Praxisnahe Umsetzung seit 2013
Ihr Experte für Datenschutz und Informationssicherheit
Rechte der Betroffenen
Rechte der Betroffenen: Können Sie diese 4 Fragen beantworten? Hier finden Sie mehr Informationen.
Rechte der Betroffenen: der Überblick
Als Unternehmen müssen Sie zahlreiche Gesetze befolgen und Auflagen umsetzen — das ist auch im Datenschutz nicht anders. Die Betroffenenrechte bilden die Basis für die Geltendmachung der Informationellen Selbstbestimmung gegenüber privaten und öffentlichen Unternehmen.
Das Geheimnis der Umsetzung: Wer nimmt die Betroffenenrechte im Unternehmen wahr? Welche Dokumente sind wie zu erstellen? Wem trauen Sie diese Aufgabe zu? Einer Person oder jedem Fachbereich selbst? Macht das vielleicht die IT-Abteilung, die kennt sich doch sowieso mit Daten aus. Aber die IT-Abteilung soll den operativen Betrieb sicherstellen. Die anderen Kolleginnen und Kollegen müssten sich erst einarbeiten.
Was sind die Betroffenenrechte eigentlich genau und wie detailliert müssen diese im Unternehmen umgesetzt werden? Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen.
Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Betroffenenrechte: Das Fundament
Wenn die Betroffenenrechte nicht oder nicht vollständig umgesetzt werden: Haben Sie die dahinterliegenden Pflichten, wie zum Beispiel das Verzeichnis der Verarbeitungstätigkeiten oder die Informationspflichten Ihres Unternehmens bereits dokumentiert?
Beachten Sie mögliche Sanktionen!
Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?
Die Höhe variiert sicherlich von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2 % vom Vorjahresumsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen. So liegen übliche Geldbussen für nicht erfolgte, verspätete oder nicht vollständig erfolgte Auskunftsersuchen bei ca. 5.000 EUR. Meist sind fehlende Prozesse im Unternehmen die Ursache.
Betroffenenrechte: Wofür soll das gut sein?
Der Gesetzgeber hat vorgesehen, dass das jeweilige Unternehmen in der Lage sein, muss, die Rechte der Betroffenen innerhalb eines kurzen Zeitraumes erfüllen zu können. Eine intensive Auseinandersetzung aus einer Datenschutzsicht ist erforderlich, um die gesetzlichen Anforderungen erfüllen zu können.
Meist fallen dann schon bei der Ist-Aufnahme Abläufe auf, die in der Vergangenheit nicht korrekt gemacht worden sind. Manche Unternehmen haben ihre Datenflüsse oder alle Empfänger selbst nicht dokumentiert.
Denken Sie an die Nachweispflicht!
Betroffenenanfragen sind komplett zu dokumentieren und für drei Jahre aufzuheben. Nur dann können Sie nachweisen, dass Sie den gesamten Prozess fachgerecht umgesetzt werden. Eine zentrale Dokumentation inklusive den Konzepten, wie zum Beispiel Zugriffsmanagement und Löschung sind erforderlich.
Prüffragen für die Geschäftsleitung
Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Datenschutz alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.
- Ist ein Prozess eingerichtet, der sicherstellt, dass bei direkter oder indirekter Erhebung personenbezogener Daten den betroffenen Personen die gesetzlichen Pflichtinformationen pro Geschäftsprozess zur Verfügung gestellt werden?
- Ist ein Prozess für die Bearbeitung von Betroffenenrechten eingerichtet, der sicherstellt, dass die Umsetzung nur für rechtmäßig identifizierten Personen erfolgt?
- Sind die oben beschrieben Punkte für alle Rechte der Betroffenen, d. h. Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Mitteilungspflichten (Art. 19), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und automatisierte Entscheidungen einschl. Profiling (Art. 22) umgesetzt worden?
- Ist ein Prozess eingerichtet worden, um die Geltendmachung der Rechte der Betroffenen auch für 3 Jahre lang nachzuweisen?
Sie wollen in 4 Schritten die Rechte der Betroffenen umsetzen? Finden Sie hier weitere Informationen.
Sie wünschen eine direkte Kontaktaufnahme und haben ein paar Fragen, die ggf. schnell beantwortet werden können?
In 4 Schritten zu der Geltendmachung der Rechte der Betroffenen
Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie in Ihrem Unternehmen die Betroffenenrechte erstellen, aktuell halten und der Aufsichtsbehörde zukommen lassen.
Schritt 1: Holen Sie einen Spezialisten an Bord — schneller geht es nicht.
Zunächst holen Sie sich einen Spezialisten, der seit vielen Jahren nichts anderes macht. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen werden die erforderlichen Informationen abgefragt, um Betroffenenbegehren fachgerecht begegnen zu können.
Beachten Sie das Risiko für die betroffenen Personen!
Der Umfang der Betroffenbegehren ist abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Grundsätzlich gilt: Je höher der Schutzbedarf der Daten der betroffenen Personen, desto präziser und umfangreicher sind die Prozesse und die Dokumente zu erstellen.
Das Wissen für die Erstellung einer fachgerecht erstellten Dokumentation sollten Sie nicht durch interne Beschäftigte ohne Unterstützung aufbauen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.
Schritt 2. Festlegung des Meldeprozesses
Dann legen Sie fest, in welcher Form die Anfragen von Betroffenen in Ihrem Unternehmen entgegengenommen werden sollen. Grundsätzlich gilt: Sorgen Sie für eine zentrale Koordinierung, um die Anfragen über alle Fachbereiche steuern und konsolidieren zu können.
erstellung von Dokumentenvorlagen
Um zum Beispiel eine Auskunft von betroffenen Personen zeitnah erstellen und fachgerecht beantworten zu können, sollten Vorlagen für die unterschiedlichen Zielgruppen erstellt werden. Dies könnte erfolgen für Beschäftigte, Bewerber, Kunden und Geschäftspartner oder Interessenten.
Schritt 3: umsetzung
In der zentralen Koordination werden folgende Schritte umgesetzt:
- Prüfung der Zuständigkeit
- Identifikation der betroffenen Person
- Eingangsbestätigung gegenüber der betroffenen Person
- Prüfung des Sachverhalten
- Einbindung aller relevanten Abteilungen
- Konsolidierung der Aussagen der Fachabteilungen
- ggf. Umsetzung der Rechte der Betroffenen
- ggf. Negativmeldung
- bzw. Positivmeldung
- Dokumentation des Vorgangs
- Löschung der Dokumentation nach 3 Jahren
Schritt 4: kontinuierliche Verbesserung
Sie müssen jetzt noch einen Prozess einrichten, um nachzuweisen, dass der gesamte Prozess zur Handhabung der Rechte von Betroffenen auch aktuell bleibt.
Jede Veränderung der Verzeichnisse der Verarbeitungstätigkeiten kann auch Veränderungen in der Umsetzung der Rechte der Betroffenen ergeben. Ergänzen Sie in der Übersicht der Verarbeitungstätigkeiten ein Datum für die Wiedervorlage - auch für die Umsetzung der Rechte der betroffenen Personen.
Bleiben Sie aktuell
Eine regelmäßige Sichtung der Prozesse zur Handhabung der Rechte der Betroffenen ist erforderlich.
Dokumentieren Sie sämtliche Anweisungen in einem Datenschutz-Handbuch oder in einer Datenschutzrichtlinie und führen Sie ein jährliches Review durch.
Beantwortung der Rechte der Betroffenen — Wie komme ich überhaupt dahin?
Bevor Sie in der Lage sind, die Rechte der Betroffenen zu erfüllen, benötigen Sie ein Verzeichnis der Verarbeitungstätigkeiten. Wenn Sie nicht wissen, in welchen Fachbereichen verarbeitet wird, dann können Sie auch die gesetzlichen Anforderungen nicht erfüllen.
Je umfangreicher die Geschäftsprozesse und je höher der Schutzbedarf der Daten der Betroffenen sind, desto wichtiger wird es, die Risikobewertung der Verarbeitungen aus Sicht der Betroffenen zu erstellen. Das ist zwar sowieso eine erforderliche Notwendigkeit, aber nur, wenn man darlegen kann, wie man das Risiko für Betroffene bewertet hat, kann man sich auf die wirklich erforderlichen Punkte fokussieren.
Sie benötigen Unterstützung bei der Umsetzung der Rechte der Betroffenen? Melden Sie sich gerne.
Clever sein — Die Rechte der betroffenen Personen effizient und praxisnah gestalten
Ich unterstütze Sie bei der Erstellung Ihrer Dokumentation. Nutzen Sie meine mehrjährige Expertise, um zügig die Rechte der Betroffenen zu erfüllen.
Buchen Sie ein entsprechendes Modul oder meine punktuelle Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen.
Als Datenschutzbeauftragter ist die Unterstützung bei der Erfüllung der Betroffenenrechte fester Bestandteil.
- Praxisnahe Erstellung
- Fokus im norddeutschen Raum
- Zeitnah verfügbar, vor Ort und digital
Häufig gestellte Fragen zu den Rechten Betroffener
Jedes Unternehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, die Rechte der betroffenen Personen zu erfüllen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein Antworten auf häufige Fragen. Das Thema ist aber so umfangreich, dass nicht auf alle Fragen eingegangen werden kann.
Als „Betroffene“ oder „Betroffener“ werden natürliche, lebende Personen genannt, die direkt oder über eine Kennung identifizierbar werden. Wenn ein Verantwortlicher Daten der Betroffenen verarbeitet, muss er im Rahmen der Erhebung bzw. Nutzung der personenbezogenen Daten eine Information über die Art und den Umfang der Datenverarbeitung kostenlos und transparent in der jeweiligen Landessprache zur Verfügung stellen.
Jede betroffene Person hat ein Recht auf die informationelle Selbstbestimmung. Dafür hat die DSGVO folgende Rechte und Pflichten etabliert.
a) Recht auf Auskunft
b) Recht auf Berichtigung fehlerhafter oder unvollständiger Daten
c) Recht auf Löschung / Vergessenwerden
d) Recht auf Einschränkung der Verarbeitung
e) Recht auf Datenübertragbarkeit
f) Recht auf Widerspruch
g) Recht auf Widerruf einer Einwilligung
h) Recht auf eine nicht ausschließliche automatisierte Entscheidung im Einzelfall einschließlich Profiling
i) Recht auf Information bei einer Datenschutzverletzung, wenn hohe Risiken für die betroffenen Personen drohen
j) Recht auf Information über eine Datenverarbeitung
Jedes Recht bringt eine Fülle von Anforderungen mit sich, die ggf. im Einzelfall auf die betroffene Person und den jeweiligen Geschäftsprozess anzuwenden sind.
Ein Antrag auf Löschung ist ggf. nicht erforderlich,
- - wenn die Daten erforderlich sind, zum Beispiel um einen Vertrag durchzuführen
- - zur Ausübung des Rechts auf freie Meinungsäußerung
- - zur Erfüllung einer rechtlichen Verpflichtung oder
- - der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Unter Transparenz versteht die DSGVO nicht, dass jeder die ihm zustehende Information erst bekommt, wenn er danach fragt. Sie sieht schon im Vorfeld umfangreiche Informationen vor, die der Verantwortliche bereitstellen muss. Hierbei unterscheidet die Grundverordnung zwischen
der Erhebung unmittelbar bei der betroffenen Person, wie sie zum Beispiel am Messestand oder bei einem Gewinnspiel üblich ist, und
der Erhebung bei jemand anderem, etwa wenn es sich um gekaufte Adressbestände handelt.
Sie können darauf verzichten, die betroffene Person zu informieren, wenn diese bereits über alle Informationen verfügt, die die DSGVO nennt.
Erheben Sie die Daten nicht direkt bei der betroffenen Person, kann die Information ebenfalls entfallen,
wenn es unmöglich ist, sie zu informieren, etwa weil Sie keinerlei Kontaktdaten haben, oder
wenn die Information einen unverhältnismäßigen Aufwand darstellen würde.
Verzichtet der Verantwortliche auf die Information, ist es ratsam, die Gründe nachvollziehbar zu dokumentieren. Schließlich drohen bei einem Verstoß Bußgelder von bis zu 20.000.000 € oder 4 % des Jahresumsatzes.
Geht es um Daten, die der Kommunikation mit der betroffenen Person dienen, muss die Information spätestens zum Zeitpunkt der ersten Mitteilung erfolgen.
Wenn Auftragsverarbeiter ein Gesuch von Betroffenen erhalten, muss zunächst geprüft werden, wer der Verantwortliche der Datenverarbeitung ist. Wenn der Auftraggeber des Auftragsverarbeiters ist, muss das Gesuch unverzüglich an den Verantwortlichen übermittelt werden, damit dieser seinen gesetzlichen Pflichten nachkommen kann.
Der Verantwortliche muss sicherzustellen, dass personenbezogene Auskünfte nur von berechtigten Personen gestellt werden dürfen.
Der Verantwortliche vergewissert sich also der Identität des/der Anfragenden. Grundsätzlich gilt: Je sensibler die Daten, desto größer muss die Gewissheit der Identität sein.
Es gibt aber keine Standardantwort. Je nach Geschäftsprozess und Zielgruppe legt der Verantwortliche fest, welche Informationen die betroffene Person schriftlich zur Verfügung stellen muss, damit z. B. das Auskunftsersuchen beantworten zu können.
Mündliche Anfragen sollten nicht beantwortet werden. Lassen Sie sich den Antrag schriftlich oder in Textform von einer Ihnen bekannten Adresse (z. B. die bereits bekannte E‑Mail-Adresse) schicken.
Erteilen Sie die Auskunft schriftlich, in Textform oder, auf Verlangen der betroffenen Person, auch mündlich, sofern die Identität zweifelsfrei geprüft wurde.
Die Auskunft nach Art. 15 ist sehr umfangreich. Bei einem mündlichen Auskunftsverfahren ist jedoch die Nachweispflicht zu beachten.
Üblicherweise ist bei einer Auskunft in Schrift- oder Textform die Antwort und ggf. der Kopie der Daten in gleicher Art und Weise an die betroffene Person zu übermitteln. Angemessene Sicherheitsanforderungen müssen dabei gemessen am Schutzbedarf eingehalten werden.
Mit dem Auskunftsrecht erhält die betroffene Person die Grundlage, um weitere Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, aber auch das Widerspruchsrecht) geltend machen zu können.
Die betroffene Person erhält eine Auskunft darüber, ob der Verantwortliche überhaupt bezogene Daten der Person verarbeitet und wenn ja, welche. Hiervon umfasst sind alle Daten und Informationen mit Bezug zu Ihrer Person (Art. 4 Abs. 1 Nr. 1 DSGVO), die beim Verantwortlichen vorhanden sind. Das sind im Einzelnen:
- - die Verarbeitungszwecke
- - die Kategorien personenbezogener Daten, die verarbeitet werden
- - die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
- - falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- - das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
- - das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten - - das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
- - Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, eine Information über die geeigneten Garantien im Zusammenhang mit der Übermittlung unterrichtet zu werden.
Das Auskunftsrecht bezieht sich also nicht nur auf sogenannte Stammdaten wie etwa Name, Adresse und Geburtsdatum, sondern z. B. auch auf die mit Ihnen geführte Kommunikation und interne Vermerke des Verantwortlichen , soweit diese personenbezogene Daten von Ihnen enthalten.
Häufig ergibt sich Inhalt und Sinn von Informationen, die sich auf eine betroffene Person beziehen, auch erst aus dem Verarbeitungskontext (Beispiel: Korrespondenz zwischen Verantwortlichem und betroffener Person). In diesem Fall sind üblichweise die entsprechenden Dokumente vollständig (in Kopie) herauszugeben.
Die Inanspruchnahme des Auskunftsrechts ist grundsätzlich kostenlos.
Wird dem Betroffenen eine Kopie der verarbeiteten Daten übermittelt, gilt dies allerdings nur für die erste Kopie. Bei offenkundig unbegründeten oder exzessiven Anfragen kann entweder ein Entgelt verlangt oder die Erteilung einer Auskunft verweigert werden. Dabei ist ein strenger Maßstab anzulegen.
Das Recht aus Auskunft nach Art. 15 DSGVO wird nicht grenzenlos gewährt. Bei der Gewährung der Auskunft müssen u. a. die Rechte und Freiheiten anderer Personen beachtet werden.
Der Verantwortliche darf die Auskunft regelmäßig aber nicht vollständig verweigern, sondern muss beispielsweise die Namen dritter Personen in Dokumenten schwärzen, um ihre Identität nicht zu offenbaren.
Weitere Einschränkungen des Auskunftsrechts können sich aus anderen Gesetzen ergeben.
Auch bei personenbezogenen Daten, die nur noch aufgrund von Aufbewahrungspflichten gespeichert werden (z. B. nach dem Steuer- oder Handelsrecht) oder die der Datenschutzkontrolle oder Datensicherung (z. B. Protokoll- oder Archivdaten) dienen, besteht dann kein Auskunftsanspruch, wenn die Erteilung der Auskunft einen unverhältnismäßigen Aufwand erfordert und die Zweckbindung durch geeignete technische und organisatorische Maßnahmen sichergestellt wird.
Wird die Auskunft verweigert oder bestehen Zweifel haben, ob die Auskunft nicht fachgerecht erteilt worden ist, wenden Sie sich an die zuständige Datenschutzaufsichtsbehörde wenden. Fügen Sie Ihren Schriftwechsel mit dem Verantwortlichen in Kopie bei. Eine Liste der Aufsichtsbehörden finden Sie unter dem Link .
Sie können die Löschung Ihrer Daten gegenüber dem Verantwortlichen in Schrift- oder Textform (z. B. per Brief oder E‑Mail) verlangen. Der Verantwortliche muss unverzüglich, spätestens innerhalb eines Monats, reagieren.
Wenn Sie eine professionelle Unterstützung im Bereich der Betroffenenrechte suchen, sollten wir uns kennenlernen!
Finden Sie hier eine Auswahl von Dienstleistungen und Produkten.
Mit einen Klick auf die Schaltfläche erhalten Sie mehr Informationen
Datenschutzberater DSGVO
Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um. Ich biete stundenweise eine Datenschutzberatung von A‑Z.
Datenschutzbeauftragter DSGVO
Informationssicherheitsbeauftragter
Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik nach bewährten Methoden. Erfüllen Sie die Anforderungen des IT-Grundschutzes?
Datenschutzkonforme Website
Benötigen Sie regelmäßige Reports über alle Websites inkl. Unterseiten, auch in englischer Sprache? Hätten Sie gerne eine aktive Information, wenn sich die Rechtslage ändert und Sie aktiv werden müssen. Ich biete praxisnahe Maßnahmen zur Optimierung!
Videoüberwachung DSGVO
Datenschutz-Schulungen DSGVO
Praxisnahe Schulungen im Datenschutz und in der Informationssicherheit sind für Unternehmen unerlässlich. Ich biete Präsenz-Veranstaltungen, Webinare und E‑Learning-Kurse an. Schulen Sie Ihre Beschäftigten zielgruppengenau und passend auf Ihr Unternehmen.
Preise Datenschutz und Informationssicherheit
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Kontakt
- Direkte Betreuung
- Zeitnahe Umsetzung der Rechte der Betroffenen in Ihrem Unternehmen
- Direkt verfügbar
Buchen Sie ein kostenfreies Erstgespräch uns lassen Sie über Ihre Datenschutzprozesse sprechen.
