Vom Krisenherd zum Vertrauensturbo: Umgang mit Datenschutzbeschwerden

Verfasst von Sven Fus

Veröffentlicht: 2024-07-15

Die Herausforderung: Vertrauen und gesetzliche Vorgaben

Der Schutz personenbezogener Daten gewinnt in der heutigen Geschäftswelt zunehmend an Bedeutung. Unternehmen stehen vor der Herausforderung, nicht nur datenschutzrechtliche Vorgaben wie die Datenschutz-Grundverordnung einzuhalten, sondern auch das Vertrauen ihrer Stakeholder zu erhalten. Ein zentraler Aspekt ist dabei der professionelle Umgang mit Datenschutzbeschwerden. Diese können von einfachen Anfragen zur Verwendung personenbezogener Daten bis hin zu schwerwiegenden Vorwürfen reichen, die im schlimmsten Fall die Reputation Ihres Unternehmens schädigen können. Ein strukturiertes und effizientes Beschwerdemanagement ist daher unerlässlich.

In diesem Artikel möchten wir Ihnen einen umfassenden Leitfaden an die Hand geben, der Ihnen helfen soll, Datenschutzbeschwerden korrekt zu behandeln und die Datenschutzanforderungen Ihres Unternehmens optimal zu erfüllen. Wir werden Ihnen die rechtlichen Grundlagen erläutern, typische Beschwerden identifizieren und Ihnen praktische Schritte zur Bearbeitung und Lösung von Beschwerden aufzeigen. Unser Ziel ist es, Ihnen die notwendigen Werkzeuge und Kenntnisse zu vermitteln, damit Sie Datenschutzbeschwerden nicht nur effektiv managen, sondern auch als Chance zur Verbesserung Ihrer Datenschutzprozesse nutzen können.

Datenschutzbeschwerden und Betroffenenanfragen: Eine enge Beziehung

Datenschutzbeschwerden stehen oft in engem Zusammenhang mit Betroffenenanfragen. Die Datenschutz-Grundverordnung sieht vor, dass betroffene Personen über umfassende Rechte verfügen, um ihre Daten einzusehen, zu korrigieren oder zu verlangen, dass sie gelöscht werden. Die DSGVO bildet die Grundlage des europäischen Datenschutzrechts und legt fest, wie Unternehmen personenbezogene Daten verarbeiten und schützen müssen. Ein zentrales Element der DSGVO sind die folgenden Rechte der Betroffenen:

  1. Auskunftsrecht (Art. 15 DSGVO)
    Betroffene haben das Recht, vom Verantwortlichen Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen.

  2. Recht auf Berichtigung (Art. 16 DSGVO)
    Betroffene können die Berichtigung unrichtiger oder die Vervollständigung ihrer personenbezogenen Daten verlangen.

  3. Recht auf Löschung ("Recht auf Vergessenwerden") (Art. 17 DSGVO)
    Betroffene können unter bestimmten Voraussetzungen die Löschung ihrer personenbezogenen Daten verlangen.

  4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    Betroffene können die Einschränkung der Verarbeitung ihrer Daten verlangen, z.B. wenn deren Richtigkeit bestritten wird.

  5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

  6. Widerspruchsrecht (Art. 21 DSGVO)
    Betroffene können der Verarbeitung ihrer Daten aus bestimmten Gründen widersprechen, z.B. bei Direktwerbung.

  7. Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
    Betroffene können eine erteilte Einwilligung jederzeit widerrufen.

  8. Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
    Betroffene haben das Recht, sich bei der zuständigen Aufsichtsbehörde über einen Verstoß gegen die DSGVO zu beschweren.

Grundsätzlich müssen Anfragen von Betroffenen (Betroffenenrechte aus Punkt 1 bis 6), die bei Ihnen im Unternehmen eingehen, unverzüglich bearbeitet werden. Mit Bearbeitung ist gemeint, dass der Prozess angestoßen wird. Das ist zum Beispiel die Weiterleitung an die zuständige Person oder Abteilung, die bei einer Auskunft Informationen aus einem IT-System exportiert. Spätestens ein Monat nach der Anfrage müssen die Information zur Anfrage bereitgestellt werden. Lediglich in Ausnahmefällen kann diese Frist um zwei Monate verlängert werden, worüber die betroffene Person zu informieren ist. Berücksichtigt werden sollte, dass aufgrund von zu langen Bearbeitungszeiten Schadensersatzforderungen von Betroffenen gerichtlich geltend gemacht werden können. Das Arbeitsgericht Duisburg verurteilte die Beklagte zur Zahlung einer Entschädigung von 750 Euro an den Kläger wegen eines Verstoßes gegen die DSGVO, da sie dessen Auskunftsersuchen nicht unverzüglich, sondern erst nach 19 Tagen beantwortet hat, was als schuldhaftes Zögern bewertet wurde (Arbeitsgericht Duisburg, 5 Ca 877/23).

Wir empfehlen, kurzfristig nach Eingang der Betroffenenanfrage eine Eingangsbestätigung zu versenden. Sinnvoll wäre es ebenfalls noch ein Update zu verschicken, sofern eine Beantwortung nach zehn bis vierzehn Tagen nicht bereitgestellt werden kann. In diesem Zusammenhang sind auch folgende Punkte zu berücksichtigen:

  • Arbeitsanweisungen und Richtlinien
    Geben Sie Ihren Beschäftigten vor wie mit Betroffenenanfragen vorgegangen werden soll. Diese Richtlinien oder Arbeitsanweisungen sollten sowohl dokumentiert als auch für alle Beschäftigten zugängig sein, so dass die Vorgehensweise nachgelesen werden kann. Im Rahmen unserer Dienstleistung als externer Datenschutzbeauftragter haben wir Ihnen auch einen Entwurf für eine „Richtlinie für die Umsetzung von Betroffenenrechten“ als Entwurf bereitgestellt, die an Ihre unternehmensspezifischen Gegebenheiten angepasst werden sollte.

  • Sensibilisierung und Schulung
    Ihr Unternehmen sollte regelmäßig Schulungen und Sensibilisierungsmaßnahmen durchführen, um sicherzustellen, dass alle Beschäftigten die Betroffenenrechte kennen und wissen, wie sie darauf reagieren können. In unserem E-Learning zum Datenschutz haben wir das Thema bereits berücksichtigt.

Wenn Daten unerlaubt genutzt werden: Die häufigsten Beschwerden

Datenschutzbeschwerden können vielfältig sein und die unterschiedlichsten Bereiche eines Unternehmens betreffen. Häufig kommt es zu Beschwerden, wenn personenbezogene Daten unrechtmäßig verarbeitet werden, wie z. B. bei unerwünschten Werbe-E-Mails oder abbestellten Newslettern. Auch die mangelnde Transparenz der Datenerhebung und -verarbeitung ist ein häufiges Anliegen der Betroffenen. Insbesondere sensible Daten wie Gesundheitsdaten, Finanzdaten und persönliche Identifikationsmerkmale sind häufig Gegenstand von Beschwerden, da ihr Missbrauch schwerwiegende Folgen für die Betroffenen haben kann.

Beschwerde 2.0: IT-Tools zur Datenschutzbeschwerde

Im digitalen Zeitalter nutzen immer mehr Betroffene spezielle IT-Tools, um Datenschutzbeschwerden zu erstellen und einzureichen. Erste Hinweise für problematische Verarbeitungen auf Webseiten bieten bereits Browser-Plugins wie uBlock Origin, Ghostery und AdGuard Pro. Diese Plugins analysieren den Datenverkehr und erkennen potenziell schädliche oder unerwünschte Aktivitäten, wie das Tracking durch Drittanbieter oder den Einsatz von Cookies ohne entsprechende Zustimmung.

Plattformen wie dsgvo-beschwerde.de und tracktor.it bieten benutzerfreundliche Oberflächen, mit denen Nutzer Datenschutzverstöße gezielt melden können. Diese Tools sind in der Lage, Webseiten automatisch auf Verstöße zu scannen. Sie können – nicht immer fehlerfrei - Aufrufe von Drittanbieter-Tools, fehlende Datenschutzhinweise oder unzureichend eingeholte Einwilligungen zur Datenverarbeitung erkennen.

Solche automatisierten Systeme erleichtern es den Betroffenen, sich systematisch und fundiert zu beschweren, was die Zahl und Qualität der eingehenden Beschwerden erhöhen kann. Unternehmen sollten sich daher bewusst sein, dass ihre Websites unter ständiger Beobachtung stehen können. Durch den Einsatz dieser IT-Tools erhalten Betroffene detaillierte Informationen über mögliche Verstöße, die dann direkt an das Unternehmen oder sogar an die zuständigen Datenschutz-Aufsichtsbehörde weitergeleitet werden können.

Um auf diese neuen Herausforderungen adäquat reagieren zu können, sollten Unternehmen ihre Webseiten regelmäßig überprüfen und sicherstellen, dass sie den aktuellen gesetzlichen Anforderungen entsprechen. Proaktive Maßnahmen wie regelmäßige Audits und der Einsatz von Monitoring-Tools können helfen, mögliche Verstöße frühzeitig zu erkennen und zu beheben, bevor es zu Beschwerden kommt.

Dokumentation und Analyse: Den Prozess ins Rollen bringen

Nachdem der Eingang der Beschwerde bestätigt wurde, ist es wichtig, klare Zuständigkeiten innerhalb des Unternehmens festzulegen. Zunächst sollte die Beschwerde das Datenschutzteam Ihres Unternehmens, also den internen Datenschutzkoordinator und Ihren externen Datenschutzbeauftragten von Kerberos Compliance weitergeleitet werden. In einem ersten Schritt wird die Beschwerde dokumentiert und die notwendigen Schritte zur Bearbeitung eingeleitet. Die Dokumentation ist dabei unerlässlich, um den gesamten Bearbeitungsprozess nachvollziehbar zu gestalten und im Falle einer Prüfung durch die Datenschutzbehörde belegen zu können.

Die Analyse und Bewertung der Beschwerde ist der nächste wichtige Schritt. Dabei wird geprüft, ob tatsächlich ein Verstoß gegen die datenschutzrechtlichen Anforderungen vorliegt und welche Daten betroffen sind. Es ist wichtig, alle relevanten Abteilungen einzubeziehen, um eine umfassende Bewertung vornehmen zu können. So kann beispielsweise die IT-Abteilung die technischen Aspekte prüfen.

Mit Einfühlungsvermögen und Professionalität den richtigen Ton treffen

Eine offene und transparente Kommunikation mit dem Beschwerdeführer ist für ein erfolgreiches Beschwerdemanagement unerlässlich. Regelmäßige Updates über den Bearbeitungsstand sind wichtig, um den Beschwerdeführer über den Fortschritt zu informieren und Vertrauen aufzubauen. Dies kann per E-Mail oder telefonisch erfolgen.

Es ist wichtig, in der Kommunikation empathisch und professionell zu bleiben, um mögliche Frustrationen des Beschwerdeführers zu verringern. Klare und verständliche Erklärungen der getroffenen Maßnahmen und der nächsten Schritte helfen, Missverständnisse zu vermeiden. Sollte die Untersuchung ergeben, dass tatsächlich eine unrechtmäßige Datenverarbeitung vorliegt, sollte das Unternehmen detailliert darlegen, welche Maßnahmen ergriffen wurden, um das Problem zu beheben und in Zukunft zu vermeiden.

Durch eine transparente und respektvolle Kommunikation zeigt das Unternehmen, dass es die Anliegen der Betroffenen ernst nimmt und proaktiv an einer Lösung arbeitet. Dies trägt nicht nur zur Zufriedenheit des Beschwerdeführers bei, sondern stärkt auch das Vertrauen in die Datenschutzmaßnahmen des Unternehmens insgesamt.

Blick nach vorn: Maßnahmen gegen zukünftige Verstöße

Nach der Analyse kommt es darauf an, schnell und effizient Lösungen zu finden und umzusetzen. Dieser Prozess beginnt mit der Identifizierung der Maßnahmen, die zur Behebung des Problems erforderlich sind. Dabei sollten alle betroffenen Abteilungen zusammenarbeiten, um eine ganzheitliche Lösung zu entwickeln. Die Umsetzung der Maßnahmen sollte dokumentiert werden, um Transparenz und Nachvollziehbarkeit zu gewährleisten.

Ein wichtiger Aspekt bei der Lösungsfindung ist auch die Prävention zukünftiger Verstöße. Dies kann durch die Anpassung interner Prozesse, die Schulung von Mitarbeitern und die Implementierung technischer Sicherheitsmaßnahmen erreicht werden. Es kann sinnvoll sein, einen Maßnahmenplan zu erstellen, der sowohl kurzfristige Korrekturen als auch langfristige Verbesserungen beinhaltet. Die Wirksamkeit der getroffenen Maßnahmen sollte regelmäßig überprüft werden, um sicherzustellen, dass sich ähnliche Probleme nicht wiederholen.

Zusammenfassung der wichtigsten Schritte

  1. Bestätigung des Eingangs der Beschwerde
    Sobald eine Datenschutzbeschwerde eingeht, sollte das Unternehmen diese unverzüglich bestätigen. Dies zeigt dem Beschwerdeführer, dass die Beschwerde ernst genommen wird und das Unternehmen reaktionsfähig ist.

  2. Beschwerde untersuchen

    Das Unternehmen sollte die Beschwerde gründlich untersuchen. Dazu gehört das Sammeln aller relevanten Informationen und Dokumente sowie die Analyse der internen Prozesse, die zu der Beschwerde geführt haben.

  3. Beschwerde dokumentieren

    Alle Schritte und Entscheidungen im Zusammenhang mit der Beschwerde sollten sorgfältig dokumentiert werden. Dazu gehören Gesprächsnotizen, die Begründung von Entscheidungen und die ergriffenen Maßnahmen. Diese Dokumentation kann später den Datenschutzbehörden als Nachweis dienen.

  4. Mit dem Beschwerdeführer kommunizieren

    Während der Untersuchung sollte das Unternehmen den Beschwerdeführer in angemessenen Zeitabständen über den Stand der Bearbeitung informieren. Nach Abschluss der Untersuchung sollten die Ergebnisse und die getroffenen Maßnahmen klar und verständlich kommuniziert werden.

  5. Maßnahmen ergreifen

    Ist die Beschwerde begründet, sollte das Unternehmen passende Maßnahmen ergreifen, um den Datenschutzverstoß zu beheben und künftige Verstöße zu verhindern. Dies kann die Anpassung von Prozessen, die Schulung von Mitarbeitern oder technische Änderungen umfassen.

Sven Fus

Senior Manager Compliance

Zurück

Geschäftspartnerprüfungen: Der Schlüssel zu sicheren und vertrauenswürdigen Geschäftsbeziehungen
Weiter

Das müssen Rechtsanwälte und Kanzleien zur Ihren Pflichten nach dem Geldwäschegesetz wissen.