Wie reagiere ich richtig bei einer Anfrage im Rahmen der DSGVO?

Seit dem 25. Mai 2018 gilt nun die neue Datenschutzgrundverordnung der Europäischen Union. Vor allem Unternehmen und Vereinen treibt die Abkürzung DSGVO seit Monaten den kalten Schweiß auf die Stirn. Und vor allem Abmahnanwälte treiben bereits heute ihr Unwesen und verunsichern Betreiber von Webseiten, Onlineshops oder einfache Vereinsvorstände noch mehr. Oft wedeln diese Abmahner mit großen Strafsummen und versuchen mit Angst und gefährlichem Halbwissen Geld aus der aktuellen Unsicherheit zu schlagen. Hier wird es jedoch erst einige gerichtliche Entscheidungen brauchen, bis klar geregelt ist, ob ihr Verhalten überhaupt mit dem deutschen und europäischen Recht vertretbar ist. Eine ganz andere Preisklasse sind jedoch Betroffenenanfragen im Rahmen der DSGVO. Auf diese müssen Sie sofort reagieren. Aber wie geht das richtig?

Mitteilung, Datenlöschung und Nachweisbarkeit

Für alle Bürger in der EU besteht inzwischen das Recht, die Speicherung der eigenen personenbezogenen Daten zu hinterfragen und diese im Zweifel auch komplett und nachweisbar löschen zu lassen. Dies ist klar im Artikel 15 der DSGVO (Link: https://dsgvo-gesetz.de/art-15-dsgvo/) geregelt. Als Beispiel kann also heute ein Kunde eines Onlinehändlers jederzeit Auskunft über alle Daten verlangen, die dieser über diesen Kunden gespeichert hat. Das betrifft neben den allgemeinen Kontaktdaten auch den Bestellverlauf, mögliche Support-Tickets und vieles mehr.
All diese Informationen muss dieser Kunde vom Onlinehändler innerhalb von drei Tagen erhalten. Hier zählen jedoch reale Tage und keine Werktage, was in seiner generellen Konstruktion Anlass für viel Kritik bietet. So ist zum Beispiel unklar, wie eine Betroffenenanfrage verarbeitet werden soll, wenn diese das Unternehmen an einem Freitagnachmittag erreicht und der darauffolgende Montag ein Feiertag ist.

Nur Vorbereitung und klare Strukturen können helfen

Für Unternehmen, aber auch Vereine und Organisationen, gilt also, dass Anfragen schnell und effektiv bearbeitet und bedient werden müssen. Es muss klar sein, wer sich um die Zusammenstellung von Datensätzen kümmert und wie diese kontrolliert werden. Stellt sich hier erst nach der Betroffenenanfrage eine Frage nach generellen Kompetenzen oder Zuständigkeiten, ist die Chance groß, dass die Frist nicht eingehalten werden kann. Zwar bieten viele Systeme, darunter auch WordPress, inzwischen Funktionen, mit denen der Export aller gespeicherten Daten eines Accounts möglich ist, doch muss auch hier sauber nachgearbeitet werden. Gibt es E-Mails, die außerhalb des primären Systems existieren? Gibt es Notizen oder sonstige Unterlagen? Um alle Fragen zu klären braucht es eine hauptverantwortliche Stelle mit klaren Kompetenzen.

Datenlöschung – und dann?

Sollte ein Kunde oder Mandant eine komplette Datenlöschung beantragen, muss diese nachweisbar passieren. Dies muss auch so kommuniziert werden. Jedoch entstehen hier weitere Probleme, die ebenfalls noch nicht rechtlich sauber geregelt sind. Ein großer Punkt sind die Aufbewahrungspflichten bei Belegen und Rechnungen. Nach Artikel 132 Absatz 1 der Bundesabgabenordnung müssen diese Unterlagen mindestens sieben Jahre aufbewahrt werden. Manche Anwälte argumentieren, dass die Aufbewahrungspflicht höher wirkt als die DSGVO und dadurch ein Ablehnungsgrund für eine komplette Datenlöschung existiert. Andere Anwälte werten wiederum die DSGVO höher. Zudem: Wie informiert man einen Kunden über die Datenlöschung, wenn man verpflichtet ist, seine E-Mail-Adresse ebenfalls zu löschen?

Telefonische Bitte um Newsletter-Eintrag

Alle Vorgaben der DSGVO derzeit umzusetzen ist eine nahezu unmögliche Aufgabe. Dennoch können Sie mit Vorbereitung und klaren Strukturen grobe Fehler und Schnitzer verhindern. Ebenso wichtig ist es jedoch, Datenschutz als eine Aufgabe für alle Teile und Mitarbeiter eines Unternehmens zu verstehen. Es reicht nicht eine Stelle mit dem Thema zu beauftragen und ansonsten einfach weiterzumachen wie gewohnt. Einfach schon, da hier ein Einfallstor für Betrüger und Abzocker entstehen kann. So wurden inzwischen Fälle bekannt, bei denen vermeintliche Interessenten telefonisch um einen Eintrag in einen Newsletter baten und die Unternehmen im Anschluss abmahnten – Wegen des fehlenden und vorgeschrieben Double Opt-Ins. Hätten hier auch die beteiligten Stellen mitgedacht, wäre diese Masche nicht erfolgreich gewesen.
Die DSGVO ist eine große Herausforderung für Unternehmen und Vereine und sie kostet Zeit und Geld. Doch sie ist ein notwendiges Übel, welches vor allem für Endverbraucher auch viele Vorteile bereithält. Und wer sich vorbereitet und die Regeln kennt, hat nur wenig zu befürchten.