6 Herausforderungen der DSGVO können für manche Unternehmen durchaus belastend sein, vor allem dann, wenn beispielsweise der Überblick über die Verarbeitung personenbezogener Daten fehlt. Hier kann der Verwaltungsaufwand hoch sein, wenn Betroffene von ihren Rechten nach Artikel 15 bis 21 DSGVO Gebrauch machen. Ganz zu schweigen vom hohen Risiko, das sich daraus für das Unternehmen ergibt.
Enorm vielen Unternehmen und Organisationen fehlt der Überblick, wo überall personenbezogene Daten gespeichert und verarbeitet werden,
Es gibt stillgelegte Server, Backup-Medien, ausgebaute Festplatten, die immer noch auf ihre Zerstörung warten und zwischenzeitlich vergessen wurden, von Tapes, CDs, DVDs, USB Sticks ganz zu schweigen, wie auch von Notebooks, Laptops, Tablets, Mobiltelefonen u.v.a.m.
So gut wie kein Unternehmen ist in der Lage, zuverlässig und automatisiert, vor allem vollständig personenbezogene Daten zu identifizieren, um bei einer Anfrage nach Artikel 15 DSGVO verlässlich, umfänglich und gesichert Auskunft geben zu können.
Wer nicht weiß, wo personenbezogene Daten gespeichert sind, ob es dazu einen vollständigen Überblick gibt etc. wird auch Probleme damit haben, umfänglich Auskünfte nach Artikel 15 DSGVO zu leisten:
Ebenso werden Berichtigungen nach Artikel 16 DSGVO und auch Löschungen nach Artikel 17 DSGVO zur Herausforderung.
Man könnte sagen, dass bezüglich personenbezogener Daten in Unternehmen sehr häufig „Chaos” herrscht, zumindest Schlamperei.
Von Unternehmen hört man dazu häufig: ‚Wenn wir das schon nicht wissen, dann weiß es außerhalb des Unternehmens erst recht niemand.’ Das trifft auch zu. Verlangt jemand nach Artikel 15 Auskunft, so werden im „Casablanca-Stil” die üblichen verdächtigen Programme und Speichermedien durchsucht und das war es dann vielfach auch schon.
Betroffene müssen daher – mehr oder weniger blind – darauf vertrauen, dass Verantwortliche (also Unternehmen, Organisationen etc.) ordentlich und gesetzeskonform handeln. Letztlich können Betroffene keinesfalls mit Sicherheit davon ausgehen, dass die Auskunft vollständig oder richtig ist. Da kam es schon vor, dass Unternehmen mitteilten, es würden keine personenbezogene Daten einer betreffenden Person verarbeitet, die dann aber just von diesem Unternehmen Werbung zugeschickt bekommt.
Betroffene haben letztlich keine Möglichkeiten, zu überprüfen oder überprüfen zu lassen, ob in den Tiefen der IT oder in Archivschränken über die gegebene Auskunft hinaus nicht doch noch personenbezogene Daten vorhanden sind, die das Unternehmen nicht mitgeteilt hat. Denn auf ein bloßes Bauchgefühl hin, wird die Datenschutzbehörde das Unternehmen nicht nach Artikel 58 DSGVO untersuchen.
In kleinen Unternehmen wird es wirtschaftlicher sein, Recherche und Analyse manuell durchzuführen, d.h. beispielsweise Programmdatenbanken und Speichermedien zu durchsuchen, um so personenbezogene Daten zu identifizieren. Aber auch hier braucht es einen klaren Überblick über die IT Landschaft mit allen Serverstandorten, Servern, Workstations, Endgeräten etc. pp. Am ehesten können hier bekannte Technisch-Organisatorische Maßnahmen helfen. Unternehmen sind gut beraten, wenn sie zum Verfahrensverzeichnis sogenannte TOM festhalten.
Für Unternehmen, in welchen viele personenbezogene Daten verarbeitet werden oder die über eine komplexe IT und Programmlandschaft verfügen, empfehlen sich Softwarelösungen, die gewisse Routinen automatisiert durchführen.
Die Verwendung selbstlernender Algorithmen erlaubt einen deutlich über herkömmliches DSGVO Assessment hinausgehenden Leistungsumfang, was insbesondere den kritischen Kern in Datenschutzfragen anbelangt. Dieser betrifft das Wissen, an welchen Standorten, in welcher Infrastruktur, auf welchen Speichermedien und Speicherorten, über welche Applikationen und Prozesse personenbezogene Daten gespeichert und verarbeitet werden. Das ist die Grundlage jeder DSGVO Compliance. Je solider diese Grundlage, desto lückenloser kann die DSGVO Compliance sein und desto geringer ist das entsprechende Haftungsrisiko.
Wem der seriöse, faire und gesetzeskonforme Umgang mit personenbezogenen Daten von Kunden ein Anliegen ist, der wird die EU Datenschutz-Grundverordnung begrüßen. Denn das erklärte Ziel der DSGVO ist es, Missbrauch personenbezogener Daten zu verhindern und wo das nicht gelingt mit deutlichen Strafen zu sanktionieren. Damit können Schwarze Schafe nicht weiterhin ungeniert Wettbewerbsvorteile erzielen oder gar mit fragwürdigen Geschäftsmodellen erfolgreich wirtschaften. So ist auch verständlich, warum die DSGVO nicht ungeteilte Zustimmung findet.
Einen Wettbewerbsvorteil erzielen mittel- und langfristig jene Verantwortliche, also Unternehmen, Organisationen etc., die gesetzeskonform mit personenbezogenen Daten umgehen und die in der Lage sind, dies auch glaubhaft Kunden und Interessenten zu vermitteln. Damit ist DSGVO konforme Verarbeitung personenbezogener Daten ein wesentliches Element einer erfolgreichen Leadgenerierung und eines erfolgreichen Kundenbindungsmanagements.
Schon eine einzige Auskunftsanfrage nach Artikel 15 DSGVO kann in einem Unternehmen durchaus gehörigen Aufwand verursachen, vor allem dann, wenn im Unternehmen der Überblick fehlt, wo überall personenbezogene Daten gespeichert und verarbeitet werden oder wenn entsprechende Tools fehlen, die Unternehmen im Datenschutzmanagement unterstützen.
Macht jemand von seinen Betroffenenrechten nach Artikel 15 bis 21 Gebrauch, ist der Verantwortliche verpflichtet, personenbezogene Daten des Betroffenen in seinem Verantwortungsbereich zu identifizieren.
Diese Prüfung kann der Verantwortliche nicht von einem zuvor vorgelegten Identitätsnachweis abhängig machen. Viele Unternehmen ziehen die – zumindest in Österreich nach DSG2000 – übliche Praxis fort, sich mit einer Anfrage erst dann zu beschäftigen, nachdem der Identitätsnachweis geliefert wurde. Diese Praxis ist nicht DSGVO konform. Der Verantwortlich kann aber unter Verweis auf ErwG 63 und entsprechende Umstände die Mitwirkungspflicht des Betroffenen bei der Identifizierung der Daten verlangen. Zu berücksichtigen ist in diesem Zusammenhang auch ErwG 57.
Bevor Informationen, die im Zusammenhang der Identifizierung personenbezogener Daten eines Betroffenen ermittelt wurden, als Auskunft an einen Betroffenen übermittelt werden, ist es erforderlich, dass der Verantwortliche sich dessen Identität vergewissert. Immerhin sollen personenbezogene Daten nicht durch Vortäuschung in falsche Hände geraten, Berichtigungen durchgeführt, die Verarbeitung eingeschränkt, ein Widerspruch berücksichtigt oder gar Löschungen vorgenommen werden, sofern der Verantwortliche nicht sicher ist, ob der Betroffene auch tatsächlich der ist, als der er sich ausgibt.
Bevor von Betroffenen ein Identitätsnachweis gefordert werden kann, müssen nach Artikel 12 Abs. 6 begründete Zweifel an seiner Identität bestehen. Ist ein Betroffener beispielsweise Kunde eines Unternehmens und liegen entsprechende Kontaktdaten vor, ist von dessen Identität auszugehen, sofern einer der gesicherten Kommunikationskanäle genutzt wird, wie beispielsweise eine signierte E-Mail.
Vorsicht ist allerdings immer dann geboten, wenn Auskünfte (fern-)mündlich übermittelt werden sollen oder andere Betroffenenrechte (fern-)mündlich geltend gemacht werden. Davon ist abzuraten, auch wenn bestimmte Verfahren, wie das Video-Identverfahren über sichere Kanäle als Identitätsnachweis gelten könnte. Der Aufwand, auch der der Dokumentation ist in der Regel unverhältnismäßig.
Unzulässig ist es, quasi als Bestandteil der Geltendmachung von Betroffenenrechten einen Identitätsnachweis, z.B. in Form einer Ausweiskopie zu verlangen. Das ist erst dann zulässig, wenn begründete Zweifel nach Artikel 12 Abs. 6 DSGVO bestehen und anders die Identität nicht bestätigt werden könnte. Es gilt das Prinzip der Datenminimierung aus Artikel 5 DSGVO.
Der Aufwand für die Identitätsfeststellung und ggf. die Anforderung und Abwicklung von Identitätsnachweisen ist bei Einzelfällen vertretbar. Was darüber hinaus geht bindet Ressourcen und verursacht Kosten in Form von entsprechend hohem Verwaltungsaufwand. Da laut DSGVO Betroffenen bei der Geltendmachung ihrer Rechte nach Artikel 12 Abs. 5 keine Kosten entstehen dürfen, bleiben diese beim Unternehmen. (Ausnahme: Sollten wiederholt Kopien angefordert werden, so kann nach Artikel 15 Abs. 3 DSGVO ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangt werden.)
Ein abschließender Hinweis. Hat ein Verantwortlicher die Verarbeitung personenbezogener Daten eines Betroffenen eingestellt, so ist er nach Artikel 11 DSGVO nicht verpflichtet Informationen dazu für den Fall von Auskunftsanfragen bereitzuhalten. Ein Verantwortlicher muss nach Artikel 15 bis 21 dann keine Auskunft geben, sofern er nicht in der Lage ist, die personenbezogene Daten eines Betroffenen zu identifizieren, d.h. wenn für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich [ist].
Der Verantwortliche ist allerdings gehalten, Betroffene darüber zu unterrichten.