Datenschutzauskunft & BetroffeneEs dreht sich heute wieder um das Thema Datenschutz und wir klären gleich mal zwei Begrifflichkeiten: Betroffener und Datenschutzauskunft.

Der/die Betroffene

Das ist die Person, deren personenbezogene Daten ein Unternehmen verarbeitet. Die Verarbeitung findet in E-Mail-Postfächern, in Branchensoftwarelösungen oder in Excel-Tabellen auf dem Server statt. Hier geht es immer um einen Menschen. Juristische Personen, wie Behörden, Verein und Unternehmen haben keine personenbezogene Daten. Aber, Achtung: Der Marketing-Chef des Unternehmens XYZ GmbH liebt den Klettersport … das sind personenbezogene Daten einer Person innerhalb einer juristischen Person.

Die Datenschutzauskunft

Dieses Auskunftsrecht hatten Betroffene auch schon vor Einführung der DSGVO, aber heute ist das Bewusstsein, es zu haben, deutlich höher. Innerhalb der Unternehmen ist man darauf vorbereitet, dass Betroffene von ihrem Auskunftsrecht Gebrauch machen werden. Es beinhaltet die Offenlegung, ob, und wenn ja, wo und wie personenbezogene Daten im Unternehmen verarbeitet werden.

Wir haben uns nun daran erinnert, dass Betroffene Auskunft über ihre Daten anfordern dürfen. Unternehmen sind verpflichtet Auskunft darüber zu geben, und das innerhalb einer Frist von vier Wochen. Jetzt wird es aber spannend. Es gibt mittlerweile einige Fälle, in denen Personen bei Unternehmen Datenschutzauskunft eingefordert haben bei denen zu wenig geprüft wurde, ob die beauskunftende Person auch tatsächlich die Person ist, deren Daten sie beauskunftet. Kurzum: Person B gibt sich als Person A aus und fordert die Datenschutzauskunft im Namen der Person A. Macht Person B das bei Kreditinstituten, Kaufhäusern und Webshops, hat sie innerhalb kürzester Zeit Informationen darüber, was Person A regelmäßig einkauft. Im ungünstigsten Fall erlangt Person B auch Kenntnis über die Kreditkartendaten der Person A.

Was heißt das für Unternehmen?

Diese sollten sichergehen, dass die Person, die beauskunftet, auch die Person ist, für die sie sich ausgibt. Ein Webshop fordert die Kundennummer an, ein Kaufhaus lässt sich das Datum des letzten Einkaufs nennen, und das Kreditinstitut hat viele Daten, mit denen es prüfen kann. Ein Unternehmen sollte für die Datenschutzauskunft einen praktikablen und sicheren Prozess definiert haben, in dem es sicherstellen kann, dass es korrekt beauskunftet.