Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Rechte der Betroffenen

Rechte der Betroffenen: Können Sie diese 4 Fragen beantworten? Hier finden Sie mehr Informationen.

Rechte der Betroffenen: der Überblick

Als Unternehmen müssen Sie zahlreiche Gesetze befolgen und Auflagen umsetzen – das ist auch im Datenschutz nicht anders. Die Betroffenenrechte bilden die Basis für die Geltendmachung der Informationellen Selbstbestimmung gegenüber privaten und öffentlichen Unternehmen.

Das Geheimnis der Umsetzung: Wer nimmt die Betroffenenrechte im Unternehmen wahr? Welche Dokumente sind wie zu erstellen? Wem trauen Sie diese Aufgabe zu? Einer Person oder jedem Fachbereich selbst? Macht das vielleicht die IT-Abteilung, die kennt sich doch sowieso mit Daten aus. Aber die IT-Abteilung soll den operativen Betrieb sicherstellen. Die anderen Kolleginnen und Kollegen müssten sich erst einarbeiten

Was sind die Betroffenenrechte eigentlich genau und wie detailliert müssen diese im Unternehmen umgesetzt werden? Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Betroffenenrechte: Das Fundament

Wenn die Betroffenenrechte nicht oder nicht vollständig umgesetzt werden: Haben Sie die dahinterliegenden Pflichten, wie zum Beispiel das Verzeichnis der Verarbeitungs­tätigkeiten oder die Informations­pflichten Ihres Unternehmens bereits dokumentiert?

Beachten Sie mögliche Sanktionen!

Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?

Die Höhe variiert sicherlich von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2 % vom Vorjahres­umsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen. So liegen übliche Geldbussen für nicht erfolgte, verspätete oder nicht vollständig erfolgte Auskunftsersuchen bei ca. 5.000 EUR. Meist sind fehlende Prozesse im Unternehmen die Ursache.

Betroffenenrechte: Wofür soll das gut sein?

Der Gesetzgeber hat vorgesehen, dass das jeweilige Unternehmen in der Lage sein, muss, die Rechte der Betroffenen innerhalb eines kurzen Zeitraumes erfüllen zu können. Eine intensive Auseinander­setzung aus einer Datenschutz­sicht ist erforderlich, um die gesetzlichen Anforderungen erfüllen zu können.

Meist fallen dann schon bei der Ist-Aufnahme Abläufe auf, die in der Vergangenheit nicht korrekt gemacht worden sind. Manche Unternehmen haben ihre Datenflüsse oder alle Empfänger selbst nicht dokumentiert.

Denken Sie an die Nachweispflicht!

Betroffenenanfragen sind komplett zu dokumentieren und für drei Jahre aufzuheben. Nur dann können Sie nachweisen, dass Sie den gesamten Prozess fachgerecht umgesetzt werden. Eine zentrale Dokumentation inklusive den Konzepten, wie zum Beispiel Zugriffsmanagement und Löschung sind erforderlich.

Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Datenschutz alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.

compliance-im-datenschutz

Sie wollen in 4 Schritten die Rechte der Betroffenen umsetzen? Finden Sie hier weitere Informationen.

Sie wünschen eine direkte Kontaktaufnahme und haben ein paar Fragen, die ggf. schnell beantwortet werden können?

In 4 Schritten zu der Geltendmachung der Rechte der Betroffenen

Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie in Ihrem Unternehmen die Betroffenenrechte erstellen, aktuell halten und der Aufsichtsbehörde zukommen lassen.

Schritt 1: Holen Sie einen Spezialisten an Bord - schneller geht es nicht.

Zunächst holen Sie sich einen Spezialisten, der seit vielen Jahren nichts anderes macht. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen werden die erforderlichen Informationen abgefragt, um Betroffenenbegehren fachgerecht begegnen zu können.

Beachten Sie das Risiko für die betroffenen Personen!

Der Umfang der Betroffenbegehren ist abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Grundsätzlich gilt: Je höher der Schutzbedarf der Daten der betroffenen Personen, desto präziser und umfangreicher sind die Prozesse und die Dokumente zu erstellen.

Das Wissen für die Erstellung einer fachgerecht erstellten Dokumentation sollten Sie nicht durch interne Beschäftigte ohne Unterstützung aufbauen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.

Schritt 2. Festlegung des Meldeprozesses

Dann legen Sie fest, in welcher Form die Anfragen von Betroffenen in Ihrem Unternehmen entgegengenommen werden sollen. Grundsätzlich gilt: Sorgen Sie für eine zentrale Koordinierung, um die Anfragen über alle Fachbereiche steuern und konsolidieren zu können.

erstellung von Dokumentenvorlagen

Um zum Beispiel eine Auskunft von betroffenen Personen zeitnah erstellen und fachgerecht beantworten zu können, sollten Vorlagen für die unterschiedlichen Zielgruppen erstellt werden. Dies könnte erfolgen für Beschäftigte, Bewerber, Kunden und Geschäftspartner oder Interessenten.

Schritt 3: Setzen Sie das Begehren um.

In der zentralen Koordination werden folgende Schritte umgesetzt:

Schritt 4: kontinuierliche Verbesserung

Sie müssen jetzt noch einen Prozess einrichten, um nachzuweisen, dass der gesamte Prozess zur Handhabung der Rechte von Betroffenen auch aktuell bleibt.

Jede Veränderung der Verzeichnisse der Verarbeitungstätigkeiten kann auch Veränderungen in der Umsetzung der Rechte der Betroffenen ergeben. Ergänzen Sie in der Übersicht der Verarbeitungstätigkeiten ein Datum für die Wiedervorlage – auch für die Umsetzung der Rechte der betroffenen Personen.

Bleiben Sie aktuell 

Eine regelmäßige Sichtung der Prozesse zur Handhabung der Rechte der Betroffenen ist erforderlich. 

Dokumentieren Sie sämtliche Anweisungen in einem Daten­schutz-Hand­buch oder in einer Datenschutzrichtlinie und führen Sie ein jährliches Review durch.

Beantwortung der Rechte der Betroffenen - Wie komme ich überhaupt dahin?

Bevor Sie in der Lage sind, die Rechte der Betroffenen zu erfüllen, benötigen Sie ein Verzeichnis der Verarbeitungstätigkeiten. Wenn Sie nicht wissen, in welchen Fachbereichen verarbeitet wird, dann können Sie auch die gesetzlichen Anforderungen nicht erfüllen.

Je umfangreicher die Geschäfts­prozesse und je höher der Schutzbedarf der Daten der Betroffenen sind, desto wichtiger wird es, die Risiko­bewertung der Verarbeit­ungen aus Sicht der Betroffenen zu erstellen. Das ist zwar sowieso eine erforderliche Notwendig­keit, aber nur, wenn man darlegen kann, wie man das Risiko für Betroffene bewertet hat, kann man sich auf die wirklich erforder­lichen Punkte fokussieren.

Weitere Vorgehensweise beim Datenschutz

Sie benötigen Unterstützung bei der Umsetzung der Rechte der Betroffenen? Melden Sie sich gerne.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Clever sein - Die Rechte der betroffenen Personen effizient und praxisnah gestalten

Ich unterstütze Sie bei der Erstellung Ihrer Dokumentation. Nutzen Sie meine mehrjährige Expertise, um zügig die Rechte der Betroffenen zu erfüllen.

Buchen Sie ein entsprechendes Modul oder meine punktuelle Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen. 

Als Datenschutzbeauftragter ist die Unterstützung bei der Erfüllung der Betroffenenrechte fester Bestandteil.

Leistungen

Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienstleistungen, die ich Unternehmen auch in Buchholz in der Nordheide seit vielen Jahren zur Verfügung stelle. 

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

10 Fragen zu den Rechten der Betroffenen

Jedes Unter­nehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, die Rechte der betroffenen Personen zu erfüllen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein Antworten auf häufige Fragen. Das Thema ist aber so umfangreich, dass nicht auf alle Fragen eingegangen werden kann.

Als „Betroffene“ oder „Betroffener“ werden natürliche, lebende Personen genannt, die direkt oder über eine Kennung identifizierbar werden. Wenn ein Verantwortlicher Daten der Betroffenen verarbeitet, muss er im Rahmen der Erhebung bzw. Nutzung der personenbezogenen Daten eine Information über die Art und den Umfang der Datenverarbeitung kostenlos und transparent in der jeweiligen Landessprache zur Verfügung stellen.

Jede betroffene Person hat ein Recht auf die informationelle Selbstbestimmung. Dafür hat die DSGVO folgende Rechte und Pflichten etabliert.

a) Recht auf Auskunft

b) Recht auf Berichtigung fehlerhafter oder unvollständiger Daten

c) Recht auf Löschung / Vergessenwerden

d) Recht auf Einschränkung der Verarbeitung 

e) Recht auf Datenübertragbarkeit

f) Recht auf Widerspruch

g) Recht auf Widerruf einer Einwilligung

h) Recht auf eine nicht ausschließliche automatisierte Entscheidung im Einzelfall einschließlich Profiling

i) Recht auf Information bei einer Datenschutzverletzung, wenn hohe Risiken für die betroffenen Personen drohen

j) Recht auf Information über eine Datenverarbeitung

Jedes Recht bringt eine Fülle von Anforderungen mit sich, die ggf. im Einzelfall auf die betroffene Person und den jeweiligen Geschäftsprozess anzuwenden sind.

Ein Antrag auf Löschung ist ggf. nicht erforderlich,

  • - wenn die Daten erforderlich sind, zum Beispiel um einen Vertrag durchzuführen
  • - zur Ausübung des Rechts auf freie Meinungsäußerung
  • - zur Erfüllung einer rechtlichen Verpflichtung oder
  • - der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Unter Transparenz versteht die DSGVO nicht, dass jeder die ihm zustehende Information erst bekommt, wenn er danach fragt. Sie sieht schon im Vorfeld umfangreiche Informationen vor, die der Verantwortliche bereitstellen muss. Hierbei unterscheidet die Grundverordnung zwischen

der Erhebung unmittelbar bei der betroffenen Person, wie sie zum Beispiel am Messestand oder bei einem Gewinnspiel üblich ist, und
der Erhebung bei jemand anderem, etwa wenn es sich um gekaufte Adressbestände handelt.
Sie können darauf verzichten, die betroffene Person zu informieren, wenn diese bereits über alle Informationen verfügt, die die DSGVO nennt.

Erheben Sie die Daten nicht direkt bei der betroffenen Person, kann die Information ebenfalls entfallen,

wenn es unmöglich ist, sie zu informieren, etwa weil Sie keinerlei Kontaktdaten haben, oder
wenn die Information einen unverhältnismäßigen Aufwand darstellen würde.
Verzichtet der Verantwortliche auf die Information, ist es ratsam, die Gründe nachvollziehbar zu dokumentieren. Schließlich drohen bei einem Verstoß Bußgelder von bis zu 20.000.000 € oder 4 % des Jahresumsatzes.

Geht es um Daten, die der Kommunikation mit der betroffenen Person dienen, muss die Information spätestens zum Zeitpunkt der ersten Mitteilung erfolgen.

Wenn Auftragsverarbeiter ein Gesuch von Betroffenen erhalten, muss zunächst geprüft werden, wer der Verantwortliche der Datenverarbeitung ist. Wenn der Auftraggeber des Auftragsverarbeiters ist, muss das Gesuch unverzüglich an den Verantwortlichen übermittelt werden, damit dieser seinen gesetzlichen Pflichten nachkommen kann.

Der Verantwortliche muss sicherzustellen, dass personenbezogene Auskünfte nur von berechtigten Personen gestellt werden dürfen.

Der Verantwortliche vergewissert sich also der Identität des/der Anfragenden. Grundsätzlich gilt: Je sensibler die Daten, desto größer muss die Gewissheit der Identität sein.

Es gibt aber keine Standardantwort. Je nach Geschäftsprozess und Zielgruppe legt der Verantwortliche fest, welche Informationen die betroffene Person schriftlich zur Verfügung stellen muss, damit z. B. das Auskunftsersuchen beantworten zu können.

Mündliche Anfragen sollten nicht beantwortet werden. Lassen Sie sich den Antrag schriftlich oder in Textform von einer Ihnen bekannten Adresse (z. B. die bereits bekannte E-Mail-Adresse) schicken.

Erteilen Sie die Auskunft schriftlich, in Textform oder, auf Verlangen der betroffenen Person, auch mündlich, sofern die Identität zweifelsfrei geprüft wurde. 

Die Auskunft nach Art. 15 ist sehr umfangreich. Bei einem mündlichen Auskunftsverfahren ist jedoch die Nachweispflicht zu beachten.

Üblicherweise ist bei einer Auskunft in Schrift- oder Textform die Antwort und ggf. der Kopie der Daten in gleicher Art und Weise an die betroffene Person zu übermitteln. Angemessene Sicherheitsanforderungen müssen dabei gemessen am Schutzbedarf eingehalten werden.

Mit dem Auskunftsrecht erhält die betroffene Person die Grundlage, um weitere Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, aber auch das Widerspruchsrecht) geltend machen zu können.

Die betroffene Person erhält eine Auskunft darüber, ob der Verantwortliche überhaupt bezogene Daten der Person verarbeitet und wenn ja, welche. Hiervon umfasst sind alle Daten und Informationen mit Bezug zu Ihrer Person (Art. 4 Abs. 1 Nr. 1 DSGVO), die beim Verantwortlichen vorhanden sind. Das sind im Einzelnen:

  • - die Verarbeitungszwecke
  • - die Kategorien personenbezogener Daten, die verarbeitet werden
  • - die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • - falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • - das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
  • - das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
  • - das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
  • - Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, eine Information über die geeigneten Garantien im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Das Auskunftsrecht bezieht sich also nicht nur auf sogenannte Stammdaten wie etwa Name, Adresse und Geburtsdatum, sondern z. B. auch auf die mit Ihnen geführte Kommunikation und interne Vermerke des Verantwortlichen , soweit diese personenbezogene Daten von Ihnen enthalten.

Häufig ergibt sich Inhalt und Sinn von Informationen, die sich auf eine betroffene Person beziehen, auch erst aus dem Verarbeitungskontext (Beispiel: Korrespondenz zwischen Verantwortlichem und betroffener Person). In diesem Fall sind üblichweise die entsprechenden Dokumente vollständig (in Kopie) herauszugeben.

Die Inanspruchnahme des Auskunftsrechts ist grundsätzlich kostenlos.

Wird dem Betroffenen eine Kopie der verarbeiteten Daten übermittelt, gilt dies allerdings nur für die erste Kopie. Bei offenkundig unbegründeten oder exzessiven Anfragen kann entweder ein Entgelt verlangt oder die Erteilung einer Auskunft verweigert werden. Dabei ist ein strenger Maßstab anzulegen.

Das Recht aus Auskunft nach Art. 15 DSGVO wird nicht grenzenlos gewährt. Bei der Gewährung der Auskunft müssen u. a. die Rechte und Freiheiten anderer Personen beachtet werden. 

Der Verantwortliche darf die Auskunft regelmäßig aber nicht vollständig verweigern, sondern muss beispielsweise die Namen dritter Personen in Dokumenten schwärzen, um ihre Identität nicht zu offenbaren.

Weitere Einschränkungen des Auskunftsrechts können sich aus anderen Gesetzen ergeben.

Auch bei personenbezogenen Daten, die nur noch aufgrund von Aufbewahrungspflichten gespeichert werden (z. B. nach dem Steuer- oder Handelsrecht) oder die der Datenschutzkontrolle oder Datensicherung (z. B. Protokoll- oder Archivdaten) dienen, besteht dann kein Auskunftsanspruch, wenn die Erteilung der Auskunft einen unverhältnismäßigen Aufwand erfordert und die Zweckbindung durch geeignete technische und organisatorische Maßnahmen sichergestellt wird.

 

Wird die Auskunft verweigert oder bestehen Zweifel haben, ob die Auskunft nicht fachgerecht erteilt worden ist, wenden Sie sich an die zuständige Datenschutzaufsichtsbehörde wenden. Fügen Sie Ihren Schriftwechsel mit dem Verantwortlichen in Kopie bei. Eine Liste der Aufsichtsbehörden finden Sie unter dem Link .

Sie können die Löschung Ihrer Daten gegenüber dem Verantwortlichen in Schrift- oder Textform (z. B. per Brief oder E-Mail) verlangen. Der Verantwortliche muss unverzüglich, spätestens innerhalb eines Monats, reagieren.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über die Rechte der Betroffenen sprechen.

kontakt-niehoff-systemberatung

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.