Betroffenenrechte – Beginn der Frist zur Beantwortung

Jede natürliche Person hat aus den Art. 15 bis 22 DSGVO das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie ein Widerspruchsrecht und das Recht nicht ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Wir hatten zu diesen Rechten der betroffenen Personen eine ganze Artikelserie veröffentlicht. Sie finden die Artikel hier:

Sofern eine betroffene Person eines dieser Rechte geltend macht, beginnt für den Verantwortlichen die Uhr zu ticken. Art. 12 Abs. 3 DSGVO legt vermeintlich unmissverständlich fest: „Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung“. Leider ist diese knackige Formulierung in der Praxis nicht ganz so eindeutig, wie man erwarten könnte.

Ein Monat Zeit – oder doch nicht?

Zunächst einmal möchten wir mit dem Mythos aufräumen, dass die reguläre Frist für die Beantwortung der Anfragen betroffener Personen einen Monat beträgt. Art. 12 Abs. 3 DSGVO verlangt, dass der Verantwortliche der betroffenen Person die getroffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellt. Zunächst also „unverzüglich“, demnach laut § 121 Abs. 1 BGB „ohne schuldhaftes Zögern“. Die Monatsfrist ist dann eine Höchstfrist, wobei die Ausnahme des Art. 12 Abs. 3 S. 2 DSGVO eine Verlängerung um bis zu zwei weitere Monate zulässt.

Ist die Bearbeitung schneller möglich und zumutbar, hat dies entsprechend früher zu erfolgen. Da es in der Praxis jedoch schwierig sein wird, nachzuweisen, dass die Bearbeitung auch schneller hätte erfolgen können, wird es in der Regel auf die einmonatige Frist, bei Verlängerung die insgesamt dreimonatige Frist, hinauslaufen. Die Frist beginnt mit dem Eingang des Antrags. Am Beispiel eines Auskunftsersuchens hat der Europäische Datenschutzausschuss (EDSA) in einer Leitlinie hierzu ausgeführt, dass der Antrag den Verantwortlichen über einen seiner offiziellen Kanäle erreicht haben muss, der Eingang allerdings auch als erfolgt gilt, wenn der Verantwortliche davon keine Kenntnis genommen hat. Es ist also wichtig, die offiziellen Kanäle im Blick zu behalten und nicht etwa nur wöchentlich oder gelegentlich nachzusehen, ob etwas eingegangen ist.

Unsicherheit bei der Identität der betroffenen Person

Die Betroffenenrechte aus der DSGVO sind höchstpersönliche Rechte. Das bedeutet, dass sie nur der betroffenen Person selbst zustehen. Nur unter engen Voraussetzungen können höchstpersönliche Rechte zur Ausübung auf Bevollmächtigte übertragen werden. Die Vollmacht muss dann aber ausdrücklich diese Übertragung zur Ausübung enthalten. Eine allgemeine Vollmacht reicht hier nicht aus. Die Vollmacht muss sich auf die Ausübung der Rechte aus der DSGVO beziehen. Und sie muss im Original vorgelegt werden.

Was aber, wenn der Verantwortliche nicht sicher ist, ob die Anfrage tatsächlich von der betroffenen Person kommt oder die Vollmacht tatsächlich ausreichend ist?

Die Identifizierung der betroffenen Person gemäß DSGVO spielt eine entscheidende Rolle für den Schutz personenbezogener Daten. Kann der Verantwortliche anhand der gemachten Angaben die betroffene Person nicht eindeutig identifizieren und die betroffene Person muss weitere Informationen beibringen damit eine Identifizierung durchgeführt werden kann, beginnt die Frist an dem Tag, an dem der Verantwortliche, der unverzüglich die erforderlichen Informationen angefragt hat, Gewissheit über die Identität der auskunftsersuchenden Person hat (vgl. 12. Tätigkeitsbericht 2022 des Bayerischen Landesamtes für Datenschutzaufsicht, Ziff. 11.2).

Die Frist für die Bearbeitung des Auskunftsersuchens beginnt daher, sobald die betroffene Person identifiziert ist. Das bedeutet, dass die Frist nicht automatisch an dem Tag beginnt, an dem die Anfrage durch die betroffene Person gestellt wurde oder beim Verantwortlichen eingegangen ist, sondern an dem Tag, an dem die Identifizierung abgeschlossen ist. Dies kann bedeuten, dass die Frist unter Umständen erst deutlich nach der eigentlichen Anfrage beginnt.

Wenn sich die betroffene Person nicht meldet

Es kann vorkommen, dass die betroffene Person sich nicht unmittelbar nach der Aufforderung zur Identifizierung meldet. Dies kann verschiedene Gründe haben, beispielsweise Urlaub oder andere Verpflichtungen. In solchen Fällen sollte der Verantwortliche Geduld haben. Die DSGVO legt für die betroffenen Personen interessanterweise keinerlei Fristen fest. Somit definiert sie auch keine genaue Frist, innerhalb derer eine betroffene Person auf Rückfragen reagieren muss. Auch wenn es nicht durch die DSGVO vorgeschrieben ist, empfehlen wir, in angemessenem zeitlichen Abstand nach der Rückfrage, eine Erinnerung zu versenden, um den Prozess voranzutreiben.

Solche Verzögerungen können dazu führen, dass die maximale Bearbeitungsfrist von einem Monat ab Eingang beim Verantwortlichen rein zeitlich betrachtet überschritten wird. Es ist auch nicht ausgeschlossen, dass sich die betroffene Person trotz Nachfrage gar nicht mehr meldet. Bitte beachten Sie, dass im Rahmen der Rückfrage gemäß Art. 12 Abs. 4 DSGVO über die Gründe dafür, weshalb man als Verantwortlicher zunächst nicht tätig wird sowie die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, informiert werden muss.

Für den Fall, dass sich die betroffene Person daraufhin bei dem Verantwortlichen oder direkt bei der Datenschutzaufsichtsbehörde beschwert, ist es ratsam, die Einhaltung des eingerichteten Prozesses im konkreten Fall nachweisen zu können.

Die Kommunikation zwischen Unternehmen und betroffener Person ist der Schlüssel, zu transparenten Lösungen und Wahrung der Rechte.

Fazit

Die korrekte Einhaltung der Fristen nach Kapitel III der DSGVO erfordert neben Geduld auch Sorgfalt. Die Identifizierung der betroffenen Person, die Kommunikation und die Berücksichtigung möglicher Verzögerungen sind entscheidend, um die Rechte der betroffenen Personen zu wahren. Die Prozesse müssen daher transparent gestaltet und intern klar kommuniziert werden, um sowohl die betroffenen Personen als auch die im Unternehmen mit der Bearbeitung beauftragten Personen gleichermaßen zu unterstützen.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.