Die DSGVO stattet betroffene Personen mit einer Reihe an datenschutzrechtlichen Rechten aus, die eine Reaktion des jeweiligen Unternehmens erfordern. Doch wie schnell müssen Sie als Unternehmen auf eine Anfrage eines Betroffenen eigentlich antworten?
Welche Betroffenenrechte gibt es?
Die sogenannten Betroffenenrechte sind in Art. 15 bis 22 DSGVO geregelt. Danach hat jede natürliche Person, deren Daten verarbeitet wurden, ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Hinzu kommt das Recht, einer nicht ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden.
Die Betroffenenrechte kann der Betroffene gegenüber dem Verantwortlichen einfordern.
Welche Frist gilt?
Der Verantwortliche, gegenüber dem der Betroffene diese Rechte geltend machen kann, muss laut Art. 12 III DSGVO „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“ auf eine Anfrage reagieren.
„Unverzüglich“ bedeutet unter Juristen „ohne schuldhaftes Zögern“ (§ 121 I BGB). Das bedeutet, dass der Verantwortliche nicht in jedem Fall einen ganzen Monat Zeit hat zu reagieren. Die Frist von einem Monat ist vielmehr eine Höchstfrist. Wenn eine Reaktion innerhalb einer kürzeren Frist möglich ist, muss sie auch dann erfolgen. Das ist in der Praxis natürlich schwierig nachzuweisen. Deshalb läuft es in der Praxis meist auf die Frist von einem Monat hinaus.
Eine Ausnahme gilt nur im Fall von Art. 12 III DSGVO. Wenn es unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist, kann die Frist verlängert werden. Darüber muss der Verantwortliche die betroffene Person aber auch unterrichten und die Gründe dafür nennen.
Wann beginnt die Frist zu laufen?
Die Frist beginnt zu laufen, wenn der Antrag der betroffenen Person beim Verantwortlichen eingeht. Dafür muss die betroffene Person einen offiziellen Kanal des Verantwortlichen benutzen, damit dieser auch die Möglichkeit hat, direkt von der Anfrage Kenntnis zu erlangen. Doch auch wenn der Verantwortliche einmal nicht direkt Kenntnis von einer eingegangenen Anfrage erlangt, läuft die Frist ab Eingang.
Als Verantwortlicher ist es also wichtig, die entsprechenden Kanäle immer im Blick zu behalten.
Wer darf Informationen erhalten?
Die Betroffenenrechte der DSGVO sind höchstpersönliche Rechte. Deshalb dürfen Informationen auch nur an den Betroffenen selbst ausgegeben werden.
Unter strengeren Voraussetzungen kann auch eine bevollmächtigte Person berechtigt sein.
Der Verantwortliche ist immer verpflichtet, die betroffene Person zu identifizieren, bevor er ihr Informationen zur Verfügung stellt. Wenn der Verantwortliche für die Identifizierung erst noch weiter nachfragen muss, weil die in der Anfrage gemachten Informationen dafür nicht ausreichen, beginnt die Frist erst dann, wenn der Verantwortliche die Person sicher identifiziert hat. Die betroffene Person hat dabei keine gesetzliche Frist, innerhalb der sie auf eine Identifikationsfrage antworten muss. Lässt eine Antwort auf sich warten, empfiehlt es sich als Verantwortlicher, eine Erinnerung hinterher zu schicken.
Inzwischen ist es fast zu einem Geschäftsmodell geworden, dass Anfragen gestellt werden, die gar nicht auf die Informationen an sich abzielen. Vielmehr hoffen die Personen, dass der Verantwortliche bei der Bearbeitung einen Fehler macht, um dann auf Schadensersatz klagen zu können. Für Verantwortliche ist es daher umso wichtiger, die gesetzeskonforme Ausgestaltung der Beantwortung von Betroffenenanfragen nachweisen zu können.
Sie haben Fragen zu datenschutzrechtlichen Themen wie Betroffenenrechten oder brauchen Hilfe bei der Umsetzung von datenschutzrechtlichen Vorgaben? Unser Team an Experten hilft Ihnen gerne weiter. Kontaktieren Sie uns hier!
Deutsch 
English 
Español 
Français 
Polski