DSGVO: Praktischer Umgang mit Betroffenenrechten

Die DSGVO und das neue österreichische Datenschutzgesetz (DSG) sind nun seit einigen Monaten anwendbar. Erwartungs­ gemäß haben Anfragen von Betroffenen stark zugenommen und sind Unternehmen vor allem mit der Beantwortung von Auskunfts­, Widerspruchs­ und Löschungsersuchen konfrontiert. Auch wenn sich beim praktischen Umgang damit mittler­weile schon eine gewisse Routine eingespielt hat, sind noch immer einige Fragen offen, die mitunter zu Irritationen führen.

Darf ein Identitätsnachweis vom Betroffenen verlangt werden?

Die DSGVO verpflichtet den Verantwortlichen grundsätzlich, dem Betroffenen die Ausübung seiner Rechte zu erleichtern und– sofern möglich – eigenständig die Identität des Antragstellers zu ermitteln. Das Anfordern eines nach der alten Rechtslage teils noch verpflichtenden Identitätsnachweises (zB Übermittlung einer Ausweiskopie oder etwa auch Beantwortung einer Sicherheitsfrage) sollte daher nunmehr die Ausnahme und nicht der Regelfall sein. Die Ausnahme soll dann greifen, wenn „begründete Zweifel“  bei der Identifizierung bestehen. Wie weit aber die eigenen Nachforschungspflichten des Unternehmers gehen, ab wann diese unzumutbar werden und wo die Mitwirkung des Betroffenen verlangt werden kann, ist einzelfallbezogen zu prüfen. Decken sich etwa der Name des Betroffenen und seine E-Mail-Adresse, über die die gesamte bisherige Kommunikation erfolgt ist, dann ist ein Nachweis – außer bei begründetem Missbrauchsverdacht – wohl nicht erforderlich. Anders ist die Situation, wenn ein Betroffener mit einem „Allerweltsnamen“ von einer unbekannten E-Mail-Adresse aus Auskunft verlangt. Hier wird man – vor allem, wenn es im System mehrere Namensträger gibt – nach einem Ausweis fragen müssen.

Praxistipp: Fordern Sie Identitätsnachweise nur in begründeten Fällen und jedenfalls unverzüglich nach Einlangen des Ansuchens an. Weisen Sie den Betroffenen dabei auch darauf hin, dass der Antrag im Falle einer fehlenden Identifizierung nicht bearbeitet werden kann.

Innerhalb welcher Frist müssen Betroffenenanträge beantwortet werden?

Vermehrt sind Verantwortliche mit (zu) kurzen Fristsetzungen Betroffener zur Bearbeitung von Anträgen und mit Drohungen Betroffener, Beschwerde bei der Datenschutzbehörde zu erheben, konfrontiert. Tatsächlich greifen aber ausschließlich die explizit in der DSGVO geregelten Handlungsfristen. Demnach sind Ersuchen von Betroffenen spätestens innerhalb eines Monats ab Erhalt der Anfrage zu erledigen und ist der Betroffene in diesem Zeitfenster über die ergriffenen Maßnahmen zu informieren. Wenn der Betroffene sich allerdings – bei begründeten Zweifeln – nachträglich identifiziert, beginnt die Frist wohl erst mit diesem Zeitpunkt. Die Frist kann nur in Ausnahmefällen - wegen hoher Komplexität oder hoher Zahl der Anfragen - um zwei Monate verlängert werden. Allerdings muss der Betroffene auch über diese Fristausdehnung innerhalb des ersten Monats samt Begründung informiert werden. Das Risiko, dass die Datenschtuzbehöre bei einer Beschwerde des Betroffenen die Gründe der Verzögerung für nicht ausreichend erachtet, liegt beim Verantwortlichen.

Praxistipp: Kanalisieren Sie Betroffenenanfragen und sorgen Sie für Awareness bei Ihren Mitarbeitern, um eine umgehende Weiterleitung von Anträgen an den richtigen Ansprechpartner sicherzustellen. Informieren Sie Betroffene umgehend nach Einlangen der Anfrage, dass Sie die Anfrage erhalten haben und bearbeiten werden. Nehmen Sie bereits in der ersten Reaktion einen Hinweis auf das etwaige Erfordernis der Mitwirkung des Betroffenen auf (zB Ausweiskopie oder Konkretisierung eines unklaren Begehrens).

Wie weit reicht die Verpflichtung zur Erfüllung der Betroffenenanfragen?

In der Praxis kommt es häufig vor, dass Betroffene (i) nicht ausreichend über den Umfang ihrer Rechte informiert sind oder (ii) diese – bewusst oder unbewusst – falsch interpretieren. So werden bisweilen unter dem Deckmantel des Auskunftsrechtes Informationen zur Unternehmensorganisation, zu konkreten IT-Sicherheitsmaßnahmen und anhängigen Streitfällen verlangt. Auch kursiert die eine oder andere bewusst zugespitzte Vorlage für Auskunftsbegehren, die Unternehmen möglichst viel Arbeit verschaffen sollen, aber mit den tatsächlichen Rechten nicht im Einklang stehen. Ersuchen von Betroffenen sind daher stets und ausschließlich anhand der konkreten Vorgaben der DSGVO umzusetzen und zu beantworten.

Praxistipp: Identifizieren Sie das jeweils geltend gemachte Recht  nach Art 15 bis 22 DSGVO. Beurteilen Sie, ob die Voraussetzungen zur Ausübung dieses Rechtes vorliegen. Gleichen Sie die Beantwortung des Begehrens mit den gesetzlichen Verpflichtungen ab (nicht mehr, aber auch nicht weniger).

Wie verläuft ein Beschwerdeverfahren bei Beanstandungen des Betroffenen?

Hand in Hand mit Anfragen von Betroffenen gehen die (regelmäßig auch anonymen) Beschwerden an die Datenschutzbehörde, deren Zahl ebenfalls rasant gestiegen ist (im September  2018 waren über 720 Beschwerdeverfahren anhängig). Im Fall einer Beschwerde fordert die Datenschutzbehörde das betroffene Unternehmen in der Regel zur Stellungnahme und gegenenfalls vollständigen Entsprechung des Betroffenenantrags (zweite Chance zur Erledigung des Ansuchens des Betroffenen) auf. Dafür setzt die Behörde gewöhnlich eine Frist von zwei bis vier Wochen.

In seiner Antwort hat der Verantwortliche die Vollständigkeit und Richtigkeit der getroffenen Maßnahmen nicht nur zu behaupten, sondern (sofern möglich) auch zu beweisen (Rechenschaftspflicht). Als Nachweise kommen die Korrespondenz mit dem Betroffenen sowie etwa Screenshots, Kopien und Fotos in Frage.

Praxistipp: Begründen Sie gegenüber dem Betroffenen eine etwaige negative Rückmeldung in einer verständlichen Art und Weise, um Unmut und Beschwerden hintanzuhalten. Erklären Sie Ihre Antworten stets rechtlich fundiert, um etwaige Diskrepanzen im Beschwerdeverfahren zu vermeiden.

Fazit

Die Rechtsverteidigung und -durchsetzung sowie das notwendige Finetuning der schon gesetzten Compliance-Maßnahmen drängen in der aktuellen Phase der DSGVO- Eingewöhnung in den Mittelpunkt. Es gilt nun, die eingerichteten Prozesse laufend nachzuschärfen, an die ersten praktischen Erkenntnisse unter dem neuen Regime anzupassen und zur Vermeidung des Auseinanderdriftens der faktischen Realität einerseits und der Vorgaben andererseits regelmäßige Compliance-Checks durchzuführen. Dafür ist die Einbettung eines rechtlich fundierten und praktisch erprobten Prozesses zur fristgerechten Beantwortung der Betroffenenanfragen das Um und Auf.