Anspruch auf Auskunft und Löschung Umsetzung im Unternehmen

Personenbezogene Daten sind durch das Bundesdatenschutzgesetz besonders geschützt. Ausdruck dieses besonderen Schutzes sind unter anderem die Ansprüche auf Auskunft und Löschung aus § 34 BDSG und § 35 BDSG. Aus Sicht der verpflichteten Unternehmen gestaltet sich die Erfüllung dieser Ansprüche oftmals schwierig, da die Daten erst einmal im System ausfindig gemacht werden müssen. Häufig gibt es nämlich keine gut organisierte Ablagestruktur und die Verantwortlichkeit innerhalb des Unternehmens ist nicht geregelt. Durch die Festlegung betrieblicher Richtlinien kann der Umgang mit den Anfragen von Betroffenen jedoch erleichtert werden.

Verbot mit Erlaubnisvorbehalt

Der besondere Schutz personenbezogener Daten ergibt sich aus § 4 Abs. 1 BDSG. Danach ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Es gilt das sogenannte Verbot mit Erlaubnisvorbehalt.

Um die Rechte betroffener Personen weiter zu stärken, sieht § 6 BDSG verschiedene Ansprüche vor. So hat der Betroffene gegen Unternehmen unter anderem ein Recht auf Auskunft aus § 34 BDSG und ein Recht auf Löschung aus § 35 BDSG.

Auskunft und Löschung

Gem. § 34 Abs. 1 BDSG hat die verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über

  1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
  2. den Empfänger oder die Kategorieren von Empfängern, an die Daten weitergegeben werden,
  3. den Zweck der Speicherung.

Stellt der Betroffene nach dieser Auskunft fest, dass die gespeicherten personenbezogenen Daten unrichtig sind, steht ihm aus § 35 BDSG ein Recht auf Berichtigung zu. Außerdem sind nach dieser Vorschrift personenbezogene Daten zu löschen, wenn

  1. ihre Speicherung unzulässig ist,
  2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben,   strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
  3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
  4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.

Strategie zum Umgang mit Ansprüchen

Zunächst muss man sich innerhalb eines Unternehmens darüber bewusst werden, was personenbezogene Daten überhaupt sind. Gem. § 3 Abs. 1 BDSG sind dies Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Danach muss geklärt werden, ob und wenn ja wo und zu welchen Zwecken solche personenbezogenen Daten gespeichert und verarbeitet werden. Nur wenn man weiß, wo überhaupt personenbezogene Daten gespeichert werden, kann angemessen auf Auskunfts- und Löschansprüche reagiert werden. Es ist daher wohl unerlässlich, ein Speicherungs- und Löschkonzept zu haben.

Auch muss besonders darauf geachtet werden, dass nicht jeder Mitarbeiter beliebig auf alle gespeicherten personenbezogenen Daten zugreifen können darf. § 9 BDSG und die dazugehörige Anlage sehen nämlich unter anderem vor, dass nur diejenigen Mitarbeiter Zugriff auf personenbezogene Daten haben dürfen, die diesen auch zur Erfüllung ihrer Aufgaben benötigen.

Wie werden die Ansprüche erfüllt?

Gem. § 34 Abs. 6 BDSG muss die Auskunft an den Betroffenen auf Verlangen in Textform erfolgen. Um einen Missbrauch zu vermeiden, sollte dies stets so gehandhabt und z.B. keine Auskunft am Telefon erteilt werden.

Die Umsetzung des Löschanspruchs gestaltet sich etwas aufwendiger, da unter Umständen gesetzliche Aufbewahrungspflichten entgegenstehen. Es muss daher erst einmal geprüft werden, ob überhaupt gelöscht werden kann und darf. Zu diesem Zweck ist ein Löschkonzept sinnvoll, welches dann natürlich auch entsprechend umgesetzt werden muss. Auch muss die Löschung dokumentiert und bei Bedarf nachgewiesen werden.

Beim Umgang mit Auskunfts- und Löschungsansprüchen sollte immer zuerst der Datenschutzbeauftragte informiert werden. Dieser ist Ansprechpartner der Betroffenen und muss prüfen, ob und wie die geltend gemachten Ansprüche erfüllt werden müssen. Im Zweifel sollte ein Fachanwalt für IT-Recht herangezogen werden.

Beratung anfordern

Wir beraten Sie gerne - persönlich und individuell

+49 (0)6232 100119-44