Was bei Datenschutz-Beschwerden zu tun ist
Seit Mai ist die DSGVO in Kraft und hat bereits eine Flut von Anträgen und Beschwerden ausgelöst. Der richtige Umgang mit diesen erfordert von den Mitarbeitern Expertise und Genauigkeit.
Die intensive Berichterstattung über das neue Datenschutzregime hat nicht nur zur Sensibilisierung von Unternehmen geführt, sondern auch die Aufmerksamkeit der Betroffenen für ihre Rechte gestärkt. Wie erwartet haben Betroffenenanfragen in den vergangenen Monaten stark zugenommen. Werden diese nicht zufriedenstellend erledigt, münden sie häufig in ein Beschwerdeverfahren bei der Datenschutzbehörde. Das stellt Unternehmen selbst bei etablierter Routine vor praktische und rechtliche Herausforderungen.
Wesentlich für einen rechtskonformen Umgang mit Betroffenenanfragen ist eine sauber aufgestellte Datenschutzorganisation. Ersuchen von Betroffenen sind nämlich spätestens innerhalb eines Monats ab Erhalt der Anträge (z. B. Einwurf in den Postkasten, Eingang der E-Mail oder Anruf beim Kundencenter) zu erledigen – dies unabhängig von der tatsächlichen Kenntnisnahme durch das Unternehmen. Daher muss sichergestellt werden, dass alle Mitarbeiter für datenschutzrechtliche Anfragen sensibilisiert sind. Nur dadurch ist gewährleistet, dass Auskunftsansprüche und Co erkannt und rechtzeitig weitergeleitet bzw. bearbeitet werden.
Zudem können bei entsprechender Schulung auch leichtfertige, falsche Antworten vermieden werden. Das notwendige Bewusstsein kann etwa durch regelmäßige Schulungen und fiktive Testvorfälle geschaffen werden.
Die Datenschutzgrundverordnung (DSGVO) gewährt freilich nur den tatsächlich Betroffenen die Ausübung ihrer Rechte. In der Praxis stehen Unternehmen oft vor dem Problem, diese Personen sicher zu identifizieren, um Auskünfte an Nichtberechtigte – die wiederum einen DSGVO-Verstoß begründen würden – zu verhindern. Nach der DSGVO muss der Verantwortliche zunächst eigenständig die Identität des Antragstellers ermitteln. Das Anfordern eines Identitätsnachweises – z. B. Übermittlung einer Ausweiskopie oder Beantwortung einer Sicherheitsfrage – ist nur dann zulässig, wenn „begründete Zweifel“bei der Identifizierung bestehen.
Wie weit die eigenen Nachforschungspflichten des Unternehmers gehen, ab wann diese unzumutbar werden und wo die Mitwirkung des Betroffenen verlangt werden kann, ist im Einzelfall zu prüfen. So ist etwa bei einer Übereinstimmung des Namens und der E-Mail-Adresse mit den bisherigen bekannten Kontaktdaten ein zusätzlicher Nachweis – außer bei begründetem Missbrauchsverdacht – wohl nicht erforderlich. Anders ist die Situation, wenn ein Betroffener mit einem Allerweltsnamen von einer unbekannten EMail-Adresse Anträge stellt. Hier wird man – vor allem, wenn es im System mehrere Träger dieses Namens gibt – nach einem Ausweis fragen müssen. Außerdem werden die Anforderungen an die Identifizierung des Betroffenen auch höher sein, wenn sensible Daten oder sonstige kritische Information, wie etwa Bank- und Gehaltsdaten, im Spiel sind.
Überschießende Anfragen
In der Praxis kommt es häufig vor, dass Betroffene – bewusst oder unbewusst – etwas anderes oder mehr verlangen, als ihnen zusteht. So werden unter dem Deckmantel des Auskunftsrechts mitunter Informationen zur Unternehmensorganisation, zu konkreten IT-Sicherheitsmaßnahmen oder aktuellen Streitfällen verlangt. Auch kursiert die eine oder andere bewusst zugespitzte Vorlage für Auskunftsbegehren, die Unternehmen möglichst viel Arbeit verschaffen sollen, aber mit den tatsächlichen Rechten nicht im Einklang stehen. Unternehmen müssen daher in einem ersten Schritt prüfen, ob die geltend gemachten Rechte in dem Umfang überhaupt bestehen. Bei der anschließenden Beantwortung sollte man sich an den konkreten Vorgaben der DSGVO orientieren und nicht an dubiosen Mustern oder gesetzlich nicht gedeckten Vorgaben des Betroffenen.
Beharrt der Betroffene darauf, dass gegen seine Rechte verstoßen wurde, droht eine Eskalation. Um dies möglichst zu vermeiden, sind zwei Maßnahmen von zentraler Bedeutung: Bereits die ersten inhaltlichen Antworten an den Betroffenen müssen sachlich und rechtlich fundiert sein und dürfen nicht unreflektiert auf dem vorläufigen Wissensstand fußen. Da- neben ist es ratsam, in kritischen Sachen und insbesondere bei Ablehnung von (überschießenden) Begehren nicht bloß einsilbig abzulehnen, sondern entsprechend zu argumentieren. Der Betroffene soll die Chance erhalten, den Standpunkt nachzuvollziehen.
Hand in Hand mit dem Anstieg der Anfragen von Betroffenen an Unternehmen haben auch die Beschwerden an die Datenschutzbehörde rasant zugenommen. Dem Vernehmen nach waren im September bereits knapp 800 Verfahren anhängig. Im Fall einer Beschwerde fordert die Datenschutzbehörde das betroffene Unternehmen in der Regel zur Abgabe einer Stellungnahme auf. War ein Betroffenenantrag Auslöser, dann wird eine vollständige Erledigung verlangt. Dafür setzt die Behörde gewöhnlich eine Frist von zwei bis vier Wochen. Meint der Verantwortliche, schon alles getan zu haben, so muss er dies nicht nur behaupten, sondern auch, sofern möglich, beweisen. Das kann z. B. durch die Vorlage entsprechender Korrespondenz mit dem Betroffenen oder Screenshots erfolgen.
Mögliche Konsequenzen
Nach Abschluss der Ermittlungen und der Beweiserhebung beendet die Behörde das Verfahren entweder durch Einstellung oder Feststellung eines Verstoßes. Im zweiten Fall kann die mögliche Konsequenz sodann von einer Verwarnung über eine Aufforderung zur Änderungen der Prozesse bzw. zur Beschränkung der Verarbeitung bis zu gefürchteten Verwaltungsstrafe reichen.
Fazit: Nach der DSGVO-Eingewöhnungsphase gilt es für Unternehmen nun, die eingerichteten Prozesse laufend nachzuschärfen und an die ersten behördlichen Erkenntnisse sowie Erfahrungen anzupassen. Dafür sind regelmäßige Compliance-Checks sinnvoll, um den Status quo zu hinterfragen und gegebenenfalls anzupassen.
DOMINIK SCHELLING und ALEXANDRA CIARNAU sind Rechtsanwaltsanwärter bei Dorda und auf Datenschutz-, IP- und IT-Recht spezialisiert. dominik.schelling@dorda.at, alexandra. ciarnau@dorda.at