Wie mit Aus­kunfts­ver­lan­gen gem. Art. 15 DSGVO umge­gan­gen wer­den sollte

Mit Ein­füh­rung der Daten­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) wur­de mit Art. 15 das „Aus­kunfts­recht für betrof­fe­ne Per­so­nen“ fest­ge­legt und erwei­tert. Der Aus­kunfts­an­spruch ist nicht neu: Schon im alten Bun­des­da­ten­schutz­ge­setz (BDSG) war in § 34 ein ähn­li­cher Anspruch ver­an­kert, wenn auch nicht in dem Umfang, wie ihn jetzt die DSGVO der betrof­fe­nen Per­son zuspricht.

Das Aus­kunfts­ver­lan­gen, also die Gel­tend­ma­chung eines Aus­kunfts­an­spruchs wegen der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, ist eines der The­men, mit denen sich die deut­schen Gerich­te seit Ein­füh­rung der DSGVO am häu­figs­ten beschäf­ti­gen müssen.

Grund für eine Kla­ge sind zumeist (ver­meint­lich) unvoll­stän­di­ge oder nicht frist­ge­recht erteil­te Aus­künf­te. Anhand der bis­he­ri­gen Recht­spre­chung zeigt sich, dass der Aus­kunfts­an­spruch sehr weit geht und bspw. auch Infor­ma­tio­nen in Gesprächs­no­ti­zen, die sich auf die betrof­fe­ne Per­son bezie­hen, zu beaus­kunf­ten sind.

Bei einer ver­spä­tet oder gar nicht erteil­ten Aus­kunft spre­chen die Gerich­te den betrof­fe­nen Per­so­nen immer häu­fi­ger Scha­dens­er­satz gemäß Art. 82 Abs. 1 DSGVO zu. So hat z. B. das BAG mit Urteil vom 05.05.2022 (Az.: 2 AZR 363/21) einer Klä­ge­rin wegen ver­spä­te­ter Aus­kunft (hier: sechs Mona­te) imma­te­ri­el­len Scha­dens­er­satz in Höhe von 1.000,00 Euro zuge­spro­chen. Das OLG Köln hielt in sei­nem Urteil vom 14.07.2022 (Az.: 15 U 137/21) einen imma­te­ri­el­len Scha­dens­er­satz in Höhe von 500,00 Euro auf­grund einer ver­spä­tet erteil­ten Aus­kunft für angemessen.

Auf­grund der stei­gen­den Rele­vanz des Aus­kunfts­ver­lan­gens, befasst sich der nach­fol­gen­de Bei­trag mit dem Vor­ge­hen bei einem Aus­kunfts­ver­lan­gen und den Pflicht­an­ga­ben gemäß Art. 15 Abs. 1 DSGVO und gibt zudem prak­ti­sche Hin­wei­se, wie der Auf­wand bei einem Aus­kunfts­ver­lan­gen redu­ziert wer­den kann.

1. Wo ist das Recht auf Aus­kunft geregelt?

Der Aus­kunfts­an­spruch ist in Art. 15 Abs. 1 DSGVO geregelt:

Die betrof­fe­ne Per­son hat das Recht, von dem Ver­ant­wort­li­chen eine Bestä­ti­gung dar­über zu ver­lan­gen, ob betref­fen­de per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den; ist dies der Fall, so hat sie ein Recht auf Aus­kunft über die­se per­so­nen­be­zo­ge­nen Daten und auf fol­gen­de Informationen: […]

Der Aus­kunfts­an­spruch erfüllt zwei Hauptaufgaben:

  • Hat ein Ver­ant­wort­li­cher sei­ne Infor­ma­ti­ons­pflich­ten gemäß Art. 13 und 14 DSGVO nicht ernst genom­men, hat die betrof­fe­ne Per­son häu­fig erst durch ein sol­ches Aus­kunfts­ver­lan­gen die Mög­lich­keit her­aus­zu­fin­den, wer wel­che Daten und zu wel­chen Zwe­cken über­haupt verarbeitet.
  • Zum ande­ren wird sie auf­grund der umfang­rei­chen Aus­kunfts­pflich­ten in die Lage ver­setzt, die Recht­mä­ßig­keit der Ver­ar­bei­tung beur­tei­len zu kön­nen. Dies ist für sie eine wesent­li­che Grund­la­ge, um ggf. wei­te­re Rech­te wie die Berich­ti­gung gemäß Art. 16 DSGVO oder die Löschung gemäß Art. 17 DSGVO gel­tend zu machen oder Wider­spruch gemäß Art. 21 DSGVO gegen die Ver­ar­bei­tung einzulegen.

2. Ein Aus­kunfts­ver­lan­gen geht ein – was ist zu tun?

Wich­tig ist, dass bereits im Vor­feld ein Pro­zess fest­ge­legt wur­de, wie bei Ein­gang eines Aus­kunfts­ver­lan­gens vor­zu­ge­hen ist. Hier­bei ist ins­be­son­de­re fest­zu­le­gen, wer dafür zustän­dig ist, wie sicher­ge­stellt wird, dass die Frist ein­ge­hal­ten wird und wie bei Zwei­feln an der Iden­ti­tät der betrof­fe­nen Per­son vor­zu­ge­hen ist. Dadurch kön­nen bereits erheb­li­che Zeit­ver­zö­ge­run­gen und ver­säum­te Fris­ten ver­mie­den werden.

a. Ein­gangs­be­stä­ti­gung des Auskunftsverlangens

Zunächst soll­te die betrof­fe­ne Per­son dar­über infor­miert wer­den, dass ihr Aus­kunfts­ver­lan­gen ein­ge­gan­gen ist und bear­bei­tet wird. Das sorgt für Ver­trau­en, da die betrof­fe­ne Per­son merkt, dass sie ernst genom­men wird, und ist somit ein ele­men­ta­rer Bestand­teil für die wei­te­re Kom­mu­ni­ka­ti­on im Rah­men der Auskunftserteilung.

b. Iden­ti­tät der betrof­fe­nen Per­son des Auskunftsverlangens

Sodann ist zu prü­fen, ob das Aus­kunfts­ver­lan­gen zu einer bestimm­ten Per­son auch tat­säch­lich von der betrof­fe­nen Per­son gestellt wurde.

Zwei­fel kön­nen bei­spiels­wei­se bei einer Anfra­ge per E‑Mail oder tele­fo­nisch auf­kom­men. Gemäß Art. 12 Abs. 6 DSGVO ist der Ver­ant­wort­li­che ver­pflich­tet, bei der antrag­stel­len­den Per­son wei­te­re Daten zur Fest­stel­lung der Iden­ti­tät anzu­for­dern, wenn er begrün­de­te Zwei­fel hat.

So könn­ten bei­spiels­wei­se die Kun­den­num­mern, das Geburts­da­tum und/oder die Anschrift abge­fragt wer­den. Zudem ist in die­sen Fäl­len auch die Anfor­de­rung einer Aus­weis­ko­pie zuläs­sig. Hier­bei ist aller­dings zwin­gend dar­auf hin­zu­wei­sen, dass zur Iden­ti­fi­ka­ti­on der Name, die Anschrift, das Geburts­da­tum und die Gül­tig­keits­dau­er aus­rei­chen. Die rest­li­chen Daten kön­nen und soll­ten von der betrof­fe­nen Per­son geschwärzt werden.

Bei einer Anfra­ge per E‑Mail muss der betrof­fe­nen Per­son für die Über­sen­dung der ange­for­der­ten Infor­ma­tio­nen ein siche­rer Über­mitt­lungs­weg bereit­ge­stellt wer­den. Hier­für sind ihr Infor­ma­tio­nen mit­zu­tei­len, wie sie bspw. die Daten Ende-zu-Ende-ver­­­schlüs­­selt über­tra­gen oder über ein Nut­zer­kon­to hoch­la­den kann.

Die Abfra­ge wei­te­rer Daten zur Iden­ti­täts­fest­stel­lung kann zusam­men mit der Ein­gangs­be­stä­ti­gung erfolgen.

Macht ein Rechts­an­walt im Auf­trag der betrof­fe­nen Per­son einen Aus­kunfts­an­spruch gel­tend, darf die Aus­kunft dem Rechts­an­walt gegen­über nur erteilt wer­den, wenn eine Ori­gi­nal­voll­macht, die den Aus­kunfts­an­spruch umfasst, vor­liegt. Soll­te nur eine Kopie oder gar kei­ne Voll­macht bei­gefügt sein, ist das Ori­gi­nal bei dem Rechts­an­walt anzufordern.

c. Umfang des Auskunftsverlangens

Konn­te die Iden­ti­tät zwei­fels­frei fest­ge­stellt wer­den, ist im nächs­ten Schritt zu prü­fen, wel­che Infor­ma­tio­nen in wel­chem Umfang kon­kret abge­fragt wer­den. Der Aus­kunfts­an­spruch des Art. 15 DSGVO ist zweistufig:

  • Bezieht sich die betrof­fe­ne Per­son aus­schließ­lich auf Art. 15 Abs. 1 DSGVO, reicht die Anga­be der Pflicht­in­for­ma­tio­nen aus.
  • For­dert sie aller­dings – wie in den meis­ten Fäl­len – zusätz­lich eine Kopie gemäß Art. 15 Abs. 3 DSGVO an, erwei­tert sich die Aus­kunft. Dann reicht es nicht, der betrof­fe­nen Per­son nur die Kate­go­rien der per­so­nen­be­zo­ge­nen Daten mit­zu­tei­len. Viel­mehr ist ihr dann zusätz­lich mit­zu­tei­len, wel­che Daten kon­kret ver­ar­bei­tet wer­den. Wie dies in der Pra­xis aus­se­hen kann, wird nach­fol­gend dargestellt.

d. Frist zur Bear­bei­tung des Auskunftsverlangens

Die Aus­kunft hat gemäß Art. 12 Abs. 3 S. 1 DSGVO unver­züg­lich – spä­tes­tens aber inner­halb eines Monats zu erfol­gen. Die Frist kann in Aus­nah­me­fäl­len gemäß Art. 12 Abs. 3 S. 2 DSGVO um wei­te­re zwei Mona­te ver­län­gert wer­den, soll­te die Aus­kunfts­er­tei­lung sehr kom­plex sein oder unge­wöhn­lich vie­le Aus­kunfts­ver­lan­gen zeit­gleich ein­ge­hen. In jedem Fall ist die betrof­fe­ne Per­son vor Ablauf eines Monats über die Frist­ver­län­ge­rung unter Anga­be von Grün­den zu informieren.

Auch wenn beab­sich­tigt ist, die Aus­kunft gar nicht erst zu ertei­len, ist die betrof­fe­ne Per­son vor Ablauf eines Monats hier­über zu infor­mie­ren. Zusätz­lich sind gemäß Art. 12 Abs. 4 DSGVO die Grün­de für die Nicht­er­tei­lung anzu­ge­ben und sie ist auf ihr Beschwer­de­recht bei einer Auf­sichts­be­hör­de oder auf die Mög­lich­keit eines gericht­li­chen Rechts­be­helfs hinzuweisen.

Hat die betrof­fe­ne Per­son eine Aus­kunft über ihren Rechts­an­walt ange­for­dert, beginnt die Frist erst mit Vor­la­ge der Originalvollmacht.

Wer­den kei­ne Daten der betrof­fe­nen Per­son ver­ar­bei­tet, darf die Anfra­ge aber kei­nes­falls igno­riert wer­den. Ihr ist dann eben­falls unver­züg­lich, spä­tes­tens aber inner­halb eines Monats, mit­zu­tei­len, dass kei­ne Daten ver­ar­bei­tet werden.

e. Form der Auskunftserteilung

Bei einem Aus­kunfts­ver­lan­gen ist die Aus­kunft auf dem Weg zu ertei­len, den die betrof­fe­ne Per­son für ihren Antrag genutzt hat. Bei Aus­kunfts­er­tei­lung per E‑Mail sind zusätz­lich Maß­nah­men zur siche­ren Über­mitt­lung zu tref­fen, wie bei­spiels­wei­se eine Ende-zu-Ende-Verschlüsselung.

Auch eine münd­li­che Ertei­lung ist gemäß Art. 12 Abs. 1 S. 3 DSGVO mög­lich, sofern die Iden­ti­tät der betrof­fe­nen Per­son zwei­fels­frei nach­ge­wie­sen wurde.

3. Wel­che Infor­ma­tio­nen umfasst der Auskunftsanspruch?

Die Pflicht­in­for­ma­tio­nen erge­ben sich aus Art. 15 Abs. 1 DSGVO und umfas­sen im Einzelnen:

a. Ver­ar­bei­tungs­zwe­cke

Zunächst ist die betrof­fe­ne Per­son dar­über zu infor­mie­ren, für wel­che Zwe­cke ihre Daten ver­ar­bei­tet wer­den. Hier hilft ein Blick in das Ver­ar­bei­tungs­ver­zeich­nis: In einem ers­ten Schritt sind alle Ver­ar­bei­tungs­tä­tig­kei­ten zu iden­ti­fi­zie­ren, denen die betrof­fe­ne Per­son zuge­ord­net ist.

  • Han­delt es sich bei der betrof­fe­nen Per­son um einen Kun­den, wird die­se bspw. den Ver­ar­bei­tungs­tä­tig­kei­ten „Kun­den­da­ten­ver­wal­tung“ und „Zah­lungs­ab­wick­lung“ zuge­ord­net sein.
  • Han­delt es sich bei der betrof­fe­nen Per­son aus­schließ­lich um einen News­let­ter­abon­nen­ten, soll­te die­ser auch nur in der Ver­ar­bei­tungs­tä­tig­keit „News­let­ter­ver­sand“ zu fin­den sein.

Bei­spiel:

b. Kate­go­rien per­so­nen­be­zo­ge­ner Daten im Rah­men des Auskunftsverlangens

Auch die­se Anga­ben kön­nen dem Ver­ar­bei­tungs­ver­zeich­nis ent­nom­men wer­den. Damit erhält man zunächst einen Über­blick, wel­che Daten­ka­te­go­rien übli­cher­wei­se bei der jewei­li­gen Ver­ar­bei­tungs­tä­tig­keit ver­ar­bei­tet werden.

Im nächs­ten Schritt ist dann aller­dings zu prü­fen, wel­che Kate­go­rien per­so­nen­be­zo­ge­ner Daten der betrof­fe­nen Per­son tat­säch­lich ver­ar­bei­tet werden.

  • Wenn bei­spiels­wei­se auf der Web­sei­te ein Kon­takt­for­mu­lar zur Ver­fü­gung gestellt wird, in dem die Anre­de, der Namen, die Anschrift, die Mobil­num­mer und die E‑Mailadresse abge­fragt wer­den, wobei nur der Name und die E‑Mailadresse eine Pflicht­an­ga­be dar­stel­len, so sind all die­se Daten­ka­te­go­rien auch in das Ver­ar­bei­tungs­ver­zeich­nis aufzunehmen.
  • Hat die betrof­fe­ne Per­son bei ihrer Kon­takt­an­fra­ge aber ledig­lich ihren Namen und die E‑Mailadresse ange­ge­ben, sind ihr auch nur die­se Kate­go­rien mitzuteilen.

Bei­spiel:

Hier­bei ist fol­gen­des zu beach­ten: Ver­langt die betrof­fe­ne Per­son auch eine Kopie ihrer Daten gem. Art. 15 Abs. 3 DSGVO, reicht die Nen­nung der Daten­ka­te­go­rien nicht mehr aus. Dann sind ihr auch die kon­kre­ten Daten mit­zu­tei­len. Dabei ist zu beach­ten, dass „Kopie“ nicht bedeu­tet, dass Kopien von Doku­men­ten oder Screen­shots aus Anwen­dun­gen gemacht wer­den müssen.

Bei­spiel:

Lie­gen sehr vie­le Infor­ma­tio­nen zu der betrof­fe­nen Per­son vor, kann es in man­chen Fäl­len sinn­vol­ler sein, Kopien des gesam­ten Doku­ments zu fer­ti­gen. Zu den­ken wäre hier bei­spiels­wei­se an Gesprächs­no­ti­zen oder Versammlungsprotokolle.

Soll­ten hier­auf noch per­so­nen­be­zo­ge­ne Daten ande­rer Per­so­nen ent­hal­ten sein, sind die­se vor Aus­kunfts­er­tei­lung unkennt­lich zu machen und bspw. zu schwär­zen. Dies ergibt sich aus Art. 15 Abs. 4 DSGVO, wonach „das Recht auf Erhalt einer Kopie […] die Rech­te und Frei­hei­ten ande­rer Per­so­nen nicht beein­träch­ti­gen“ darf.

Auch Bemer­kun­gen über die betrof­fe­ne Per­son wie z. B. „Trinkt in Bespre­chun­gen immer liter­wei­se Kaf­fee“ sind Infor­ma­tio­nen über die betrof­fe­ne Per­son und stel­len per­so­nen­be­zo­ge­ne Daten gemäß Art. 4 Nr. 1 DSGVO dar, die zu beaus­kunf­ten sind. Auch im Sin­ne des Grund­sat­zes der Daten­mi­ni­mie­rung soll­te daher bereits im Vor­feld über­legt wer­den, bei wel­chen Infor­ma­tio­nen und Daten tat­säch­lich eine Not­wen­dig­keit zur Ver­ar­bei­tung besteht.

c. Die Emp­fän­ger oder Kate­go­rien von Empfängern

Wur­den oder wer­den Daten an Drit­te über­mit­telt oder offen­ge­legt, sind immer die kon­kre­ten Emp­fän­ger zu benen­nen. Eine Beschrän­kung auf die Anga­be von Kate­go­rien kann nur erfol­gen, wenn die kon­kre­ten Emp­fän­ger tat­säch­lich nicht benannt wer­den kön­nen. Mit der Anga­be soll die betrof­fe­ne Per­son nach­voll­zie­hen kön­nen, wer noch Daten ver­ar­bei­tet, um sich ggf. direkt dort­hin wen­den zu kön­nen. Auch die­se Anga­ben sind Pflicht­be­stand­teil des Ver­ar­bei­tungs­ver­zeich­nis­ses gemäß Art. 30 Abs. 1 lit. d) DSGVO.

Befin­den sich Daten­emp­fän­ger in einem Dritt­land, ist die betrof­fe­ne Per­son gem. Art. 15 Abs. 2 DSGVO zusätz­lich dar­über zu unter­rich­ten, wel­che geeig­ne­ten Garan­tien gemäß Art. 46 DSGVO für die Über­mitt­lung ergrif­fen wur­den, soll­te kein Ange­mes­sen­heits­be­schluss der Kom­mis­si­on gemäß Art. 45 DSGVO vor­lie­gen. Hier­bei han­delt es sich bereits um eine Pflicht­an­ga­be gemäß Art. 13 Abs. 1 lit. f) DSGVO, wes­halb die­se Infor­ma­tio­nen in der Daten­schutz­in­for­ma­ti­on ent­hal­ten sein sollten.

d. Dau­er der geplan­ten Speicherung

Auch die­se Pflicht­an­ga­be kann durch einen Blick in das Ver­ar­bei­tungs­ver­zeich­nis beaus­kunf­tet wer­den. Sind die kon­kre­ten Spei­cher­fris­ten in Jah­ren, Mona­ten oder Wochen bekannt, sind die­se auch so anzu­ge­ben. Lässt sich die kon­kre­te Spei­cher­dau­er zum Zeit­punkt der Aus­kunft nicht kon­kre­ti­sie­ren, weil z. B. ein Ereig­nis, das für die Spei­cher­dau­er maß­geb­lich ist, noch nicht ein­ge­tre­ten ist, sind hier zumin­dest die Kri­te­ri­en anzu­ge­ben, nach denen sich die Dau­er der Spei­che­rung bemisst.

Zum Bei­spiel: „Nach Been­di­gung des Ver­trags­ver­hält­nis­ses wer­den die Daten noch für drei Jah­re gespei­chert“ oder „Nach Wider­ruf der Ein­wil­li­gung wer­den die Daten unver­züg­lich gelöscht“.

Wird die Spei­cher­dau­er auf eine gesetz­li­che oder han­dels­recht­li­che Vor­schrift gestützt, soll­te die­se eben­falls genannt werden.

e. Hin­weis auf Betrof­fe­nen­rech­te bei Bear­bei­tung des Auskunftsverlangens

Nach Art. 15 Abs. 1 lit. e) DSGVO ist die betrof­fe­ne Per­son im Rah­men der Aus­kunfts­er­tei­lung zusätz­lich auf ihr Recht auf Berich­ti­gung oder Löschung, ihr Recht auf Ein­schrän­kung der Ver­ar­bei­tung oder auf ihr Wider­spruchs­recht hin­zu­wei­sen. Die­ser Hin­weis hat nach all­ge­mei­ner Ansicht aber nur zu erfol­gen, wenn der betrof­fe­nen Per­son die Rech­te auch tat­säch­lich zustehen.

Sicher­heits­hal­ber soll­te die betrof­fe­ne Per­son aller­dings immer zumin­dest auf ihr Recht auf Berich­ti­gung, Löschung und Ein­schrän­kung der Ver­ar­bei­tung hin­ge­wie­sen werden.

Über ein Recht auf Wider­spruch gemäß Art. 21 ist die betrof­fe­ne Per­son dage­gen nur zu infor­mie­ren, wenn die Ver­ar­bei­tung auf das berech­tig­te Inter­es­se gemäß Art. 6 I lit. f) DSGVO gestützt wird, da ihr nur dann ein Wider­spruchs­recht zusteht.

f. Beschwer­de­recht bei einer Aufsichtsbehörde

Bei jeder Aus­kunft ist die betrof­fe­ne Per­son zudem dar­auf hin­zu­wei­sen, dass sie sich mit Beschwer­den an eine Auf­sichts­be­hör­de wen­den kann. Auch wenn sich eine betrof­fe­ne Per­son mit Beschwer­den an jede Auf­sichts­be­hör­de wen­den kann, soll­te hier zumin­dest die zustän­di­ge Auf­sichts­be­hör­de ange­ge­ben wer­den. Die Anga­be der Kon­takt­da­ten ist dage­gen nicht erforderlich.

g. Her­kunft der Daten

Wer­den auch Daten ver­ar­bei­tet, die nicht direkt bei der betrof­fe­nen Per­son erho­ben wur­den, ist sie zusätz­lich über die Quel­le zu infor­mie­ren. Der Über­mitt­ler der Daten bzw. die Quel­le sind dabei kon­kret zu bezeich­nen. Auch die­se Infor­ma­ti­on darf der betrof­fe­nen Per­son nicht erst bei einem Aus­kunfts­ver­lan­gen zur Ver­fü­gung gestellt wer­den. Bereits bei Erhe­bung sol­cher Daten ist sie gem. Art. 14 Abs. 3 DSGVO inner­halb eines Monats über die Quel­le der Daten zu informieren.

h. Auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Profiling

Erfolgt bei einer Ver­ar­bei­tung eine auto­ma­ti­sier­te Ent­schei­dungs­fin­dung ein­schließ­lich Pro­filing gemäß Art. 22 DSGVO ist die betrof­fe­ne Per­son eben­falls dar­über zu infor­mie­ren. Zusätz­lich sind ihr aus­sa­ge­kräf­ti­ge Infor­ma­tio­nen über die invol­vier­te Logik zur Ver­fü­gung zu stel­len und sie ist über die Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen einer der­ar­ti­gen Ver­ar­bei­tung zu informieren.

Die­se Infor­ma­tio­nen sind der betrof­fe­nen Per­son bereits mit Beginn der Ver­ar­bei­tung gemäß Art. 13 Abs. 2 f) DSGVO mit­zu­tei­len, wes­halb die­se bereits vor­lie­gen soll­ten und der Daten­schutz­in­for­ma­ti­on ent­nom­men wer­den können.

4. Fazit zum Umgang mit Auskunftsverlangen

Ein bereits vor­han­de­nes und lau­fend ange­pass­tes Ver­ar­bei­tungs­ver­zeich­nis gemäß Art. 30 DSGVO und aus­sa­ge­kräf­ti­ge Daten­schutz­in­for­ma­tio­nen gemäß Art. 13, 14 DSGVO redu­zie­ren den zeit­li­chen Auf­wand bei einer Aus­kunfts­er­tei­lung enorm.

Um den Auf­wand wei­ter zu redu­zie­ren, emp­fiehlt es sich zudem, das Ver­ar­bei­tungs­ver­zeich­nis, um Infor­ma­tio­nen zu erwei­tern, die nicht vor­ge­schrie­ben sind. So könn­ten bei den Ver­ar­bei­tungs­tä­tig­kei­ten bei­spiels­wei­se noch erfasst wer­den, in wel­chen Anwen­dun­gen oder auf wel­chen Lauf­wer­ken die Daten übli­cher­wei­se gespei­chert und ver­ar­bei­tet wer­den. Dadurch las­sen sich Spei­cher­or­te geziel­ter nach den per­so­nen­be­zo­ge­nen Daten der betrof­fe­nen Per­son durch­su­chen. Je nach Grö­ße der IT-Lan­d­­schaft lässt sich hier­durch ins­be­son­de­re zeit­li­cher Auf­wand redu­zie­ren und die Gefahr ver­rin­gern, dass Daten ver­ges­sen werden.

Zudem ist die Kom­mu­ni­ka­ti­on mit der betrof­fe­nen Per­son ein wesent­li­cher Bestand­teil, will man kei­ne Beschwer­de oder gar eine Kla­ge ris­kie­ren. Durch eine offe­ne Kom­mu­ni­ka­ti­on las­sen sich Grün­de, die häu­fig für Beschwer­den oder Kla­gen ursäch­lich sind, leicht ver­mei­den und man sorgt zudem für eine mög­li­che wei­te­re ver­trau­ens­vol­le (Geschäfts-)Beziehung mit der betrof­fe­nen Person.

Danie­la Frank, Datenschutzbeauftragte

Jetzt Kon­takt aufnehmen
BBR News­let­ter 10/2022 – PDF herunterladen
image_pdf

Pres­se­mit­tei­lun­gen

Ver­an­stal­tun­gen

News­let­ter

Bücher

Stu­di­en & Leitfäden

Vide­os

image_pdf