Modul 9: Auskunftsbegehren – wie Sie damit korrekt umgehen

Womit Ihre Kunden auf Sie zukommen werden

Sobald die DSGVO in Kraft tritt, sollten Sie auf Kundenanfragen – sei es eine einfache Auskunft oder auch eine Löschungsanfrage – vorbereitet sein und wissen, wie Sie mit diesen umgehen. Dabei werden die folgenden Auskunftsbegehren wohl am häufigsten auf Sie zukommen:

Welche Kundendaten werden gespeichert?

Werden Sie gefragt, welche Daten Sie über die betreffende Person speichern, ist es wichtig, auch wirklich alle Daten offenzulegen. Ziehen Sie hierzu Ihr erstelltes Verarbeitungsverzeichnis zu Rate und stellen Sie auf dieser Grundlage eine Übersicht zusammen. Falls Sie besonders viele Daten speichern, sollten Sie einen Prozess einrichten, der die automatische Abfrage aller gespeicherten Daten „auf Knopfdruck“ ermöglicht. Wichtig ist, dass sich der Betroffene, bevor Sie Daten übermitteln, entsprechend ausweisen kann, z. B. durch einen Personalausweis, Reisepass oder Führerschein. Dieser Schritt ist notwendig um sicherzustellen, dass personenbezogene Daten niemals einer unberechtigten Person zur Verfügung gestellt werden.

Wo liegen die Kundendaten und wie sicher ist dieser Ort?

Hier müssen Sie exakt mitteilen, wo Ihre Kundendaten liegen. Das wird möglicherweise ein Server bei einem Hoster sein. Zudem müssen Sie mitteilen, wie der Zugang zu diesen Servern gesichert ist. Die benötigten Informationen können Sie bei Ihrem Hosting-Provider erfragen. Im Falle einer Server-Lösung in Ihrem eigenen Hause gilt vorstehendes entsprechend. Allerdings dürften hier Ihre IT-Abteilung oder ein externer IT-Dienstleister der Ansprechpartner hinsichtlich der Absicherung des Server-Zugangs sein.

Ein Widerruf, wenn beispielsweise der Newsletter abbestellt werden soll.

Ein Widerruf ist die Aufhebung einer Einwilligung. Wie schnell Sie dieser Bitte nachkommen müssen, hängt davon ab, ob Sie eine rechtliche Aufbewahrungsfrist haben. Bei einem Newsletter ist das i.d.R. nicht der Fall, daher müssen Sie der Bitte unverzüglich entsprechen. Sollte der Widerruf allerdings mit einem Gesetz kollidieren, ist das anders. Lesen Sie die genaue Vorgehensweise weiter unten.

Wie Sie mit Löschungsanfragen umgehen

Löschungsanfragen gehören zu den heikelsten Anfragen für Unternehmen. Sie gründen sich auf das sogenannte „Recht auf Vergessenwerden“, das mit der DSGVO nun direkte Geltung erlangt.

Im Falle einer Löschungsanfrage ist es daher wichtig, dass Sie vorab ein Löschungskonzept ausarbeiten und implementieren. Hierbei handelt es sich um einen festen Ablauf, nach dem alle personenbezogenen Daten in Ihrem Unternehmen gelöscht werden. Erst auf dieser Grundlage können Sie rechtssicher mit Löschungsanfragen umgehen.

Aber Achtung, eine Löschung muss nicht nur dann vorgenommen werden, wenn eine Löschungsanfrage des Kunden bei Ihnen eingeht. Es müssen auch ohne eine konkrete Anfrage Löschungen der Kundendaten erfolgen, wenn die jeweils geltenden Fristen abgelaufen sind. Das heißt, Sie müssen grundsätzlich immer aktiv handeln.

Aus diesem Grund empfehlen wir Ihnen dringend, ein Löschungskonzept zu erarbeiten. Dies ist sehr individuell und abhängig von den Daten, die Sie verarbeiten.

HINWEIS

Käuferdaten müssen Sie in Deutschland generell 10 Jahre aufbewahren. Mitarbeiterdaten sollten Sie 30 Jahre aufbewahren.

Häufig gestellte Fragen zur Löschung von Kundendaten

Es gehen Ihnen jetzt sicherlich einige Fragen zu diesem Thema durch den Kopf. Zu den häufigsten Fragen möchten wir Ihnen direkt eine Hilfestellung geben. Auf dieser Grundlage können Sie dann Ihre relevanten Punkte mit Ihrem Datenschutzbeauftragten oder einem Anwalt klären.

Wie gehe ich mit einem Lösch-Auftrag um, wenn ich gewisse Daten aufgrund von Aufbewahrungsfristen nicht löschen kann?

Zunächst einmal gibt es unterschiedliche Fristen. Die verschiedenen Bereiche, in denen Sie Fristen unterliegen, sind Rechnungswesen, Steuer- und Zollrecht, Vertragswesen, Arbeitsverhältnisse und branchenspezifische Fristen.

Auf Grundlage dieser Fristen gibt es im Löschungsrecht spezielle Ablehnungsgründe. Das heißt, ein Löschungsanliegen darf dann abgelehnt werden, wenn Sie die entsprechenden Daten zur Einhaltung einer rechtlichen Verpflichtung benötigen. Diese rechtliche Verpflichtung ergibt sich aus den oben genannten Fristen.

In der Praxis bedeutet dies, dass nach Eingang eines Antrags auf Löschung spätestens innerhalb von einem Monat nach Zugang eine Antwort erfolgen muss, die den Antragsteller über die ergriffenen Maßnahmen unterrichtet oder die Gründe der Ablehnung darlegt.

Wann muss ich die Daten überhaupt löschen?

Die DSGVO hat unter anderem zwei Grundsätze. Diese lauten Richtigkeit und Speicherbegrenzung. Das heißt, dass alle personenbezogenen Daten korrekt und auf dem neuesten Stand sein müssen. Falsche Daten müssen bereinigt werden. Bei der Speicherbegrenzung geht es darum, dass die Daten nur in dem Maße gespeichert und aufbewahrt werden, wie diese für den eigentlichen Zweck benötigt werden. Das bedeutet, werden diese nicht mehr benötigt und unterliegen keiner Aufbewahrungsfrist, sind diese, wie bereits beschrieben, aktiv von Ihnen zu löschen.

Wie lang darf ich Daten von Leads aufbewahren?

Hier gelten wieder die gesetzlichen Aufbewahrungsfristen und zusätzlich, ob die Speicherung der Daten für einen bestimmten Zweck notwendig ist. Bei Leads ist der Zweck der Aufbewahrung nur gegeben, wenn Sie bereits eine bestehende Kundenbeziehung nachweisen können. Andernfalls gibt es keine Grundlage für eine Aufbewahrung.

Wie gehe ich mit einem Löschauftrag um, wenn ich die Daten noch benötigen (z.B. für eine Rechnung)

Solange Sie gesetzlichen Aufbewahrungsfristen Folge leisten müssen, z.B. bei Rechnungen, die Sie als Unternehmer gemäß Ihrer länderspezifischen Aufbewahrungsfrist (Deutschland 10 Jahre, Österreich 7 Jahre) aufbewahren müssen, können Sie der Löschungsanfrage nicht entsprechen. Allerdings müssen Sie das gegenüber dem Kunden kommunizieren – nach derzeitigem Rechtsstand innerhalb eines Monats nach Eingang der Anfrage.

Wie kann ich nachweisen, dass ich die Daten gelöscht habe?

Eine Überprüfung wird von der Datenschutzbehörde vorgenommen. Diese wird dann unter anderem nach Löschungsvorgängen, Ihrem Löschungskonzept, Aufbewahrungsfristen, und mehr fragen. Sie ist auch berechtigt, Zutritt zu den Räumlichkeiten der Speicherung der Daten zu fordern und dort eine genaue Überprüfung vorzunehmen.

Wieviel Zeit habe ich, um einen Löschauftrag auszuführen?

Grundsätzlich sind Anträge von Betroffenen innerhalb eines Monats zu bearbeiten. Bei komplexen Sachverhalten besteht auch die Möglichkeit eine Fristverlängerung um zwei Monate zu beantragen. Dies teilen Sie dem Antragsteller inkl. einer stichhaltigen Begründung mit. In diesem Fall haben Sie insgesamt drei Monate Zeit die Anfrage zu bearbeiten.

Für wen gilt die DSGVO?

Die DSGVO gilt unabhängig von der Unternehmensgröße für alle Unternehmen und deren Niederlassungen in der EU, die personenbezogene Daten verarbeiten.

Sie gilt auch für alle Unternehmen außerhalb der EU, sofern die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Union steht, oder das Verhalten von EU-Bürgern beobachtet wird.