Umgang mit Anfragen von Betroffenen

"Betroffene Personen" haben umfangreiche Rechte bezüglich der Verarbeitung ihrer personenbezogenen Daten. U.a. können diese sich bei einer Aufsichtsbehörde über Sie beschweren. In diesem Artikel geht es nur um die Rechte Ihnen gegenüber: Betroffene haben gegenüber dem Verantwortlichen ein Recht auf Löschung, Berichtigung, Auskunft und Einschränkung (der Verarbeitung), sowie auf Widerspruch und Widerruf.

Sie haben eine Betroffenenanfrage erhalten? Jetzt gilt es, diese inhaltlich zu prüfen und unverzüglich zu beantworten. Die Nichtbeantwortung kann ernste Konsequenzen wie hohe Bußgelder, eine behördliche Datenschutzprüfung oder Schadensersatzklagen nach sich ziehen.

Möglicherweise ist die Betroffenenanfrage auch ganz anders motiviert. Sie sollten versuchen dies herauszufinden.

Schritt 1: Bearbeitung von Betroffenenanfragen

Unabhängig von einer konkreten Anfrage sollten Sie überlegen, auf welchen Wegen Anfragen gestellt werden könnten und festlegen, wer sich dann darum kümmert: Sollen diese zentral bearbeitet oder direkt an eine Fachabteilung weitergeleitet werden?

Erhalten Sie nur selten Betroffenenanfragen empfiehlt sich die Bearbeitung der Anfragen durch Ihre:n DSK/DSB. Erhalten Sie hingegen regelmäßig Betroffenenanfragen, erscheint ein Verwaltungssystem für Betroffenenanfragen oder die direkte Bearbeitung durch die jeweilige Fachabteilung sinnvoller.

Wenn die Bearbeitung der Anfrage voraussichtlich mehr als drei Werktage dauert oder durch eine andere Abteilung erfolgt, sollten sie der betroffenen Person zunächst den Eingang ihrer Anfrage bestätigen.

Beispiel

Wir haben ihre Anfrage (Anliegen des Betroffenen; z.B. zur Löschung ihrer personenbezogenen Daten) erhalten. Unsere Fachabteilung ... wird diese schnellstmöglich bearbeiten. Diese informiert Sie über alle weiteren Schritte. Sollten Sie weitere Fragen haben, wenden Sie sich gerne an ...

Prüfen Sie die Anfrage anschließend inhaltlich.

Schritt 2: Welche Rechte haben Betroffene?

Zunächst gilt es festzustellen, welches Recht die betroffene Person durch ihre Anfrage geltend machen will. Hilfreich sind dabei vor allem Schlagworte, die auf verschiedene Rechte hinweisen. Im folgenden Abschnitt finden Sie beispielhaft einige der Standardformulierungen und was diese im Kontext einer Betroffenenanfrage bedeuten können. Beachten Sie, dass durch eine Anfrage ggf. mehrere Rechte geltend gemacht werden.

Widerspruch (einer Verarbeitung ohne Einwilligung)

Widerspricht eine betroffene Person der Verarbeitung, dürfen Sie diese Daten nicht weiter verarbeiten. Eine weitere Verarbeitung ist möglicherweise dennoch zulässig, wenn schutzwürdige Gründe (z.B. Geltendmachung von Rechtsansprüchen) für die Verarbeitung vorliegen. Dem könnten Interessen des Betroffen an deren Nichtverarbeitung entgegenstehen. Sie müssen begründen, welcher Position Sie die höhere Gewichtung einräumen.

Beispiele für Schlagworte

  • ... möchte nicht ...
  • möchte keine Werbung mehr erhalten
  • will nicht mehr angerufen werden
  • widerspreche der Verarbeitung zu (Zweck)

Gegen bestimmte Verarbeitungen, wie der Direktwerbung kann die betroffene Person explizit Widerspruch einlegen. In diesem Fall dürfen Sie die Daten nicht mehr zu diesem Zweck verarbeiten und somit die betroffene Person z.B. nicht weiter bewerben.

Widerruf (einer Einwilligung)

Widerruft die betroffene Person ihre Einwilligung, dürfen Sie die auf dieser Rechtsgrundlage vorgenommene Verarbeitung nicht fortsetzen. Der Widerruf wirkt nicht rückwirkend, sondern bezieht sich ausschließlich auf die zukünftige Verarbeitung.

Beispiele für Schlagworte

  • will ... nicht mehr, dass ...
  • bin nicht mehr mit ... einverstanden
  • nehme meine Einwilligung zurück
  • willige nicht weiterhin (in ...) ein

Zwar muss die Widerrufserklärung hinreichend bestimmt sein, bei Unklarheiten trifft Sie allerdings die Pflicht, diese durch Nachfragen zu klären, sodass Sie in jedem Falle auch bei unzureichend bestimmten Erklärungen tätig werden müssen. Die Widerrufserklärung muss im Gegensatz zum Widerspruch nicht gesondert begründet sein.

Der Betroffene kann durch eine ausdrückliche oder konkludente Erklärung sein Widerrufsrecht geltend machen und seine zuvor erteilte Einwilliung widerrufen. Mit dem Widerruf entfällt der Erlaubnistatbestand der Einwilligung, sodass die Datenverarbeitung nicht weiter rechtmäßig ist, sofern nicht ein anderer gesetzlich normierter Erlaubnistatbestand einschlägig ist.

Löschung

Sie müssen Daten löschen, wenn der Zweck für deren Verarbeitung nicht mehr besteht. Weiterhin kann eine betroffene Person die Löschung ihrer Daten aus bestimmten Gründen verlangen. Trifft ein in der DSGVO genannter Grund zu, sind Sie zur unverzüglichen Löschung der Daten verpflichtet. Dem Löschersuchen kann z.B. eine Aufbewahrungspflicht entgegenstehen.

Beispiele für Schlagworte

  • verlange ... die Löschung ...
  • möchte, dass meine ... aus ... gelöscht/entfernt werden
  • möchte nicht mehr ... gespeichert sein
  • möchte nicht, dass Sie meine Daten weiterhin speichern

Können Daten aus technischen Gründen nicht physisch gelöscht werden, kommt hilfsweise (=bis zur Einrichtung einer Möglichkeit zur tatsächlichen Löschung) eine Sperrung, Teillöschung, Pseudonymisierung oder Anonymisierung in Betracht.

Einschränkung der Verarbeitung

Der Betroffenen kann unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung seiner personenbezogenen Daten verlangen. Sie dürfen die betroffenen Daten zwar weiterhin speichern, die Verarbeitung unterliegt allerdings einer verschärften Zweckbindung und darf nur den gesetzlichen Zwecken dienen. Dies kommt auch in Betracht, wenn der Betroffene sicherstellen möchte, dass Daten noch nicht gelöscht werden (z.B. weil er sie als Beweis nutzen möchte).

Beispiele für Schlagworte

  • verlange ... dass nur ...
  • möchte, dass meine Daten gesperrt werden
  • stellen Sie sicher, dass diese Daten nicht gelöscht werden

Auskunft

Die betroffene Person kann (umfangreiche) Auskunft darüber verlangen, ob und welche Daten zur eigenen Person verarbeitet werden. Sofern Sie Daten der Person verarbeiten, müssen Sie die Datenkategorien, Zwecke, Rechtsgrundlagen, Empfänger, etc. aller diesbezüglichen Verarbeitung nennen. Auf Verlangen müssen Sie auch eine Kopie dieser Daten bereitstellen, ggfs. in einer bestimmten Art.

Beispiele für Schlagworte

  • Haben Sie von mir ... gespeichert?
  • Welche Daten haben Sie von mir?
  • Wozu nutzen Sie meine Daten?
  • Brauchen Sie meine Daten (noch)?
  • Zu welchen Zwecken verarbeiten Sie meine Daten?
  • Möchte gerne wissen ...

Berichtigung

Der Betroffene hat das Recht, die Berichtigung oder Vervollständigung seiner von Ihnen verarbeiteten personenbezogenen Daten zu verlangen. Unrichtige Daten sind auch ohne Antrag zu richtigzustellen.

Beispiele für Schlagworte

  • Meine Adresse ist falsch
  • Können sie meine Daten um ... ergänzen?
  • Bitte korrigieren sie...

Unklare Formulierungen

Manchmal ist die vom Betroffene gewählte Formulierung nicht eindeutig. Sie sollten nur das direkt umsetzen, was offenkundig gewollt ist. Den Rest sollten Sie beim Betroffenen erfragen. Damit können sie in Summe dessen Anliegen bestmöglich entsprechen und laufen nicht Gefahr, Daten z.B. fälschlicherweise vorschnell zu löschen.

Beispiele für Schlagworte

  • Nicht mehr ansprechen
  • Nichts mehr von Ihnen Wissen

Schritt 3: Identifizierung der anfragenden Person

Personenbezogene Daten müssen vor unbefugter Einsichtnahme und Löschung geschützt werden. Daher müssen Sie als Verantwortlicher die anfragende Person zweifelsfrei identifizieren. Nur so wissen sie, ob Sie einer Betroffenenanfrage tatsächlich entsprechen dürfen.

Es obliegt Ihnen als Verantwortlicher, ein geeignetes Mittel zu wählen, um die anfragende Person zu identifizieren. Geeignet ist jedes Mittel, dass zur Identifikation der anfragenden Person im Stande ist.

Da die Identifizierung sowohl für den Verantwortlichen als auch für die Betroffenen lästig ist, darf und sollte das einfachste Verfahren gewählt werden und noch ein hinreichendes Schutzniveau bietet.

→ Dazu tritt der Grundsatz der Verhältnismäßigkeit ein. Es gilt, ein Mittel zu wählen, dass im Verhältnis zur Sensibilität der betroffenen Daten angemessene Sicherheitsgarantien bietet und damit ein adäquates Schutzniveau gewährleistet. Dabei sollten sowohl Art und Umfang der betroffenen Daten als auch das Risiko für die Grundrechte und Grundfreiheiten der betroffenen Person sowie die Gefahr, die dem Betroffenen bei einer Datenweitergabe an unbefugte Dritte droht, in Ihre Überlegungen mit einfließen und mit den Sicherheitsgarantien der unterschiedlichen Identifizierungsmethoden in Verhältnis gesetzt werden.

Beispiel A

Kunde K fragt bei Verlag V bezüglich einer Rechnung der im letzten Monat fälligen Abonnementgebühren per E-Mail an, und bittet V, ihm diese Rechnung zukommen zu lassen. Die E-Mail Adresse des K ist dem V bekannt, da K über selbige auch sein Abonnement abschloss. Dennoch verlangt V von K, dieser solle sich unzweifelhaft über ein Video identifizieren, erst dann könne man ihm die Rechnung zukommen lassen. Dass verweigert K, da ihm die Maßnhame unangemessen und übertrieben erscheint. V rückt von seiner Forderung allerdings nicht ab, denn nur so könne er K auch wirklich zweifelsfrei identifizieren. Wie hätte sich V hier verhalten sollen?

Besagte Rechnung erscheint nach der allgemeinen Verkehrsanschauung als eher unsensibles Datum. Die Gefahr für den Betroffenen bei fälschlicher Weitergabe an einen Unbefugten Dritte ist gering. Die E-Mail Adresse das K ist dem Verlag bekannt. Weiterhin wurde genau mit dieser E-Mail Adresse das Abonnement ursprünglich abgeschlossen, sodass davon auszugehen ist, dass die Identität der Absender übereinstimmt.

Hier überwiegen die Sicherheitsgarantien der angwendeten Identifizierungmethode (Identifizierung per Video) der Sensibilität des Datums deutlich, sodass eine Identifizierung per Video unverhältnismäßig ist. Bei einem solch unsensiblen Datum und einer verhältnismäßig geringen Gefahr für den Betroffenen erscheint die Identifizierung per Mail ausreichend.

Beispiel B

Kunde K wendet sich mit einer Auskunftsanfrage an Psychologin P, die vor einiger Zeit ein psychologisches Gutachten von K erstellt hat. K verlangt Auskunft über die von ihm durch P verarbeiteten personenbezogenen Daten, insbesondere in Zusammenhang mit dem Gutachten. Die E-Mail Adresse des K ist der P nicht bekannt und lässt sich nur durch die Signatur "Mit Freundlichen Grüßen - K" dem K zuordnen. P ist weiterhin auch keine andere E-Mail Adresse des K bekannt. P weiß um das Auskunftsrecht des K und sendet daraufhin das Gutachten sowieo Informationen über alle weiteren verarbeiteten personenbezogenen Daten an besagte E-Mail Adresse. Als K der P wenig später im Supermarkt über den Weg läuft und diese ihn auf sein Ersuchen anspricht ist er schockiert, da die E-Mail nicht von ihm stammte. Wie hätte sich P hier verhalten müssen?

P beantwortet die Anfrage hinreichend, unterlässt es allerdings, die anfragende Person zweifelsfrei zu identifizieren. Die von P gespeicherten Daten, v.a. das psychologische Gutachten, sind als hochsensibel einzustufen sodass eine Identifizierungsmethode mit hohen Sicherheitsgarantien erforderlich ist. Die E-Mail Adresse ist der P nicht bekannt, lediglich der Name in der E-Mail deutet auf ihn als Absender hin.

Die Identifizierung anhand des in der E-Mail genannten Namens war jedenfalls nicht hinreichend, da die Sensibilität der Daten hier den Sicherheitsgarantien der Identifizierungsmethode (Name in E-Mail) wesentlich überwiegt und die Identifizierungsmethode so nicht als verhältnismäßig erscheint. Gerade da es sich um hochsensible Daten sowie eine unbekannte E-Mail Adresse handelt ist eine Identifizierung mit einer Identifizierungsmethode, die hohe Sicherheitsgarantien bietet, unterlässlich. Denkbar wäre allerdings eine Identifizierung per Video oder durch eine Kopie des Personalausweis sowie das persönliche Vorbeikommen des K.

Möglichkeiten der Identifizierung

Idealfall

Ein Nutzerkonto ist vorhanden und Anträge können im eingeloggten Bereich bereitgestellt werden.

E-Mail / Brief

Ist die hinterlegte (E-Mail-)Adresse bekannt, ist dies ggf. ausreichend (je nach Schutzbedarf).

Der Absender ist eine unbekannte (E-Mail-)Adresse → Auskunft an hinterlegte Adresse, ggf. weitergehende Identifikation nötig!

Telefon/Video

Bei persönlich bekannten Personen ist die Wiedererkennung der Stimme ggf. ausreichend ; Vorsicht: technische Möglichkeiten zur Nachahmung beliebiger Stimm-Muster mit KI

Abfrage zusätzlicher informationen wie Adresse, pin (in ausnahmen) usw. (Achtung: Verwandte und Nahestehende könnten ebenfalls Antworten auf angefragte Informationen haben)

Ausweis

Könnte man sich schicken lassen oder ggf. einn Video-Ident-Verfahren nutzen. (Achtung: Hinweis auf Abdecken/Schwärzung nicht benötigter Daten; Übertragungsweg muss sicher sein)

eIDAS

Problem hierbei ist, dass diese Methode noch nicht in größerem Umfang genutzt wird.

Schritt 4: Wie antworte ich dem Betroffenen?

Sie sollten Betroffenenanfragen unverzüglich beantworten. Spätestens einen Monat nach Eingang der Anfrage sollte diese vollständig beantwortet sein. Nur wenn die Zusammenstellung der Daten sachlich begründbar besonders aufwändig ist, können Sie dem Betroffenen mitteilen, wann die finale Antwort erfolgt.

Wie Sie der betroffenen Person antworten hängt maßgeblich davon ab, ob und inwieweit sie der Betroffenenanfrage nachkommen müssen.

Fall 1: Wenn Sie der Anfrage nachkommen müssen

Benachrichtigen Sie den Betroffenen über die Umsetzung seiner Anfrage. Handelt es sich um ein Auskunftsersuchen übermitteln Sie dem Betroffenen anbei die angeforderten Informationen. Stellen Sie intern sicher, dass Sie die Betroffenenanfrage tatsächlich umsetzen. Verlangt eine betroffene Person die Löschung ihrer Daten, müssen diese auch wirklich aus allen Systemen gelöscht werden.

Beispiel

Sie haben am 20.07.2023 die Löschung Ihres Benutzerkontos verlangt. Wir haben am 22.07.2023 Ihr Konto gelöscht. Sie können sich nun nicht mehr am System anmelden. Alle Kontaktdaten wurden in diesem Zuge vollständig aus unseren Systemen gelöscht. Ihren Löschantrag haben wir archiviert, um die Löschung rechtfertigen zu können. Die Antrags-E-Mail wird vom Archiv am 23.07.2024 automatisch gelöscht.

Textbausteine für eine Antwort

  • Löschung: Wir haben Ihre personenbezogenen Daten vollständig aus unseren Systemen gelöscht.
  • Widerspruch der Verarbeitung zu Werbezwecken: Wir werden Sie nicht weiterhin werblich kontaktieren.
  • Widerspruch/Widerruf: Wir werden Ihre personenbezogenen Daten nicht weiter verarbeiten.
  • Auskunft: Anbei erhalten Sie die durch uns verarbeiteten personenbezogenen Daten sowie die konkreten Verwendungszwecke.
  • Auskunft: Anbei erhalten sie die von Ihnen angefragten Informationen.
  • Bei Berichtigungsanfragen: Wir haben ihre (z.B. Adresse) berichtigt.
  • Bei Berichtigungsanfragen: Wir haben ihre von uns gespeicherten personenbezogenen Daten mit ihrer (z.B. Adresse) vervollständigt.
  • Newsletter: Sie werden keine weiteren Newsletter mehr erhalten.
  • Allgemein: Kontaktieren Sie uns gerne wieder, sollten noch Fragen offen sein.

Fall 2: Wenn sie der Anfrage nicht nachkommen müssen

Sie müssen der betroffenen Person mitteilen, dass Sie ihrer Anfrage nicht entsprechen können. Dabei sollten Sie Ihre Entscheidung begründen.

Beispiel A

Sie haben uns aufgefordert, Ihnen mitzuteilen, welche Daten wir von Ihnen verarbeiten. Nach eingehender Prüfung konnten wir Sie nicht in unseren Systemen finden. Daher können wir Ihnen keine Auskunft erteilen, weil wir davon ausgehen, dass wir keine Daten von Ihnen besitzen. Sollten Sie davon ausgehen, dass das doch der Fall ist, bitten wir Sie um einen Hinweis, unter welchem Namen und in welchem Kontext wir Daten von Ihnen haben müssten. Gern prüfen wir dann noch einmal.

Beispiel B

Nachdem wir im Juni 2023 bereits alle Kontaktdaten von Ihnen gelöscht hatten, haben Sie am 20.07.2023 erneut die Löschung aller Daten verlangt. Da Sie Ihr Auto bei uns zuletzt am 04.04.2022 haben reparieren lassen, müssen wir die zugehörigen Belege noch bis zum 31.12.2032 gegenüber dem Finanzamt nachweisen können. Daher können wir Ihrem Antrag nicht entsprechen.

Textbausteine für eine Antwort

  • Leider können wir Ihrem Anliegen zur (...) nicht entsprechen.
  • Löschung: Leider können wir Ihre Daten nicht löschen. → Hinweis auf Sperrmöglichkeit
  • Auskunft: Anhand der bereitgestellten Identifizierungsmerkmale konnten wir keine Daten in unseren Systemen zuordnen.
  • Der Umsetzung ihres Anliegens steht entgegen dass (...)

Fall 3: Unklare Anfrage

Eine betroffene Person kann durch ihre Anfrage mehrere Rechte geltend machen. Erhalten sie beispielsweise ein Lösch- und Auskunftsersuchen ist fraglich, in welcher Reihenfolge sie die Teilanfragen umsetzen. Wenn sie zuerst löschen können sie keine Auskunft mehr erteilen. Versuchen Sie daher durch Kommunikation mit der betroffenen Person zu ermitteln, wie die Anfrage gemeint war.

Fall 4: Unvorhersehbare Folgen für den Betroffenen

Wenn die Umsetzung einer Betroffenenanfrage für die betroffene Person selbst unvorhersehbare Folgen mit sich bringen würde, müssen Sie ihr diese Folgen aufzeigen. Sie müssen die Interessen der betroffenen Person berücksichtigen und klären ob die Anfrage wirklich umgesetzt werden soll.

Beispiel A

Sie haben die Löschung Ihres Kundenkontos verlangt. Sinn der darin gespeicherten Daten ist, dass wir Sie mit Ausbildungsbetrieben in Ihrer Region zusammenbringen (Vermittlungsauftrag). Eine Aufforderung zur Löschung oder zur Einschränkung der Verarbeitung interpretieren wir als Kündigung deines Vermittlungsvertrags, weil wir diesen ohne Deine Daten nicht erfüllen können. Wollen Sie das wirklich?

Beispiel B

Durch eine Löschung sämtlicher Daten verlieren Sie ihre Garantieansprüche. Wollen sie das wirklich?

Was kann passieren, wenn ich nicht rechtzeitig reagiere?

Betroffene wenden sich meist aus einem bestimmten Anlass an Sie. Wenn Sie nun nicht oder langsam reagieren führt das oft zu weiterem Unmut.

Betroffenen bleibt dann nur der Weg über die zuständige Aufsichtsbehörde. Aufsichtsbehörden lassen sich in der Regel zuerst das Verzeichnis von Verarbeitungstätigkeiten und den Prozess zur Beantwortung von Betroffenenanfragen geben. Sofern sie das nicht sinnvoll beantworten provozieren Sie eine Datenschutzprüfung.

Betroffene können auch versuchen, ihre Rechte mit anwaltlicher Hilfe gerichtlich durchzusetzen oder Schadensersatzansprüche gegen Sie geltend zu machen.

Daher sollten Sie zunächst klären, was die Betroffenen "eigentlich" wollen, schnell reagieren und deeskalierende Formulierungen verwenden.

Beispiel

Im Autohaus X hat der Kundenservice am 03.07.23 folgende Mail erhalten:

Gestern erhielt ich erneut Marketing-E-Mails aus Ihrem Haus.
Am 09.11.21 und 20.07.22 untersagte ich per E-Mail jegliche Werbung. Letzte Woche erhielt ich eine Werbe-Mail und schrieb noch einmal an datenschutz@. Ich erhielt keine Reaktion. Heute kam erneut eine Marketing-Mail. Nehmen Sie Datenschutz überhaupt nicht ernst? Dass ich keine Antwort erhalte ist unprofessionell. Ich verlange eine ausführliche Stellungnahme bis zum 03.08.2023, wie es zu dieser Situation kommen konnte. Sollte bis dahin keine Stellungnahme erfolgen, melde ich das der Aufsicht.

Aufschlüsselung der Situation:

Y hat der Verarbeitung seiner personenbezogenen Daten durch X bereits mehrfach widersprochen. X hätte die Daten von Y nach dessen Widerspruch also nicht weiter zu Werbezwecken verarbeiten dürfen. Dennoch wird Y weiter von X beworben. Y zeigt diesbezüglich seinen Unmut. Es gilt also zunächst, deeskalierend auf Y einzuwirken und die Situation zu beruhigen. Weiterhin gilt es, dem Anliegen des Y umgehend zu entsprechen und intern schnellstmöglich zu klären, wie es dazu kommen konnte, dass die Anfrage des Y unbearbeitet blieb. X sollte Y verdeutlichen, dass man sowohl ihn als auch sein Anliegen ernst nimmt.

Mögliche Antwort:

Wir haben ihre Mail erhalten und können ihre Verärgerung darüber, dass Sie weiterhin von uns beworben wurden, verstehen. Das hätte nicht passieren dürfen und wir entschuldigen uns vielmals dafür. Wir haben Ihre E-Mail Adresse nun aus dem Werbeverteiler entfernt, sodass Sie in Zukunft keine Werbung mehr von uns erhalten werden. Wir werden intern überprüfen, wieso ihre Anfrage erst jetzt bearbeitet wurde. Wir sind selbst an der schnellen und reibungslosen Bearbeitung von Betroffenenanfragen interessiert.


Textbausteine für eine Antwort

  1. Entschuldigung & Verständnis für Betroffenen:
    • Wir können ... verstehen und entschuldigen uns für ...
    • Danke dass Sie uns erneut an Ihre Anfrage erinnern
    • Leider wurden wir erst jetzt auf Ihre Anfrage aufmerksam
    • Wir haben Verständnis für ... und werden uns ihrem anliegen umgehen annehmen
    • Sie haben jedes Recht dazu, verärgert zu sein, leider haben wir aufgrund ... versäumt ihre Anfrage zu bearbeiten
  2. Grund für die ausgebliebene Bearbeitung:
    • Leider ging Ihre Anfrage bei uns unter
    • Leider wurde ihre E-Mail intern nicht an die richtige Stelle weitergeleitet
    • Leider hat uns ihre erste Anfrage bisher nicht erreicht. Könnten sie uns das Datum Ihrer ersten Anfrage nennen und uns Ihre Anfrage erneut übermitteln?

    Daher wurde Ihr Anliegen (Greifen sie nun das Anliegen des Betroffenen wieder auf) bisher noch nicht von uns bearbeitet.

  3. Zusicherung, die Anfrage schnellstmöglich zu bearbeiten:
    • Wir melden uns umgehend wieder bei Ihnen, sobald wir wissen, ob und wie weit wir Ihrem Anliegen entsprechen könne
    • Wir werden Ihre Anfrage nun schnellstmöglich bearbeiten
    • Wir kümmern uns so schnell wie irgend möglich um ihre Anfrage und informieren sie darüber, ob wir ihrem Anliegen entsprechen können oder nicht
    • Wir werden Ihr Anliegen umgehend bearbeiten und sie darüber informieren, ob wir Ihrem Wunsch (z.B. zur Löschung Ihrer Daten) entsprechen können
    • Wir werden uns Ihrem Anliegen sofort annehmen
    • Wir informieren Sie über alle weiteren Schritte

Schritt 5: Abschluss

Weitere Auskünfte

Verlangt die betroffene Person nach erteilter Auskunft weitere oder detailliertere Informationen sollten Sie mit ihr in Kontakt treten. Eine detaillierte Auskunft über alle Verarbeitungsprozesse und gespeicherten Daten ist zeit- und kostenaufwändig und oft nicht gewinnbringend. Meist interessiert die betroffene Person nämlich lediglich ein spezifischer Bereich oder Prozess. Fragen Sie also nach, welche Daten die betroffene Person konkret interessieren und vor allem, welche Daten sie nicht interessieren. So können Sie der betroffenen Person genau die Daten liefern, die sie wirklich braucht.

Folgeaktionen

Es kann sein, dass sich aus der Anfrage und Ihren daraus resultierenden Aktionen ergibt, dass Sie über die Anfrage hinaus tätig werden müssen.

Nach der vollständigen Bearbeitung der Betroffenenanfrage stellt sich die Frage, was mit den damit verbundenen Dokumenten (z.B. E-Mails, Identifizierung) passieren soll. Sie müssen nachweisen, dass Sie korrekt auf Betroffenenanfragen reagiert haben. Bzgl. der Aufbewahrungsdauer gilt nationales Recht. Es gilt daher die Verjährung nach BGB. Dokumente müssen daher bis zum Jahresende drei Jahre ab Abschluss der Betroffenenanfrage aufbewahrt werden. Danach sind alle zugehörigen Dokumente zu löschen.

Beispiel

Sie erheben Kontaktdaten von Interessenten ausschließlich durch Gewinnspiele. Sie kaufen keine Adressen von Adresshändlern. Sie nutzen Kontaktdaten für Werbung. Der Betroffene widerspricht.

Da Sie die Daten nun nicht mehr benötigen, müssen Sie nicht nur ein "Sperrvermerk" setzen, sondern den Datensatz vollständig löschen.

Umgang mit Missbrauch

Zur Erinnerung: Dieser gesamte Leitfaden dient lediglich zur Orientierung und sollte dementsprechend auch nur in einfachen Fällen Anwendung finden. Bei komplexen Sachverhalten und dem Verdacht auf missbräuchliche Ausübung der Betroffenenrechte kontaktieren sie bitte Ihre:n Datenschutzbeauftragte:n und/oder Anwalt.

Betroffenenrechte nach DSGVO sind vom Verantwortlichen unentgeltlich bereitzustellen. Davon ausgenommen sind exzessive und offensichtlich unbegründete Anträge - hier kann ein angemessenes Entgelt verlangt werden oder die Bearbeitung verweigert werden. Die Beweislast über die Unbegründetheit oder den exzessiven Charakter der Anfrage tragen Sie als Verantwortlicher. Beide Ausnahmetatbestände sind restriktiv auszulegen sodass Sie sich erst nach Rücksprache mit Ihrem Anwalt/DSB auf diese berufen sollten.

Offenkundig unbegründete Anträge

Ein offenkundig unbegründeter Antrag liegt vor, wenn die Antragsvoraussetzungen offensichtlich und für den Durchschnittsmenschen erkennbar nicht erfüllt sind.

Beispiel A

Die Anfrage wurde von einer nicht berechtigten Person gestellt

Beispiel B

Sie erhalten eine Anfrage auf Löschung, obwohl Sie dem Betroffenen mitgeteilt haben, dass keine Daten von ihm gespeichert wurden


Exzessive Anträge

Exzessive Anträge sind insb. häufig wiederholte Anfragen mit gleichen oder ähnliche Forderungen, aber auch andere Anträge mit rechtsmissbräuchlichem Charakter. Es ist daher danach zu fragen, welches Schutzziel von der DSGVO umfasst ist. Dies ist (mit den Worten des BGH) das Recht auf "informationelle Selbstbestimmung".

Beispiel A

Ein Patient will Einsicht in seine Krankenakte, beruft sich aber auf die DSGVO

Hier möchte der Patient die Zahlung der für die Bereitstellung einer Patientenakte nach Krankenhausgesetz fällige Gebühr umgehen.

Einsicht und Herausgabe der Patientenakte nicht vom Schutzzweck der DSGVO umfasst.

Beispiel B

Ein Aktivist "besucht" durch ein Programm Webseiten, um diese wegen unzulässiger Datenübertragung abzumahnen.

Hier wird bewusst nach fehlerhaften Webseiten gesucht ohne dass ein Mensch diese anschaut.