Moin zusammen,
heute erhalten Sie ein paar aktuelle Infos zum Datenschutz:
- Betroffenenanfrage – und nun?
- Datenschutzlöschung – wann muss ich löschen?
- AUA! Ich bin ein Datum und wurde verletzt.
Bitte melden Sie sich gerne bei uns, wenn durch das Lesen Fragen entstehen. Wir beantworten sie wirklich gerne!
Mit freundlichen Grüßen Jörg Stockmann, eDSB
- Betroffenenanfrage – und nun?
Geschrieben von
Bernd Schultz Datenschutz Consultant bs@avallon.de
Die Wahrung der Rechte betroffener Personen ist eine Aufgabe im Datenschutz, die uns alle betrifft. Jede/r Mitarbeitende kann im Rahmen ihrer oder seiner Tätigkeiten eine Anfrage Betroffener Personen erhalten. Im nachfolgenden Artikel erfahren Sie, wie und welche Anfragen Betroffener an Ihr Unternehmen oder Ihrer Organisation gestellt werden können. Gleichzeitig zeigen wir Ihnen auf, wie Sie am besten damit umgehen, wenn eine Person eine Anfrage an Sie richtet.
Die Gesetzgeber haben im Rahmen der Datenschutzgesetzgebung jeder natürlichen Person umfangreiche Rechte, wie ein Unternehmen oder eine Organisation mit den personenbezogenen Daten umgehen muss, eingeräumt.
Um ein Recht wahrnehmen zu können, wurde in den Verordnungen und Gesetzen die Möglichkeit geschaffen, Anfragen an die Unternehmen oder Organisationen zu richten, über die die betroffenen Personen Ihre Rechte einfordern können. Dies sind die so genannten „Anfragen betroffener Personen“ oder „Betroffenenanfragen“.
Wie können Betroffenenanfragen von Personen, die vermuten, dass Ihr Unternehmen/Ihre Organisation personenbezogene Daten verarbeitet, Anfragen an die oder den Veranwortlichen stellen?
- Per E-Mail bei der verantwortlichen Stelle/Mitarbeitenden/eDSB
- Per Post bei der verantwortlichen Stelle oder der/m eDSB
- direkt in der Ligatur (dem Datenschutz Management System Ihres Unternehmens)
- mündlich (auch im Rahmen einer Videokonferenz oder in einem Telefonat)
Welche Betroffenenanfragen kann eine betroffene Person an Ihr Unternehmen oder an Ihre Organisation stellen?
- Auskunft – Eine Person möchte wissen, welche personenbezogenen Daten von Ihr wie verarbeitet werden.
- Einschränkung – Eine Person möchte, dass ihre personenbezogenen Daten nicht durch jede/n (auch berechtigten Mitarbeitende/n) verarbeitet werden.
- Datenübertragbarkeit – Eine Person möchte, dass die über sie gespeicherten Daten an sie oder eine von ihr benannte Dritte als digitale Daten in einem maschinenlesbaren Format übertragen werden. (Als maschinenlesbar gelten digitale Daten immer dann, wenn diese inhaltlich über automatische Verfahren gelesen und weiterverarbeitet werden können.)
- Berichtigung – Eine Person geht davon aus, dass ihrem Unternehmen oder ihrer Organisation nicht die richtigen personenbezogenen Daten über sie vorliegen und bittet, diese zu berichtigen.
- Löschung – Eine Person möchte, dass durch ihr Unternehmen oder ihre Organisation verarbeitete personenbezogene Daten über sie gelöscht werden.
- Widerspruch – Eine Person widerspricht einer zukünftigen Verarbeitung ihrer personenbezogenen Daten, die ihr Unternehmen oder ihre Organisation auf Basis der oder des berechtigten/kirchlichen oder des berechtigten Interesses Dritter verarbeitet.
- Widerruf der Einwilligung – Eine Person möchte eine Ihrem Unternehmen oder Ihrer Organisation gegenüber erteilte Einwilligung widerrufen.
Alle Betroffenenanfragen müssen keine besondere Form haben und können beliebig durch die Person, die eine Anfrage stellt, kombiniert werden.
Wann muss eine Betroffenenanfrage beantwortet werden?
Die Frist, um eine betroffene Person zweifelsfrei zu identifizieren und die Betroffenenanfrage zu beantworten, beträgt in der Regel einen Monat. Diese Zeit klingt lang, es müssen jedoch je nach Art und Umfang verschiedene Maßnahmen durch Ihr Unternehmen umgesetzt werden. Daher ist es wichtig, dass Betroffenenanfragen zeitnah an die/den DatenschutzkoordinatorIn zur weiteren Bearbeitung übergeben werden.
Empfehlung:
Wenn Sie im Rahmen Ihrer beruflichen Tätigkeit eine der oben genannten Betroffenenanfragen erhalten, informieren Sie umgehend die/den DatenschutzkoordinatorIn Ihres Unternehmens oder Ihrer Organisation und teilen dieser Person alle Ihnen zur Verfügung stehenden Informationen zu der Betroffenenanfrage mit.
Sollte Ihnen für Ihr Unternehmen oder Ihre Organisation kein/e DatenschutzkoordinatorIn bekannt sein, teilen Sie Ihrer/m externen Datenschutzbeauftragten bzw. externen örtlich Beauftragten für den Datenschutz alle Ihnen zu der Betroffenenanfrage zur Verfügung stehenden Informationen mit.
Quellen: Es wurden keine externen Quellen für diesen Artikel verwendet.
2. Datenlöschung: Wann muss ich löschen?
Geschrieben von
Karol Kruczynski Datenschutz Consultant kk@avallon.de
Jede/r von uns hat im Datenschutz das Recht darauf vergessen zu werden. Das bedeutet, dass kein Datum zu unserer Person für immer von Unternehmen gespeichert werden darf. Doch woher weiß ich als Mitarbeitende/r eines Unternehmens, wie lange ich personenbezogene Daten, mit denen ich arbeite, aufbewahren bzw. speichern darf? Es unterstützt Sie hierbei die Datenschutzgrundverordnung, Spezialgesetze mit Aufbewahrungsfristen, die oder der Datenschutzbeauftragte und DatenschutzkoordinatorIn ihres Unternehmens sowie ggf. das Löschkonzept ihres Unternehmens.
Wie lange ein Datum gemäß Datenschutzrecht im Grundsatz gespeichert werden darf, ist nach dem Datenschutzgrundsatz der Speicherbegrenzung bestimmt. Eine Löschfrist wird entsprechend der Antworten zu folgenden Fragen festgelegt:
- Habe ich noch einen Zweck für die Speicherung/Aufbewahrung dieses Datums?
- Wofür brauche ich das Datum im Verhältnis zu der betroffenen Person?
- Wenn ich das Datum der Person gar nicht mehr benötige:
- Gibt es für das Datum gesetzliche Aufbewahrungspflichten, die eingehalten werden müssen?
- Die Aufbewahrungspflicht ist ebenfalls ein Zweck zur Speicherung/Aufbewahrung.
- Welche Länge haben die Fristen und wann beginnen diese?
- Sind Fristen erreicht oder noch gültig?
Werden alle Fragen negativ beantwortet, ist das Datum zu löschen. Das Recht auf Vergessenwerden der betroffenen Person ist dann zu erfüllen.
Ein Beispiel:
- Der Zweck für die Aufbewahrung eines KundInnen-Vertrags ist die Erfüllung dieses Vertrags z.B. für eine Dienstleistung, die gegenüber der Person erbracht wird.
- Ist die Dienstleistung erfolgt, so bedarf es für diesen Zweck auch nicht mehr der Aufbewahrung des Vertrags.
- ABER ACHTUNG:
Für Verträge jeglicher Art gilt gemäß § 257 Absatz 4 HGB eine Aufbewahrungspflicht von 6 Jahren. Diese beginnt mit dem Ende der Beziehung zu der betroffenen Person.
- Im Ergebnis ist der Vertrag 6 Jahre nach Erbringung der Leistung, also nach Ende der Beziehung zu der betroffenen Person, zu vernichten.
Empfehlung:
Seien Sie sich in ihrem Einsatzbereich bewusst, welche Löschfristen für die Daten, mit denen sie arbeiten, relevant sind. Hinterfragen Sie zunächst, wofür das Datum überhaupt gespeichert oder aufbewahrt wird. „Haben wir einen Zweck das Datum weiterhin zu behalten?“.
Gesetzliche Löschfristen zu bestimmen ist keine einfache Aufgabe und sollte stets mit der/m DatenschutzkoordinatorIn Ihres Unternehmens oder der/m Datenschutzbeauftragten kommuniziert werden. Bestenfalls besteht in Ihrem Unternehmen bereits ein Löschkonzept, welches Ihnen die notwendige Übersicht liefert.
Quellen: Es wurden keine externen Quellen für diesen Artikel verwendet.
3. AUA! Ich bin ein Datum und wurde verletzt.
Geschrieben von
Karol Kruczynski Datenschutz Consultant kk@avallon.de
Datenschutz bedeutet auch Daten vor Verletzung dieser zu schützen. Im Arbeitsalltag sind die Beschäftigten, die täglich mit diesen Daten arbeiten, diejenigen, denen eine solche Verletzung am schnellsten auffallen kann. Sie erfahren, was Sie über Verletzungen von Daten wissen müssen und wie Sie bei einer Verletzung handeln sollten.
Ganz wichtig: Eine Datenschutzverletzung ist nicht per se ungewöhnlich und bei richtigem Umgang in den meisten Fällen nichts Schlimmes. Schauen Sie nicht über Datenschutzverletzungen hinweg, sondern helfen Sie Ihrem Unternehmen einen besseren Schutz der Daten herzustellen.
Die Verletzung des Schutzes personenbezogener Daten ist nicht gleichgesetzt mit einer Absicht jemanden schaden zu wollen. Die meisten Datenschutzverletzungen passieren unbeabsichtigt. Unterläuft ihnen also ein Fehler mit personenbezogenen Daten, so gibt es keinen Grund diesen „unter den Teppich zu kehren“.
Eine Datenschutzverletzung liegt vor, wenn Daten unbeabsichtigt oder unrechtmäßig:
- vernichtet werden
- verloren gehen
- verändert werden
- gegenüber Unbefugten offengelegt werden bzw. Unbefugte Zugang zu Daten erhalten
Diese Fehler können bei jeglicher Verarbeitung von Daten geschehen, insbesondere bei Übermittlung oder Speicherung von Daten.
Die Pflicht:
Ihr Unternehmen ist dazu verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden an eine Datenschutzbehörde zu melden. Diese 72 Stunden beginnen mit dem Bekanntwerden der Verletzung. Bemerken Sie eine Datenschutzverletzung, so schaden sie damit nicht ihrem Unternehmen.
Im Gegenteil, Sie helfen dem Unternehmen, die Pflicht einer Meldung zu erfüllen. Zusätzlich hat Ihr Unternehmen eine Chance, die Verletzung von Daten zu beseitigen und für die Zukunft ähnliche Fälle durch geeignete Maßnahmen zu verhindern.
Empfehlung:
Bemerken Sie eine Datenschutzverletzung, so melden Sie diese an eine/n Vorgesetzte/n, die/den DatenschutzkoordinatorIn des Unternehmens oder direkt an die/den Datenschutzbeauftragte/n. Jegliche Verbesserung des Datenschutzes, die aus dem Bekanntwerden von Fehlern entsteht, schützt nicht nur die Daten der Personen, mit denen Ihr Unternehmen zusammenarbeitet, sondern auch Ihre eigenen als Beschäftigte des Unternehmens.
Quellen: Es wurden keine externen Quellen für diesen Artikel verwendet.
So, liebe Leserinnen und Leser, das waren unsere Informationen für heute. Bei Rückfragen oder Anregungen können Sie das Team der Avallon gerne kontaktieren. Wir sind per Mail an dsb @ avallon.de oder über unsere DSB-Serviceline unter 04941 9839071 für Sie da.
Wir wünschen Ihnen weiterhin eine schöne Woche!
Ihr Datenschutzbeauftragter Jörg Stockmann
Oldenburg, 08.04.2025