Betroffenenrechte sicherstellen

Unternehmen: Posteingang kontrollieren und Betroffenenrechte sicherstellen

Wer von einem Unternehmen keine Werbung oder Auskunft mehr erhalten möchte oder die Löschung eines Kund*innenkontos wünscht, antwortet dafür oft einfach auf eine E-Mail des betreffenden Unternehmens. Doch werden solche Kontaktaufnahmen häufig mit dem Hinweis verweigert, dass es sich um eine „Keine-Antwort-Adresse“ handele oder das Postfach nicht gesichtet werde. Betroffene werden oft auf einen bestimmten Kommunikationskanal verwiesen. Es ist auch allgemein festzustellen, dass die Nachrichteneingänge – insbesondere per E-Mail – bei vielen Unternehmen unzureichend kontrolliert werden.

Verantwortliche haben durch technisch-organisatorische Maßnahmen sicherzustellen, dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden. Dies schließt ein, dass auch E-Mails, die nicht über die von den Verantwortlichen hierfür vorgesehenen Kanäle eintreffen, zur weiteren Bearbeitung an die richtigen Ansprechpersonen geleitet werden. Es kann den Betroffenen nicht abverlangt werden, zunächst die Datenschutzerklärung zu suchen, um die von den Verantwortlichen für Datenschutzanfragen vorgesehene Kontaktadresse herauszufinden. Betroffene Personen gehen meistens davon aus, dass alle Anliegen, die ihr Kund*innenkonto betreffen, auch über die E-Mail-Adresse zu regeln sind, mit der das Unternehmen mit ihnen in der Vergangenheit in Kontakt getreten ist. Entsprechend lässt es die DSGVO auch nicht zu, Betroffene auf bestimmte Kommunikationswege zu verweisen.

Im Gegenteil verpflichtet Art. 12 Abs. 2 Satz 1 DSGVO Verantwortliche sogar, betroffenen Personen die Geltendmachung ihrer Rechte zu erleichtern. Sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, sind somit jedenfalls dann ein datenschutzrechtliches Problem, wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden. Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen.

Auch E-Mails, die als vermeintlicher Spam zwar vom Mail-Server angenommen, aber in einen Spam-Ordner verschoben und nicht gelesen wurden, sind als zugegangen zu werten. Gleiches gilt für E-Mails an weiterhin technisch aktive, aber nicht (mehr) aktiv genutzte Postfächer. Dort eingegangene E-Mails, durch die Betroffenenrechte geltend gemacht werden, müssen ebenso fristgerecht bearbeitet werden. Auch Spam-Ordner und alle technisch aktiven E-Mail-Adressen müssen daher überwacht werden.

Bei der Nutzung von Ticket- oder sog. Customer-Relationship-Management-(CRM-)Systemen ist darauf zu achten, dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können. Ein weiteres Problem kann entstehen, wenn etwa im Verlauf einer E-Mail-Kommunikation mit dem Kund*innenservice ab einem bestimmten Zeitpunkt auch das Datenschutzteam in Kopie genommen wird, das CRM-System aber auf solche Konstellationen nicht eingestellt ist. In einem derartigen Fall wurde eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kund*innenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, leitete die Anfrage aber auch nicht an die zuständige Stelle weiter, da ihm die fehlende Einstellung des CRM-Systems nicht bekannt war.

Bei der Beantwortung von Betroffenenanfragen müssen Verantwortliche schließlich auch sicherstellen, dass die Betroffenen tatsächlich von der Antwort Kenntnisnehmen können. So dürfen Verantwortliche etwa nicht ohne Weiteres davon ausgehen, dass die frühere E-Mail-Adresse noch aktiv und im Besitz der betroffenen Person ist, wenn diese sich z. B. postalisch an das Unternehmen wendet.

Unternehmen müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

Quelle: BInBDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks