DSGVO: Panik! Ein Kunde begehrt Auskunft über seine Daten.

DSGVO-Recht-auf-Auskunft-fwi

In der EU-Datenschutz-Grundverordnung (DSGVO) sind nicht nur die Pflichten enthalten, die Unternehmen zu erfüllen haben, um personenbezogene Daten von Bürgern der Europäischen Union verarbeiten zu dürfen. Die DSGVO enthält auch die Rechte, die betroffene Personen (landläufig meist als „Konsumenten“ bezeichnet) haben. Dazu zählt auch das Recht auf Auskunft.

Unternehmen muss Konsument über alle Daten Auskunft geben

Eine betroffene Person hat das Recht von einem Unternehmen Auskunft zu bekommen, ob Daten über sie gespeichert sind. Wenn das der Fall ist, muss das Unternehmen auch diese Daten herausgeben. Es reichen hier nicht die persönlichen Daten (Name, Adresse, Telefonnummer, …) sondern auch alle in diesem Zusammenhang gespeicherten Informationen, also sozusagen das gesamte Profil, das im Laufe der Zeit in den meisten Unternehmenssystemen entsteht, d. h. beispielsweise Einkäufe, Anrufe bei der Kundenbetreuung, gespeicherte Interessen, etc.. Zusätzlich müssen auch die Verarbeitungszwecke, die Informationen über eine allfällige Weiterleitung an Dritte und noch einige Daten mehr retourniert werden.

„Datensilos“ erschweren das Thema

In vielen Unternehmen gibt es dazu die Problematik, dass diese Daten in unterschiedlichen „Datensilos“ gespeichert sind, die nicht immer miteinander verbunden sind, z. B. einem Webshop, dem Kundenbetreuungssystem, der Finanzbuchhaltung, etc.. Hier fehlt also der „single point of truth“ und die Informationen müssen aufwändig aus den verschiedenen Systemen zusammen gesucht werden.

Hierzu einen effizienten Prozess zu finden ist wichtig, da die Beantwortung der Auskunftsanfrage unentgeltlich erfolgen muss (zumindest bei der ersten Anfrage dieser Person). Die Auskunft muss in einer Zeitspanne von einem Monat erfolgen.

Auskunft in einem gängigen elektronischen Format

Die technische Herausforderung der Auskunftsanfrage ist auch, dass die Daten in einem gängigen elektronischen Format zur Verfügung gestellt werden müssen. In manchen Fällen (Datenportabilität) muss es sich um ein strukturiertes, maschinenlesbares Format handeln, was in den meisten Fällen wohl die Erstellung einer XML-Datei bedeutet.

Systeme anpassen oder reduzieren? 

Die Vorbereitung der beteiligten Systeme auf die Herausgabe aller Daten einer Person stellt also einen wichtigen Schritt dar, denn out of the box beherrscht praktisch kein System diese Funktionalität.

Ebenso sollte überlegt werden, ob man nicht die Anzahl der beteiligten Systeme nicht reduzieren kann. Hier können integrierte Systeme helfen, die die Aufgaben mehrerer alter Systeme durch ein System abdeckt. Das erfordert selbstverständlich ein tiefes Verständnis der benötigten Prozesse. Ein guter Systempartner kann hier helfen, das Dickicht zu lichten und dabei auch innovative neue Lösungen zum Einsatz bringen, die die Organisation des Unternehmens einen wichtigen Schritt weiter bringen.

Zusammenfassend kann Folgendes festgehalten werden:

  • Prüfen Sie, ob die vorgesehenen Verarbeitungszwecke der Personendaten auch tatsächlich eingehalten werden.
  • Prüfen Sie, ob die Rechtmäßigkeit der Verarbeitung auch gegeben ist und nicht als Antwort auf eine Auskunftsanfrage dann eine Beschwerde bei der Datenschutzbehörde folgt.
  • Identifizieren Sie die Systeme, die personenbezogene Daten verarbeiten und versuchen Sie die Anzahl der Systeme zu reduzieren.
  • Bereiten Sie die Systeme darauf vor möglichst auf Knopfdruck alle Informationen zu einer Person ausgeben zu können. Nehmen Sie dabei darauf Rücksicht, dass sich vielleicht in den verschiedenen Systemen auch die Art und der Umfang der Daten stark unterscheiden und auch Dubletten entsprechend berücksichtigt werden müssen.
  • Erstellen Sie einen Prozess zum Zusammenführen der Daten aus den Einzelsystemen in eine Gesamtantwort.

Wie man an einzelnen Punkten dieser Aufstellung bereits sieht, spielt hier auch das Thema Datenqualität eine Rolle, denn eine einheitliche Schreibweise von Informationen (Adresse, Telefonnummern, etc.) erleichtert das Auffinden der Daten in den verschiedenen Systemen. Im nächsten Beitrag dieser Serie werden wir uns auch im Speziellen mit der Problematik von Dubletten beschäftigen.

DSGVO-Recht-auf-Auskunft-fwi-cta


Über den Gastautor:

Thiemo-Sammern

Thiemo Sammern
Arbeitet seit mehr als 25 Jahren im IT-Bereich, davon die meiste Zeit im Bereich von Datenverarbeitungslösungen für Rechtsberufe, Direkt-Marketing und CRM und beschäftigt sich seit vielen Jahren mit allen Aspekten des Datenschutzes. Er ist auch Gesellschafter und Geschäftsführer der METHIS Firmengruppe aus Salzburg, die unter anderem Kunden wie die BMW Group, RICOH, Physiotherm oder Atomic berät und betreut.

Teilen Sie diesen Beitrag:
 
Kommentare

Noch keine Kommentare vorhanden.

 
Zur Werkzeugleiste springen