Um Datenschutzverstöße zu verhindern, ist es wichtig Betroffenenanfragen zu erkennen und die Anfragen innerhalb von einem Monat nach Eingang zu beantworten. Die Datenschutzaufsichtsbehörden haben sich mit den Voraussetzungen bei Identifizierung und Eingang von Betroffenenanfragen in ihren Jahresberichten ausführlich beschäftigt. Wir wollen mit einigen Beispielen darauf eingehen, was bei Identifizierung und Empfang von Betroffenenrechten zu beachten ist.

Eingang von Anfragen unter einer no-reply@…-Adresse

Betroffene dürfen von einem Verantwortlichen Anliegen nicht auf einen bestimmten Kommunikationskanal verwiesen werden: „Verantwortliche haben durch TOMs sicherzustellen, dass alle Datenschutzfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“ (BerlBfDI, 42. Jahresbericht 2020, S. 164 ff.) Das heißt, dass auch Betroffenenanfragen, welche nicht über einen dafür vorgesehenen Kanal eingehen, beantwortet werden müssen (z. Bsp. bei einer E-Mail an eine. no-reply@…-Adresse).

Praktisch bedeutet dies, dass TOMs zur Weiterleitung und Erkennung von Anfragen zu treffen sind. Insbesondere die Mitarbeiter sind also in der Pflicht Betroffenenanfragen zu erkennen und weiterzuleiten. Dies kann durch besondere Sensibilisierung mit Datenschutzschulungen erreicht werden.

Hintergrund ist, dass den Betroffenen die Ausübung ihrer Betroffenenrechte zu erleichtern ist (Vgl. auch Art. 12 Abs. 1 DSGVO: „Der Verantwortliche erleichtern der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22.“).

So sollen beispielsweise auch Betroffenenanfragen, die vom Mail-Server als SPAM erkannt werden, als zugegangen gelten, was eine Pflicht zur Beantwortung auslöst (BerlBfDI, 41. Jahresbericht 2019, S. 139 ff.). Verantwortliche können sich beim Unterlassen der Beantwortung also nicht darauf berufen, dass eine Anfrage im SPAM-Ordner gelandet ist.

Identifizierung

Grundsätzlich ist es so, dass Verantwortliche bei begründeten Zweifeln an der Identität des Betroffenen zusätzliche Informationen zur Bestätigung der Identität anfordern dürfen (Art. 12 Abs. 6 DSGVO). Auch hier soll den Betroffenen die Ausübung ihrer Rechte möglichst einfach gemacht werden. „Solange keine gegenteiligen Hinweise vorliegen oder ein besonderes Risiko besteht -etwa bei besonders vertraulichen Daten oder gefährdeten Personen-   ist davon auszugehen, dass eine angeforderte Selbstauskunft an die im Datensatz gespeicherte Anschrift gesendet werden kann, ohne dass ein zusätzlicher Nachweis der Identität erforderlich ist.“ (BerlBfDI, 42. Jahresbericht 2020, S. 167 ff.) Praktisch bedeutet dies, dass ein Nachweis der Identität nur angefordert wird, wenn es begründete Zweifel an der Identität gibt, ansonsten sollte eine Auskunft an die gespeicherte Adresse postalisch versandt werden.

Umfang und Form des Auskunftsrechts

Auskünfte können in Fällen verweigert werden, in denen die Person eindeutig nicht die Absicht hat, ihr Recht auf Auskunft geltend zu machen oder wenn die Anfrage in der Absicht gestellt wird, den Verantwortlichen zu stören. Ob eine dieser Voraussetzungen vorliegt, sollte immer im Einzelfall geprüft werden. Im Zweifel ist die Auskunft eher zu erteilen als zu verweigern.

Ebenso ist es bei aggressiven oder beleidigenden Ausdrücken. Drückt sich ein Betroffener auf diese Art und Weise aus, muss dies nicht direkt heißen, dass die Anfrage unbegründet ist.

Letztlich lässt sich an diesen Fällen erkennen, dass der Umgang mit Betroffenenrechten nicht immer ganz einfach ist. Bestenfalls sollten die Mitarbeiter darüber informiert sein, wie mit Betroffenenanfragen umzugehen ist. Schließlich sollte immer im Einzelfall in Zusammenarbeit mit dem Datenschutzbeauftragten entschieden werden, ob und wie eine Betroffenenanfrage zu beantworten ist.