Da das Bewusstsein der Menschen und der Beschäftigten für den Datenschutz stetig zunimmt, sehen sich Unternehmen immer häufiger mit der Geltendmachung des Auskunftsrechts durch betroffene Personen konfrontiert. Häufiger handelt es sich dabei um Anträge von Kunden, ehemaligen Mitarbeitern oder erfolglosen Bewerbern als von den Beschäftigten selbst.
Ein Antrag betroffener Personen auf Ausübung der Auskunftsrechte gemäß der DSGVO ist schnell, vorhersehbar und rechtlich einwandfrei zu bearbeiten. In der Arbeitgeberpraxis wird am häufigsten das Auskunftsrecht gemäß Artikel 15, das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit bei ausgewählten Daten und das Widerspruchsrecht bei Verarbeitungen auf der Grundlage berechtigter Interessen geltend gemacht. Die Frist für die Antwort beträgt einen Monat ab Eingang des Antrags. Bei komplexen oder zahlreichen Anträgen kann die Frist um weitere zwei Monate verlängert werden. Eine Gebühr darf der Verantwortliche nur bei offensichtlich unbegründeten oder unangemessen häufig wiederholten Anträgen verlangen.
Der Prozess der Bearbeitung eines Antrags betroffener Personen beginnt mit dessen Eingang und Erfassung unter Angabe des Datums, der Identität des Antragstellers, der Art des Rechts und der Frist. Es sollte eine Überprüfung der Identität erfolgen, um einen unbefugten Zugriff zu vermeiden. Ist der Antrag unklar, ist es erforderlich, die betroffene Person um Präzisierung zu ersuchen, wobei die Rechte der betroffenen Person objektiv nicht eingeschränkt werden dürfen.
Nach der Bestätigung des Antragseingangs ist es erforderlich, ein vorläufiges Löschmoratorium für die personenbezogenen Daten der betroffenen Person sicherzustellen. Im Wesentlichen sollte es zu einer Art „Einfrieren“ des Zustands der personenbezogenen Daten kommen. Relevante Daten müssen in HR-Systemen, in Lohn- und Zeiterfassungssystemen, in Dokumentenmanagementsystemen, in E-Mails und Chat-Tools, in Bewerbungs- und Zugriffsprotokollen sowie in Aufzeichnungen von Kamerasystemen aufbewahrt werden. Der Datenschutzbeauftragte (DSB) fasst alle Datenquellen zusammen und identifiziert auch externe Auftragsverarbeiter wie Lohnbuchhaltungen, einschlägige Portale oder beispielsweise Anbieter des arbeitsmedizinischen Dienstes.
Fordert die betroffene Person Informationen über die Verarbeitung sämtlicher personenbezogener Daten, deren Kopie und beispielsweise den Zweck der Verarbeitung, muss der Verantwortliche die anschließende Sammlung und Replikation der Daten durchführen. Der Verantwortliche sammelt personenbezogene Daten aus den Systemen, alle einschlägigen Dokumente und die Kommunikation, wobei jedoch Informationen auszuschließen sind, die keine personenbezogenen Daten der betroffenen Person darstellen. Daten Dritter dürfen nur in dem Umfang bereitgestellt werden, der nicht in deren Rechte und Freiheiten eingreift. Am besten ist es, eine angemessene Anonymisierung oder Schwärzung zu verwenden.
Die Auskunft an die betroffene Person enthält Kopien der personenbezogenen Daten und die Zwecke der Verarbeitung sowie die Kategorien der Daten, die Kategorien der Empfänger, die Datenquellen, die Aufbewahrungsfristen und eine Belehrung über die Rechte und Beschwerdemöglichkeiten. Das Ausgabeformat muss übersichtlich und angemessen sein. In der Praxis handelt es sich um eine Kombination von PDF-Dateien und bei der Datenübertragbarkeit um maschinenlesbare Formate. Die Zustellung sollte eindeutig nicht über normale E-Mail-Kommunikation, sondern idealerweise über einen verschlüsselten Link mit zeitlicher Gültigkeit erfolgen.
Einigen Anträgen muss nicht in vollem Umfang nachkommen werden. Ist ein Antrag offensichtlich unbegründet oder unangemessen, kann der Verantwortliche eine angemessene Gebühr verlangen oder den Umfang einschränken. Seine Gründe muss er jedoch verständlich erläutern. Der Verantwortliche sollte über grundlegende Dokumente und Verfahren zur Bearbeitung solcher Anträge verfügen. Am häufigsten handelt es sich um Verfahren für die Bearbeitung von Anträgen mit klarer Zuständigkeit und Fristen, eine aktuelle Datenlandkarte der Systeme des Verantwortlichen und der Auftragsverarbeiter, ein Verfahren für das vorläufige Löschmoratorium und einen Aufbewahrungsplan mit Bezug zu steuerlichen und arbeitsrechtlichen Pflichten. Bei der Überwachung von Beschäftigten, bei der Arbeitszeiterfassung und bei Kamerasystemen ist es wichtig, über interne Vorschriften und Abwägungen berechtigter Interessen zu verfügen und Transparenz gegenüber den Beschäftigten zu gewährleisten.
Es ist sich bewusst zu machen, dass die Nichtbearbeitung und Nichterfüllung eines Antrags betroffener Personen einen Verstoß gegen die aus der DSGVO resultierenden Pflichten darstellt. Ein solcher Verstoß ist seitens der Datenschutzaufsichtsbehörde leicht nachweisbar und sanktionierbar. Daher ist darauf zu achten, dass jedes Unternehmen als Verantwortlicher über eingeführte und aktualisierte Standardarbeitsanweisungen verfügt und in den in der DSGVO festgelegten Fristen reagieren und Anträge betroffener Personen bearbeiten kann.
Kinstellar ist eine der führenden europäischen Wirtschaftskanzleien mit mehr als 500 Professionals in Deutschland, Europa und den USA. Mit Lösungen für komplexe und anspruchsvolle rechtliche Fragestellungen schaffen wir einen echten Mehrwert für unsere Mandanten. Das Besondere an Kinstellar ist die Verbindung einer breiten fachlichen Exzellenz mit innovativem Denken, internationaler Erfahrung und Industrieexpertise. Auf unseren Rat vertrauen börsennotierte und multinationale Konzerne, große und mittelständische Familienunternehmen ebenso wie Finanzinstitute und internationale Investoren.
Im Austausch mit unseren Mandanten entwickeln wir die passenden Antworten auf alle Fragen des Wirtschaftsrechts einschließlich Gesellschaftsrecht, Mergers & Acquisitions, Wettbewerbs- und Kartellrecht, Bank- und Kapitalmarktrecht, Unternehmensfinanzierung, IP, IT-Recht, Telekommunikationsrecht, Vertriebsrecht, Immobilienrecht, Arbeitsrecht, Insolvenzrecht, Umweltrecht und Prozessvertretung. Darüber hinaus bietet das Team in Bratislava umfassende Unterstützung bei der Strukturierung und Finanzierung von Investitionsvorhaben.
