Sie befinden sich hier:

Konzept zur Gewährleistung der Betroffenenrechte

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet die Verantwortlichen dazu, die betroffenen Personen bei der Ausübung ihrer Rechte zu unterstützen und sie darüber aufzuklären. Zur Umsetzung dieser Verpflichtung sollte jede Institution über ein entsprechendes Konzept verfügen.

Die Nutzung der Betroffenenrechte verursacht natürlich einen (unter Umständen erheblichen) Verwaltungsaufwand. Die entsprechenden Anträge müssen bearbeitet werden. Soweit die Voraussetzungen erfüllt sind, müssen Auskünfte erteilt, personenbezogene Daten berichtigt oder gelöscht werden. Dafür sind die erforderlichen personellen und sachlichen Mittel bereitzustellen.

Außerdem muss innerhalb des Unternehmens bzw. der Behörde (z. B. im Rahmen einer Dienstanweisung) festgelegt werden, wie zu reagieren ist, falls ein Betroffener von seinen Rechten Gebrauch macht. So sollte bezüglich der Verantwortlichkeiten ein fester Kreis von Personen (einschließlich etwaiger Vertretungen) definiert werden, der unter Beteiligung des Datenschutzbeauftragten für die Umsetzung der datenschutzrechtlichen Anforderungen zur Gewährleistung der Betroffenenrechte zuständig ist. Allen anderen Beschäftigten muss bekannt sein, dass ihnen gegenüber geltend gemachte Betroffenenrechte unverzüglich an die zuständigen Mitarbeiter weiterzuleiten sind.

Sind mehrere Stellen gemeinsam für eine Datenverarbeitung verantwortlich oder verarbeitet eine Stelle im Auftrag einer anderen personenbezogene Daten, dürfen betroffene Personen auch nicht einfach an die andere Stelle verwiesen werden. In diesen Konstellationen muss die Stelle, bei der das Betroffenenrecht zunächst geltend gemacht worden ist, das Gesuch umgehend an die Stelle weiterleiten, die über die Erfüllung des Betroffenenrechts entscheiden kann.

Es ist somit ein Konzept zu entwickeln, in dem insbesondere festzulegen ist,

  • wer für die Entgegennahme und Behandlung des Betroffenenbegehrens zuständig ist und wer dabei gegebenenfalls einzubinden ist (z. B. der Sachbearbeiter und/oder der Datenschutzbeauftragte),
  • dass die gesetzlichen Vorgaben gewährleistet sein müssen (z. B. Überprüfung der Identität des Betroffenen, Überprüfung ob ein Versagungsgrund vorliegt),
  • dass jedes Begehren dokumentiert wird,
  • innerhalb welchen Zeitraums (unverzüglich, in jedem Fall aber innerhalb eines Monats) und auf welchem Wege (schriftlich, per E-Mail, mündliche) nachweislich dem Betroffenen geantwortet wird (eventuell muss bezüglich des Auskunftsmediums die Einwilligung des Betroffenen eingeholt werden),
  • welche inhaltliche Gestaltung zu beachten ist, damit die Beantwortung in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen kenn, die auch von Kindern verstanden wird,
  • wie dabei die Vertraulichkeit gewährleistet werden kann,
  • in welchen Fällen vorgefertigte standardisierte Texte oder Textbausteine verwendet werden können und
  • in welchen Fällen dem Betroffenen Kosten entstehen (Ausnahmen von der grundsätzlich unentgeltlichen Informationserteilung).

Natürlich müssen diese Festlegungen der Verantwortlichkeiten auch entsprechend dokumentiert werden, um den Rechenschaftspflichten zu genügen. Verantwortlich für die Gewährleistung der Betroffenenrechte bleibt der Verantwortliche, er kann lediglich die Aufgaben delegieren.

Das Verfahren zur Behandlung von Betroffenenbegehren ist regelmäßig zu überprüfen und den veränderten Gegebenheiten anzupassen. Aufgedeckte Mängel sind unverzüglich zu beheben.

nach oben