Betroffenen­rechte nach DSGVO richtig umsetzen

Praxisratgeber

Logo Datenschutz im Ehrenamt

Transparenz schaffen für Betroffene und die Verarbeitung ihrer Daten

Ein wichtiger Grundsatz der Datenschutz-Grundverordnung ist die Transparenz: Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Daher ist es erforderlich, dass die betroffene Person über die Datenverarbeitung und deren Zwecke unterrichtet wird (Informationspflicht des Vereins).

Diese Informationspflicht eines Verantwortlichen (z.B. eines Vereins) gehört zu den Betroffenenrechten der DSGVO, die in Art. 12 ff. DSGVO geregelt sind. Daneben gibt es weitere Betroffenenrechte, wie beispielsweise das Auskunftsrecht.

Wichtige Betroffenenrechte im Überblick

Art. 12 ff. DSGVO

Betroffene können ihre Rechte gegenüber dem Verein geltend machen.

Beispielsweise hat die betroffene Person das Recht, Auskunft darüber zu verlangen, ob und welche sie betreffende personenbezogenen Daten verarbeitet werden. Der Verein muss eine Kopie der personenbezogenen Daten zur Verfügung stellen.

  • Recht auf Information

  • Recht auf Auskunft

  • Recht auf Berichtigung

  • Recht auf Löschung

  • Recht auf Datenübertragbarkeit

  • Widerspruchsrecht

Allgemeine Grundsätze zu den Betroffenenrechten

1. Die Form der Mitteilung und Identitätsprüfung

Art. 12 Abs. 1 DSGVO

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Informationen zu Betroffenenrechten müssen präzise und verständlich erfolgen

Absatz 1 des Artikels bezieht sich auf die Form der Mitteilung. Jegliche Informationen und Mitteilungen an die Betroffenen im Rahmen der Erfüllung der Betroffenenrechte müssen inhaltlich präzise und verständlich erfolgen:

Ein Vereinsmitglied muss über die Datenverarbeitung und deren Zwecke informiert werden. Dies muss bei Datenerhebung erfolgen (also regelmäßig im Mitgliedsantrag) und die Informationen müssen vor allem leicht zugänglich sein:

  • Bei einem elektronischen Antragsformular auf Vereinsmitgliedschaft sollte die Information ebenfalls elektronisch erfolgen und es empfiehlt sich ein Link im Formular.
  • Bei einer schriftlichen Beitrittserklärung sollten die Informationen über die Datenverarbeitung ebenso in schriftlicher Form beigefügt sein.
  • Bei einer (ausnahmsweise) mündlichen Datenerhebung sollten die Informationen dennoch schriftlich ausgehändigt werden. Wichtig ist, dass der Verein dokumentieren kann, dass er seine Informationspflichten erfüllt hat.

Auskunftsanfragen von Betroffenen

Ist die betroffene Person bereits Mitglied im Verein und verlangt nun Auskunft darüber, welche Daten verarbeitet werden, muss grundsätzlich beachtet werden, dass vor einer Mitteilung an die Betroffenen die Identität des Betroffenen geprüft werden muss. Betroffene können den Weg der Anfrage (E-Mail, Brief, Anruf, Persönlich) zunächst selbst wählen, ebenso die Form der Auskunftserteilung. Stellt die betroffene Person ihren Antrag elektronisch, kann die Auskunft per pdf-Dokument erfolgen.

Zu beachten ist, dass auch Nicht-Mitglieder eine Auskunft vom Verein darüber verlangen können, ob personenbezogene über ihre Person verarbeitet werden. Ist dies nicht der Fall, muss eine so genannte Negativauskunft erfolgen (mehr hier).

Eine Musterantwort auf ein Auskunftsersuchen ist abrufbar unter:
https://www.lda.bayern.de/media/muster/muster_auskunftserteilung.docx

Wie erfolgt eine Identitätsprüfung?

Grundsätzlich gilt, dass bei einer postalischen Anfrage oder bei einer nicht signierten E-Mail nicht sicher festgestellt werden kann, ob es sich tatsächlich um die betroffene Person handelt. Daher kann eine Identitätsprüfung erforderlich sein, wenn begründete Zweifel an der Identität bestehen. Dies wird für Vereine mit persönlichem Austausch – und wenn insbesondere Anschrift und E-Mail-Adresse der Betroffenen dem Verein bereits bekannt sind – eine untergeordnete Rolle spielen. Dennoch kann im Einzelfall eine Identitätsprüfung erforderlich sein (z.B. wenn eine unbekannte Person ein Auskunftsersuchen dahingehend stellt, ob der Verein sie betreffende Daten verarbeitet).

Für eine notwendige Identitätsfeststellung können Referenzwerte von den Betroffenen abgefragt werden z.B. Geburtsdatum, Anschrift, Telefonnummer (wenn vorhanden). Die Identitätsfeststellung sollte sehr gewissenhaft durchgeführt werden. Prüft mehrere Referenzwerte und dokumentiert jede Betroffenenanfrage und das Vorgehen. Eine Identitätsprüfung anhand von Ausweisdokumenten ist ebenfalls zulässig, solange keine Kopie angefertigt wird. Das Anfordern von Ausweiskopien von den betroffenen Personen ist grundsätzlich nur in begrenzten Ausnahmefällen zulässig (PAuswG). So kann das persönliche Vorzeigen des Personalausweises ausreichend sein. Ist dennoch das Anfordern einer Ausweiskopie erforderlich, muss der Verein die betroffene Person darauf hinweisen, dass Angaben, die nicht für die Identitätsfeststellung notwendig sind, geschwärzt werden können (z.B. Foto, Augenfarbe, Größe, Serien- und Zugangsnummer des Ausweises).

2. Fristen der Mitteilung

Art. 12 Abs. 3 DSGVO

Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

Absatz 3 des Artikels beschäftigt sich mit dem Zeitfenster der Mitteilung. Jede Mitteilung im Rahmen der Betroffenenrechte (z.B. Auskunftsanfrage, Löschantrag, Widerspruch) muss unverzüglich erfolgen, spätestens innerhalb eines Monats. Kann der Verein nicht innerhalb dieser Monatsfrist reagieren, kann diese Frist um zwei Monate verlängert werden. Dann muss der Betroffene aber innerhalb des ersten Monats darüber unter Angabe der Gründe in Kenntnis gesetzt werden, dass sich die Bearbeitung verzögert. Ein Zwischenbescheid ist dann unabdingbar.

Ausstellen eines Negativbescheids

Kann der Verein die Anfrage nicht bearbeiten, weil beispielsweise keine Daten der anfragenden Person gespeichert werden oder die Betroffenen keinen Anspruch darauf haben, ist ein sogenannter Negativbescheid auszustellen. Ein Negativbescheid muss ebenfalls innerhalb der Frist von einem Monat erfolgen und den Grund der Ablehnung enthalten.

Hinweis
Negativbescheid ist ein Bescheid, der den Betroffenen eröffnet, das ein Antrag negativ entschieden wurde (ablehnender Bescheid).

3. Ausnahmen

Art. 12 Abs. 5 DSGVO

Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

  1. ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
  2. sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Grundsätzlich haben Informationen und Mitteilungen unentgeltlich zu erfolgen. Der Verein kann jedoch bei sich häufenden Anträgen einer einzelnen Person oder auch offensichtlich unbegründete Anfragen ablehnen oder ein Entgelt für die Bearbeitung verlangen. Wie häufig Anfragen zulässig sind, ist davon abhängig, wie häufig die Daten im Verein aktualisiert oder ergänzt werden. Grundsätzlich sind ein bis zwei Anträge pro Jahr als verhältnismäßig anzuerkennen.

4. Zu ergreifende Schritte

Zunächst ist es wichtig, dass alle Beschäftigten oder ehrenamtlich mitwirkenden Personen im Verein die Rechte der Betroffenen kennen und achtsam gegenüber derartigen Anträgen sind. Es ist nicht ungewöhnlich, dass Betroffenenanfragen im Rahmen der DSGVO, aufgrund von Unwissenheit, einfach gelöscht werden oder unbeantwortet bleiben. Die Folgen könnten Beschwerden bei der Aufsichtsbehörde, Bußgelder oder Schadenersatzansprüche sein.

Die zu ergreifenden Schritte sind prinzipiell abhängig von der Art des Antrags und des betroffenen Rechtes. Das Vorgehen sollte aufgrund der Rechenschaftspflicht nachweisbar dokumentiert werden.

Autorin: Jacqueline Vogel

…oder in verwandten Einträgen

Prev
Next