüllen hat. Die Zielsetzung dieser Anforderung ist die gleiche wie bei dem PII-Beauftragten. Sowohl im Kapitel 8.3 (hier mit einer Anleitung zur Umsetzung) als auch im Anhang B der Norm wird eine einzige Maßnahme aufgeführt, die zu diesem Ziel führen soll: Der PII-Verarbeiter (Auftragsverarbeiter) hat dem PII-Beauftragten (Verantwortlichen) die Mittel zur Verfügung stellen, um seinen Verpflichtungen in Bezug auf betroffene Personen nachzukommen.
Kann der Prozess Betroffenenrechte in ein bestehendes Managementsystem integriert werden?
Je nach Unternehmen kann es sinnvoll sein, dass Thema „Behandlung von Betroffenenrechten“ in das Beschwerdemanagement zu integrieren.
Ein Beschwerdemanagement umfasst die Planung, Durchführung und Kontrolle aller Maßnahmen, die ein Unternehmen im Zusammenhang mit Kundenbeschwerden ergreift. Das Hauptziel des Beschwerdemanagements ist es, aus einem unzufriedenen Kunden einen zufriedenen Kunden zu machen.
In der Regel basiert ein Beschwerdemanagement auf zwei Hauptprozessen:
- der Prozess zur Beschwerdebehandlung, mit dem das Anliegen des Kunden bearbeitet und gelöst wird;
- der Prozess der Leistungsverbesserung, mit dem nach den eigentlichen Ursachen des Problems gesucht wird und diese beseitigt werden.
Die Bearbeitung von Betroffenenanfragen könnte mit dem Prozess zur Beschwerdebehandlung verschmolzen werden. Zwar stellen die Betroffenenanfragen in der Regel keine Beschwerden dar, jedoch ist eine gewisse Nähe vorhanden, insbesondere wenn es um B2C (Business-to-Consumer) Geschäfte geht: Beim Unternehmen kommt eine Anfrage des Kunden an, welche bearbeitet und beantwortet werden muss, und zwar in einer Art und Weise, dass der Kunde zufrieden ist.
Hier ist aber Obacht geboten: Es darf nicht außer Acht gelassen werden, dass die betroffenen Personen nicht nur Kunden, sondern auch Dienstleister oder Mitarbeiter sein können.
Erscheint eine Integration von Prozessen nicht zielführend, ist es ratsam, lediglich den Prozess Betroffenenrechte alleinstehend für das PIMS im Unternehmen zu etablieren.
In unserem nächsten Blogbeitrag der Reihe „Datenschutz-Zertifizierung nach ISO 27701“ beschäftigen wir uns mit dem Thema „Verarbeitungsverzeichnisse“.
Leider ist eines sicher: Ob Aufsichtsbehörden und Auditoren gleicher Meinung sind bzgl. der Erbringung einer ausreichenden Prozessqualität steht in den Sternen.