Sprache:

10. September 2018 - erstellt von Dominik Görtz
Das neue Datenschutzrecht in der Unternehmenspraxis

Was tun, wenn der Kunde von seinen Betroffenenrechten Gebrauch macht?

Nach wie vor sind Unternehmen mit der Umsetzung der Datenschutzgrundverordnung (DSGVO) beschäftigt. Vielen Pflichten werden bereits eingehalten; so insbesondere die Informationspflicht des Artikel 13 DSGVO (siehe hierzu: https://www.goertz-kanzlei.de/das-neue-datenschutzrecht-wichtige-aenderungen-fuer-die-unternehmenspraxis-die-informationspflichten/).

Andere Anforderungen hingegen waren bislang eher theoretischer Natur, sodass ihnen keine Berücksichtigung geschenkt wurde. Der nachfolgende Beitrag beschäftigt sich deshalb mit der Frage: „Mein Kunde macht von seinen Betroffenenrechten Gebrauch. Was soll ich tun?“

Bei vielen unternehmerischen Tätigkeiten unterliegt der Kunde einer Vielzahl von automatisierten Verarbeitungsprozessen und ist damit eine „betroffene Person“ im Sinne der DSGVO. Die Rechte der Betroffenen finden sich in den Artikeln 15 bis 22 DSGVO und können formfrei geltend gemacht werden. Bevor Sie nach Eingang einer datenschutzrechtlichen Kundenanfrage „irgendwie“ tätig werden, sollten Sie folgende Aspekte klären:

Bin ich zuständig?

Zur Wahrnehmung der Betroffenenrechte ist grundsätzlich der für Datenverarbeitung Verantwortliche zuständig, d.h. derjenige, der Zweck und Mittel der Datenverarbeitung bestimmt.

Sind personenbezogene Daten des Kunden betroffen?

Personenbezogen sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. Name, Adresse, E-Mail-Adresse, Nutzerverhalten). Hiervon sind Anfragen wie z.B. produktbezogene Beschwerden zu trennen.

Identität des Betroffenen?

Wichtig ist, dass Sie stets die Identität des Anfragenden nachweisen können, denn die Datenauskunft darf nicht an unbefugten Dritten erfolgen. Bestehen Zweifel an der Identität des Antragstellers? Der Antragsteller hat sodann weitere Informationen zur Verfügung zu stellen, damit ein Identifikationsabgleich möglich ist.

Welches Recht möchte der Kunde geltend machen?

Ihren Kunden steht es frei, jeweils unabhängig voneinander eines der folgenden Betroffenenrechte geltend zu machen:

  • Recht auf Auskunft, Artikel 15 Absatz 1 DSGVO.
  • Recht auf Berichtigung unrichtiger personenbezogener Daten, Artikel 16 DSGVO.
  • Recht auf Löschung, Artikel 17 DSGVO.
  • Recht auf Einschränkung der Verarbeitung, Artikel 18 DSGVO.
  • Recht auf Datenübertragbarkeit, Artikel 20 DSGVO.
  • Recht auf Widerspruch gegen die Verarbeitung, Artikel 21 DSGVO, soweit die Datenverarbeitung auf eine Interessenabwägung gemäß Artikel 6 Abs. 1 S. 1 lit. f DSGVO gestützt wird.
  • Jederzeitiges Recht auf Widerspruch bzgl. der Verarbeitung personenbezogener Daten für Zwecke der Werbung und Datenanalyse, Artikel 21 Absatz 3 DSGVO.
  • Recht, grundsätzlich keiner automatisierten Entscheidungen – einschließlich Profiling – unterworfen zu sein, die ihr gegenüber rechtliche Wirkung entfaltet, Artikel 22 DSGVO.
  • Recht auf jederzeitigen Widerruf einer Einwilligung, Artikel 7 Abs. 3 DSGVO.

Im Einzelfall kann sich die Abgrenzung schwierig gestalten. Daneben ist denkbar, dass sich der Kunde über einen nicht datenschutzrechtlichen Vorgang beschweren möchte. Von besonderer Praxisrelevanz werden künftig wohl das Recht auf Auskunft sowie das Recht auf Löschung werden.

Form

Die gesamte Korrespondenz sollte mit dem Kunden in einer leicht zugänglichen Form und in einer klaren und einfachen Sprache erfolgen.

Die Informationen sind in schriftlicher oder elektronischer Form zu erteilen. Falls der Kunde als dies ausdrücklich verlangt, können Informationen auch mündlich erteilt werden (Artikel 12 Abs. 2 S. 3 DSGVO).

Frist

Die Informationen zu den Betroffenenrechten müssen unverzüglich erteilt werden, spätestens aber innerhalb eines Monats (Artikel 12 Abs. 3 DSGVO). In begründeten Ausnahmefällen wie z.B. hoher Auslastung kann diese Frist überschritten werden, worüber der Betroffene allerdings zu informieren ist.

Unbegründete oder exzessive Kundenanträge

Wie oft darf der Kunde von seinen Betroffenenrechten Gebrauch machen? Eine klare Regelung enthält die DSGVO nicht. Soweit durch einzelne Kunden ein angemessenes Maß an Anträgen überschritten wird, kann der verantwortliche Unternehmer sich wehren. Artikel 12 Abs. 5 DSGVO statuiert, dass offenkundig unbegründete oder exzessive Anträge zur Ablehnung oder Kostenerstattungspflicht führen können. Die Beweislast hierfür trägt aber der verantwortliche Unternehmer, sodass entsprechende Anträge nicht leichtfertig abgetan werden sollten.

Fazit

Die Wahrnehmung von Betroffenenrechten fordert von Unternehmen damit einen nicht zu unterschätzenden organisatorischen Aufwand. Die Entwicklung von Prozessen wie z.B. Löschkonzepte sowie die Sensibilisierung von Mitarbeitern ist unabdingbar. Schließlich drohen bei Verstößen gegen die Rechte der betroffenen Kunden hohe Geldbußen gemäß Art. 83 Abs. 5 lit. b DSGVO.


Karoline Nutz
-Rechtsanwältin –

Kategorie(n): Tagged With: