up

Knowledge-Base

Wie können wir helfen?

Auskunftsrecht nach DSGVO: Was Unternehmen beachten müssen

Praxis-Tipps für die Umsetzung des Betroffenenrechts „Recht auf Auskunft“ und für die Bearbeitung von Auskunftsersuchen
TL;DR

Unternehmen sind verpflichtet, auf Auskunftsersuchen von Betroffenen nach der DSGVO zu reagieren. Um einen effizienten und rechtskonformen Prozess zu gewährleisten, sollten Unternehmen einen Prozess und Workflow zur Bearbeitung von Auskunftsersuchen implementieren. Dieser Prozess sollte die Identifizierung des Betroffenen, die Bewertung der Anfrage und die Erstellung der Auskunft umfassen.

Nach der DSGVO haben Betroffene das Recht, von dem Verantwortlichen eine Auskunft darüber zu verlangen, welche personenbezogenen Daten über sie verarbeitet werden. Dieses Recht ist in Art. 15 DSGVO geregelt.

Praxis-Tipps für Unternehmen

Erstelle einen Prozess und Workflow für die Bearbeitung von Auskunftsersuchen

Ein Verfahren zur Bearbeitung von Auskunftsersuchen ist ein wichtiger Bestandteil der Umsetzung des Auskunftsrechts nach DSGVO. Es sollte klar definieren, wie Auskunftsersuchen zu prüfen und zu beantworten sind.
Folgende Praxistipps können dir dabei helfen, einen geeigneten Prozess und Workflow für deine Unternehmen zu entwickeln:

1. Schulung und Sensibilisierung von Beschäftigten

Alle Beschäftigten, die mit der Bearbeitung von Auskunftsersuchen betraut sind, sollten über das Auskunftsrecht und die damit verbundenen Pflichten geschult werden. Dies ist wichtig, um sicherzustellen, dass die Auskünfte ordnungsgemäß und rechtskonform erteilt werden.
Die Schulung sollte die folgenden Themen abdecken:
  • Die gesetzlichen Grundlagen des Auskunftsrechts
  • Die Rechte und Pflichten des Betroffenen
  • Die erforderlichen Schritte zur Bearbeitung eines Auskunftsersuchens
  • Die Anforderungen an die Auskunft

2. Implementierung von funktionierenden internen Prozessen

Der Prozess zur Bearbeitung von Auskunftsersuchen sollte klar und verständlich sein. Er sollte die folgenden Schritte enthalten:
  • Eingangsprüfung
  • Identifizierung des Betroffenen
  • Bewertung der Anfrage
  • Erstellung der Auskunft
  • Versand der Auskunft
Die Prozesse sollten so gestaltet sein, dass sie effizient und fehlerfrei sind.

3. Zuständigkeiten und Meldewege festlegen

Es sollte klar festgelegt sein, welche Abteilungen oder Personen für die Bearbeitung von Auskunftsersuchen zuständig sind. Außerdem sollten Meldewege festgelegt werden, damit Auskunftsersuchen schnell und effizient bearbeitet werden können.

4. Wenige Personen für die rechtliche Bewertung einer Anfrage verantwortlich machen

Die rechtliche Bewertung einer Anfrage ist oft komplex und erfordert Fachwissen. Um die Bearbeitung von Auskunftsersuchen zu beschleunigen, sollte eine kleine Gruppe von Personen für diese Aufgabe verantwortlich sein.

5. Andere Personen und Abteilungen für notwendigen Zuarbeiten verpflichten

Bei der Bearbeitung von Auskunftsersuchen sind oft Zuarbeiten von anderen Personen oder Abteilungen erforderlich. Diese Zuarbeiten sollten möglichst zeitnah erfolgen, um die Bearbeitung zu beschleunigen.

6. Festlegung von Richtlinien für häufige Abwägungsaspekte

Bei der Bearbeitung von Auskunftsersuchen müssen Unternehmen häufig Abwägungen zwischen dem Recht des Betroffenen auf Auskunft und anderen berechtigten Interessen treffen. Um diese Abwägungen rechtskonform zu treffen, sollten Unternehmen Richtlinien für häufige Abwägungsaspekte festlegen.

7. Identifizierung des Betroffenen

Die Identifizierung des Betroffenen ist ein wichtiger Schritt bei der Bearbeitung von Auskunftsersuchen. Der Verantwortliche muss sicherstellen, dass die Auskunft nur an diejenige Person erteilt wird, auf die sie sich bezieht.
Vorgehensweise
Die Identifizierung des Betroffenen kann auf verschiedene Weise erfolgen. In der Regel ist es ausreichend, wenn der Betroffene seinen Namen, seine Anschrift und sein Geburtsdatum angibt. In komplexeren Fällen kann es jedoch erforderlich sein, weitere Identifizierungsmerkmale zu verlangen, wie zum Beispiel eine Ausweiskopie.
Identifizierung mithilfe einer Ausweiskopie
Die Identifizierung mithilfe einer Ausweiskopie ist eine gängige Praxis. Der Betroffene muss dabei eine Kopie seines Personalausweises oder Reisepasses an den Verantwortlichen übermitteln. Die Kopie sollte folgende Angaben enthalten:
  • Vor- und Nachname
  • Geburtsdatum
  • Ausweisgültigkeit
  • Ausweisart
Schwärzung von sensiblen Daten
Die Übermittlung einer Ausweiskopie ist mit einem gewissen Datenschutzrisiko verbunden. Aus diesem Grund sollte der Anfragende vor der Übermittlung sensible Daten, wie zum Beispiel die Ausweisnummer und die weiteren, nicht benötigten Angaben schwärzen.
Beispiel
Angenommen, ein Betroffener stellt ein Auskunftsersuchen bei einem Unternehmen. Der Betroffene möchte wissen, welche personenbezogenen Daten das Unternehmen über ihn verarbeitet. Das Unternehmen fordert den Betroffenen auf, seinen Personalausweis zu übermitteln, um seine Identität zu bestätigen.
Der Betroffene übermittelt dem Unternehmen eine Kopie seines Personalausweises. Die Kopie enthält folgende Angaben:
  • Vorname: Max
  • Nachname: Mustermann
  • Geburtsdatum: 01.01.1980
  • Ausweisnummer: 1234567890
  • Ausweisgültigkeit: 01.01.2024
  • Ausweisart: Personalausweis
Vor der Übermittlung schwärzt er folgende sensible Daten:
  • Geburtsdatum: 01.01.**
  • Ausweisnummer: 1234
Die digitale Übermittlung muss dabei über eine gesicherte Verbindung erfolgen, wie zum Beispiel über ein Webportal oder über einen geschützten Upload-Link. Eine Übermittung per E-Mail sollte vermieden werden. Ansonsten kann auch eine Versendung per Post gewählt werden.
Hinweise zur Identifikation
  • Unternehmen sollten ein Verfahren zur Identifizierung von Betroffenen implementieren. Dieses Verfahren sollte klar und verständlich sein und die Anforderungen der DSGVO erfüllen.
  • Unternehmen sollten sensible Daten, wie zum Beispiel das Geburtsdatum oder die Ausweisnummer, bei der Übermittlung von Ausweiskopien schwärzen.
  • Unternehmen sollten die Betroffenen darüber informieren, welche Daten sie zur Identifizierung benötigen.
Die Identifizierung des Betroffenen ist ein wichtiger Schritt bei der Bearbeitung von Auskunftsersuchen. Unternehmen sollten ein geeignetes Verfahren zur Identifizierung implementieren, um die Anforderungen der DSGVO zu erfüllen.

Zusätzliche Hinweise

  • Der Prozess und Workflow sollte regelmäßig überprüft und angepasst werden, um sicherzustellen, dass er den aktuellen Anforderungen entspricht.
  • Unternehmen sollten ein System zur Überwachung der Bearbeitung von Auskunftsersuchen implementieren, um sicherzustellen, dass die Fristen eingehalten werden.
  • Unternehmen sollten ein Verfahren zur Kommunikation mit Betroffenen bei der Bearbeitung von Auskunftsersuchen implementieren. Die Nutzung eines softwaregestützten Systems, wie Digimojo DPMS hilft dabei, den Prozess einfach und lückenlos umzusetzen.

Letzte Aktualisierung: 
3.11.2023
* Bitte beachte, dass manche Links in diesem Text Affiliate-Links sind. Wenn du darauf klickst und einen Kauf tätigst, erhalten wir eine kleine Provision. Das hilft uns, weiterhin kostenfreie und wertvolle Inhalte für dich zur Verfügung zu stellen. Danke für deine Unterstützung.

Wir helfen dir gerne weiter

Nicht das gewünschte gefunden? Dann schreibe uns, wie wir dir weiterhelfen können: