Die Betroffenenanfrage
- Unternehmen müssen Betroffenenanfragen nach DSGVO innerhalb eines Monats beantworten.
- Identität des Antragstellers muss vor Auskunft zweifelsfrei geprüft werden.
- Auskunft kann schriftlich, elektronisch oder mündlich erteilt werden.
- Proliance 360 unterstützt bei der Verwaltung und Dokumentation von Betroffenenanfragen.
- Missachtung der Auskunftspflicht kann zu Verwarnungen und Bußgeldern führen.
- Item A
- Item B
- Item C
Die Datenschutzgrundverordnung (DSGVO) verlangt eine aktive Informationspflicht von Unternehmen, die personenbezogene Daten verarbeiten. Das heißt, dass Unternehmen betroffene Personen aktiv darüber informieren müssen, sobald sie deren personenbezogene Daten verarbeiten und wie diese Datenverarbeitung stattfindet. Dies ist auch der Fall, wenn die personenbezogenen Daten freiwillig zur Verfügung gestellt werden, etwa bei einem Bewerbungsverfahren.
Wollen Betroffene wissen, welche Daten genau Unternehmen von ihnen besitzen, können Sie dies mit einer Betroffenenanfrage erfahren – dieses Auskunftsrecht räumt Ihnen die DSGVO ein: Laut Artikel 15 DSGVO haben betroffene Personen ein Recht auf Auskunft. Sie können mit einer Betroffenenanfrage von Unternehmen jederzeit eine detaillierte Übersicht aller ihrer in diesem Unternehmen verarbeiteten personenbezogenen Daten anfordern. Zudem kann eine Einschränkung der Verarbeitung der Daten verlangt werden. Verarbeitet ein Unternehmen, das eine solche Anfrage erhält, keine Daten der anfragenden Person, muss dies mit einer Negativauskunft bestätigt werden. Ein Unternehmen hat hierfür maximal einen Kalendermonat ab Eingang der Anfrage Zeit.
Betroffenenanfragen nach der Datenschutzgrundverordnung sind von Unternehmen ernst zu nehmen, denn bei Missachtung der Auskunftspflicht kann dies Verwarnungen und Bußgelder nach sich ziehen. Wie Sie eingehende Anfragen von Betroffenen managen, lesen Sie nachfolgend.
Was gilt es bei Betroffenenanfragen zu beachten?
Unternehmen müssen bei Betroffenenanfragen einiges berücksichtigen, um den Anforderungen der DSGVO gerecht zu werden:
- Beantwortungsfrist: Eine Betroffenenanfrage muss innerhalb eines Monats beantwortet werden. Start für diesen Monat ist der Zeitpunkt, an dem die Betroffenenanfrage im Unternehmen eingeht.
- Identitätsprüfung: Bevor Auskunft erteilt wird, müssen Sie die Identität des Antragstellers zweifelsfrei feststellen (nach Art. 12 Abs. 1 S. 3 DSGVO).
- Beantwortungsart: Eine Auskunftserteilung (die Beantwortung der Betroffenenanfrage) kann schriftlich, elektronisch oder, sofern ausdrücklich gewünscht, mündlich erfolgen. Wenn Sie die Anfrage elektronisch beantworten, achten Sie darauf, dass die Daten verschlüsselt übertragen werden.
- Schwärzung: Wenn gegenständliche Daten in der Beantwortung einer Betroffenenanfrage Rückschlüsse auf andere Personen zulassen, müssen diese Stellen geschwärzt bzw. anderweitig unkenntlich gemacht werden.
- Sprache: Der Grundsatz der Transparenz verlangt eine Antwort auf ein Auskunftsersuchen in klarer und verständlicher Sprache.
- Dokumentation: Nach der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) muss die Auskunft intern dokumentiert werden.
Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware Proliance 360
Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.
- Basis ab 175€ / Monat
- Medium ab 275€ / Monat
- Premium ab 475€ / Monat
Betroffenenanfragen managen mit Software: Einfaches Management des Betroffenenrechts mit Proliance 360
Je nach Unternehmensgröße kann das Managen von Betroffenenanfragen schnell unübersichtlich werden. Ein korrekter und systematischer Umgang mit Betroffenenanfragen ist aber unerlässlich. Unsere lösungsorientierte Datenschutzsoftware Proliance 360 hilft Ihnen übersichtlich und einfach, diese Anfragen zu managen und gewährleistet dabei die Einhaltung des Datenschutzes sowie der Betroffenenrechte. Die Betroffenenrechte, von denen im Zuge einer Betroffenenanfrage am häufigsten Gebrauch gemacht wird, sind:
- Das Recht auf Auskunft über die entsprechenden personenbezogenen Daten (nach Artikel 15 DSGVO), die beispielsweise im Rahmen einer Kundenbeziehung oder des Beschäftigungsverhältnisses verarbeitet werden.
- Das Recht auf Löschung / das Recht auf Vergessenwerden (nach Artikel 17 DSGVO), wenn der oder die Betroffene zum Beispiel keinen Newsletter mehr erhalten möchte.
Da es manchmal nicht auf den ersten Blick ersichtlich ist, ob es sich bei einer Anfrage tatsächlich um eine Betroffenenanfrage handelt, hilft Proliance 360 mit einem Leitfaden, die Anfrage zu identifizieren. So werden Sie Schritt für Schritt von der Identifizierung des Betroffenen bis hin zur konkreten Auskunft durch das korrekte Vorgehen bei einer Betroffenenanfrage geführt und laufen nicht Gefahr, etwas zu vergessen.
Unsere automatisierte Datenschutz-Lösung macht das Datenschutzmanagement in Ihrem Betrieb besonders einfach. Denn neben Mailvorlagen und Mustern bietet Proliance 360 einen weiteren entscheidenden Vorteil: Der ganze Prozess wird, ebenso wie die Tatsache, dass eine Anfrage datenschutzkonform beantwortet wurde, in unserer Software dokumentiert. Beides ist im Falle der Rückfrage durch Aufsichtsbehörden relevant und muss jederzeit vorzeig- und nachweisbar sein. Durch das digitale Management mit Proliance 360 haben Sie bzw. Ihr Datenschutzbeauftragter alle Informationen jederzeit griffbereit an einem Ort zur Verfügung. So hilft Ihnen unsere Datenschutzsoftware, Anfragen von Betroffenen übersichtlich und verständlich zu managen.
FAQ: Wir beantworten Ihre Fragen zum Thema Betroffenenanfragen
Wer kann eine Betroffenenanfrage stellen?
Alle Personengruppen, von denen ein Unternehmen personenbezogene Daten verarbeitet, gehören zu den sog. Betroffenen. Diese können eine Betroffenenanfrage stellen. Wenn Sie sich nicht sicher sind, ob ein Unternehmen personenbezogene Daten von Ihnen verarbeitet, können Sie ebenfalls eine Betroffenenanfrage stellen, um das herauszufinden. Verarbeitet das Unternehmen keine personenbezogenen Daten von Ihnen, erhalten Sie sodann eine sog. Negativauskunft.
Muss mein Unternehmen Personen informieren, deren Daten wir verarbeiten?
Auf jeden Fall, denn die DSGVO verlangt von Unternehmen eine aktive Informationspflicht, sobald diese personenbezogene Daten verarbeiten. Betroffene Personen, deren personenbezogene Daten verarbeitet werden, müssen also aktiv über diese Tatsache informiert werden. Dies ist im Übrigen auch der Fall, wenn die personenbezogenen Daten freiwillig zur Verfügung gestellt werden (wie bei einem Bewerbungsverfahren).
Können Aufsichtsbehörden einen Nachweis über die Beantwortung von Betroffenenanfragen verlangen?
Ja, die Beantwortung von Betroffenenanfragen gehört durch die DSGVO zu den Pflichten von Unternehmen. Diese müssen die Beantwortung solcher Anfragen dokumentieren. Wenn Unternehmen es überdies versäumen, auf solche Anfragen von Betroffenen zu reagieren, dann können Betroffene Beschwerde bei der zuständigen Aufsichtsbehörde einreichen.
Wie beantwortet man Betroffenenanfragen?
I.d.R. finden Betroffenenanfragen schriftlich statt und sollten auch auf diesem Weg – ggf. nach vorheriger Identitätsfeststellung – beantwortet werden, damit Unternehmen einen Beweis für die Bearbeitung der Anfrage haben. Grundsätzlich könnte eine Auskunftserteilung aber auch, sofern explizit gewünscht, mündlich erfolgen. Eine Betroffenenanfrage kann dann mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde und falls dies von der betroffenen Person verlangt wurde (Art. 13 Abs. 1 S. 3 DSGVO). Da es aber bei einer mündlichen Auskunft keine Dokumentation von der Beantwortung der Anfrage gibt (Dokumentation bzw. Rechenschaftspflicht gem. Art. 5 II DSGVO), sollte von dieser Form der Auskunftserteilung eher Abstand genommen werden.
Wie schnell muss man Betroffenenanfragen beantworten?
Betroffenenanfragen müssen innerhalb eines Kalendermonats beantwortet werden (Maximalfrist). Diese Frist kann nur in begründeten Fällen verlängert werden. Die Zeit läuft ab dem Tag, an dem die diese eingetroffen ist. Lässt ein Unternehmen diese Frist verstreichen, dann können sich Personen, die keine Antwort auf Ihre Betroffenenanfrage erhalten haben, an den jeweiligen Landesdatenschutzbeauftragten wenden.
Was passiert, wenn Betroffenenanfragen nicht beantwortet werden?
Wenn ein Unternehmen nicht auf eine solche Anfrage reagiert, dann verstößt es damit gegen geltendes Recht. Für das Unternehmen bedeutet das, dass es mit einer Verwarnung oder einem Bußgeld rechnen muss. Betroffene Personen, deren Anfrage nicht beantwortet wurde, können sich an den Datenschutzbeauftragten ihres jeweiligen Bundeslandes wenden.
Unsere Leistungen im Überblick
Ihr persönlicher Datenschutzbeauftragter von datenschutzexperte.de wird Sie, unterstützt von unserer intelligenten Datenschutzsoftware Proliance 360, auf dem Weg zur Datenschutzkonformität begleiten. Dabei durchlaufen Sie folgende Schritte:
- Erfassen
- Datenschutzbestandsaufnahme
- Datenschutzaudit
- Analysieren
- Risikoanalyse
- Datenschutzmaßnahmenplan
- Datenschutz Compliance
- Dokumentieren
- Datenschutzerklärung Website
- Datenschutzdokumentation
- Technisch-Organisatorische Maßnahmen
- Erstellung Verarbeitungsverzeichnis
- Verbessern
- Datenschutz-Folgenabschätzung
- Mitarbeiterschulung
- Management Betroffenenanfragen
- Auftragsverarbeitungsvertrag
- Datenschutzverletzung
- Expertenunterstützung
- Externer Datenschutzbeauftragter
- Datenschutzberatung
- Datenschutzmanagement
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.