Was ist die Datenschutz Grundverordnung?

DGSVO: Die wichtigsten Änderungen im Datenschutz!

In erster Linie führt die Modernisierung des Datenschutzes dazu, dass einheitliche Regelungen EU-weit gelten. Während in Deutschland Datenschutz schon immer eine hohe Priorität hatte, waren in anderen Ländern die Gesetzesvorgaben deutlich lockerer. Vor allem die rasante Entwicklung der Informationstechnologie erfordert eine Aktualisierung des Datenschutzes. Die Standards der alten Datenschutzrichtlinie (95/46/EG) von 1995 waren längst nicht mehr zeitgemäß.

Transparenz als Wettbewerbsvorteil: Warum Unternehmen die DSGVO ernst nehmen sollten.

Jeder einzelne Verbraucher hat das Recht zu erfahren, welche Unternehmen seine personenbezogenen Daten erfasst haben. Die Datenschutz Grundverordnung schreibt vor, dass Unternehmen umfassende Auskunft darüber geben müssen, zu welchem Zweck und wann sie diese Daten gespeichert haben. Auch die Speicherdauer muss transparent dargelegt werden. Sollten europäische Kundendaten außerhalb der EU gesammelt oder weiterverarbeitet werden, besteht eine Mitteilungspflicht seitens des Unternehmens. Jeder Kunde kann bei einem Unternehmen seine Daten einsehen und überprüfen. Allerdings gibt es Ausnahmen: Das Bundesdatenschutzgesetz (BDSG) in seiner neuesten Fassung seit dem 25. Mai 2018, schränkt in wenigen Fällen den Informationsanspruch ein. Modernisierung des Europäischen Datenschutzrechts

Vertrauen statt Risiko: Warum das Recht auf Vergessenwerden unverzichtbar ist

Es ist das Recht eines jeden Verbrauchers zu wissen, welche Unternehmen seine persönlichen Daten gesammelt haben. Die Datenschutz Grundverordnung hat erweiterte Informationsansprüche eingeführt, um dies zu gewährleisten. Unternehmen müssen transparent darlegen, wann und zu welchem Zweck sie persönliche Kundendaten gespeichert haben, und auch über die Speicherdauer Rechenschaft ablegen. Wenn europäische Kundendaten außerhalb der EU gesammelt oder weiterverarbeitet werden, sind Unternehmen verpflichtet, dies mitzuteilen. Jeder Kunde hat das Recht, seine Daten bei einem Unternehmen abzufragen. Es gibt jedoch eine kleine Ausnahme: Das neue Bundesdatenschutzgesetz (BDSG), das seit dem 25. Mai 2018 in Kraft ist, schränkt den Informationsanspruch in wenigen Fällen ein. Kleinstbetriebe, die ihre Datenerfassung noch in analoger Form durchführen, sind beispielsweise von der Informationspflicht ausgenommen.

Marktortprinzip

Seit der Einführung der Datenschutz Grundverordnung ist das europäische Datenschutzrecht nicht mehr ausschließlich für Betriebe mit Sitz in der EU relevant. Vielmehr müssen auch Unternehmen, die ihre Waren oder Dienstleistungen innerhalb der EU anbieten, die Bestimmungen der DSGVO einhalten. Dazu zählen auch Unternehmen aus Drittländern, wie beispielsweise Social-Media-Anbieter. Diese müssen ebenfalls die DSGVO beachten und einen Vertreter in der EU benennen, sofern sie hier keine Niederlassung haben. Im Vordergrund steht nicht mehr die Herkunft eines Artikels, sondern vielmehr, ob ein Produkt oder eine Dienstleistung auf dem europäischen Binnenmarkt angeboten wird. Das Marktortprinzip gilt sogar für statistische Erhebungen. Sollte ein Marktforschungsunternehmen außerhalb der EU ansässig sein und Daten über das Internetverhalten von EU-Bürgern sammeln, ist auch hier die DSGVO anzuwenden.

Portabilität der Daten

Dank der Datenschutz Grundverordnung haben Verbraucher nun mehr Kontrolle über ihre persönlichen Daten. Unter dem Motto "Meine Daten, meine Entscheidung" können sie ihre Daten problemlos zu einem anderen Unternehmen übertragen. Dies erleichtert nicht nur den Wechsel von Telefon- oder Stromanbietern, sondern auch jegliche andere Vertragswechsel. Gemäß der DSGVO ist der bisherige Anbieter verpflichtet, alle gespeicherten Kundendaten in einem standardisierten Formular zur Verfügung zu stellen, sofern die entsprechende Funktionalität bereits vorhanden ist. Eine Anpassung bereits vorhandener Tools ist dabei nicht erforderlich. Bei der Wahl eines neuen Anbieters sollte dieser Aspekt jedoch berücksichtigt werden. Der neue Anbieter muss die Daten des Verbrauchers - sofern technisch möglich - in sein System übernehmen. Im Idealfall überträgt der alte Anbieter die Daten direkt an den neuen Geschäftspartner des Kunden. Vor diesem Datentransfer ist jedoch die Zustimmung des Verbrauchers erforderlich.

Eine Anlaufstelle für eine Datenschutzfragen

Wenn ein Unternehmen aus dem Ausland gegen Datenschutzbestimmungen verstößt, mussten Verbraucher bislang den Umweg über die Aufsichtsbehörde des jeweiligen Landes gehen. Leider stellten sich internationale Beschwerdeverfahren oft als sehr kompliziert heraus. Doch die DSGVO hat nun eine vereinfachte Regelung festgelegt. Wenn ein EU-Bürger den Verdacht hat, dass personenbezogene Daten nicht konform genutzt werden, kann er sich direkt an die inländische Aufsichtsbehörde wenden. Für Deutsche ist also die deutsche Aufsichtsbehörde zuständig. Diese übernimmt alle weiteren Schritte und stimmt das weitere Vorgehen mit der betroffenen EU-Dienststelle ab. Außerdem findet eine gerichtliche Überprüfung von Datenschutzverfehlungen im Heimatland des Betroffenen statt. So können aufwendige internationale Verfahren vermieden werden.

Welche Konsequenzen ergeben sich aufgrund der DSGVO für Unternehmen?

Für Unternehmen mit Sitz in der Europäischen Union haben die aufgeführten Punkte in erster Linie Auswirkungen auf ihre Geschäfte. Das gilt gleichermaßen für kleine Ein-Personen-Unternehmen und internationale Großkonzerne. Aus diesem Grund ist jedes Unternehmen gezwungen zu handeln, um die Anforderungen der DSGVO im geschäftlichen Alltag zu erfüllen. Das mag im ersten Moment kompliziert erscheinen, aber mit ein paar einfachen Tipps kann jedes Unternehmen zukunftssicher im Bereich Datenschutz aufgestellt werden.

Ist-Analyse - GAP - Analyse - Bestands-Analyse

Mit der Einführung der Datenschutz Grundverordnung müssen Unternehmer nun genau wissen, wo und aus welchem Grund sie die personenbezogenen Daten ihrer Kunden verarbeiten. Es ist daher ratsam, eine umfassende Dateninventur durchzuführen und genau zu überprüfen, wie und zu welchem Zweck die Kundendaten genutzt werden. Dabei ist es auch wichtig zu ermitteln, wer Zugriff auf die Daten hat, wie lange sie gespeichert werden und wer Zugriff darauf hat. Sollten Zweifel bestehen, ist es empfehlenswert, eine enge Koordination zwischen der Geschäftsführung, dem Datenschutzbeauftragten, der IT-Abteilung und dem Kundenservice zu gewährleisten, um die aktuellen Bestimmungen zu klären.

Verzeichnis von Verarbeitungstätigkeiten

Mit dem Verzeichnis von Verarbeitungstätigkeiten wird die Verpflichtung zur Dokumentation erweitert. Im Internet sind diverse rechtskonforme Vorlagen verfügbar, beispielsweise auf der Webseite des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) oder des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V. Das Verarbeitungsverzeichnis ersetzt die bislang erforderlichen Meldungen beim Verfahrensregister und bietet eine umfassende Übersicht über den Zweck der Datenverarbeitung sowie Kontaktinformationen des zuständigen Ansprechpartners im Unternehmen. Zudem werden die Datensicherheitsmaßnahmen detailliert dargestellt und die erhobenen Datenkategorien aufgeführt.

Wie erstelle ich das Verzeichnis von Verarbeitungstätigkeiten?

Im Rahmen der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten wird zunächst eine Auflistung sämtlicher Prozesse im Unternehmen vorgenommen, bei denen personenbezogene Daten manipuliert werden. Typischerweise werden in einem Betrieb bei folgenden Vorgängen personenbezogene Daten verarbeitet - diese Liste ist jedoch nicht erschöpfend:

  • Elektronischer Zahlungsverkehr
  • Finanzbuchhaltung
  • Reisekostenabrechnung
  • E-Mail-Kommunikation
  • Kalender- und Terminverwaltung
  • Nutzung von Bürosoftware (z.B. Microsoft Office, Open Office)
  • Verwendung von Cloud-Diensten zur Speicherung (z.B. Dropbox, Google Drive, Microsoft Azure)
  • Customer Relationship Management
  • Kontaktanfragen über Webformulare
  • Webtracking
  • Telefonanlage

Das Verzeichnis der Verarbeitungstätigkeiten ermöglicht eine umfassende Übersicht über die diversen Vorgänge, die innerhalb des Unternehmens durchgeführt werden. Es stellt des Weiteren ein unverzichtbares Werkzeug dar, um rasch und einfach einen Einblick in die betrieblichen Abläufe zu gewinnen und zu evaluieren, ob diese den aktuellen Technologiestandards entsprechen.

DSGVO Konformität in 10 Schritten

  1. IST-Analyse: Wie weit ist die Datenschutz Grundverordnung im Unternehmen umgesetzt?

Auf Basis der IST-Analyse ermitteln Sie den aktuellen Stand Ihrer Datenschutzmaßnahmen im Unternehmen. Dabei werden alle relevanten Prozesse und Maßnahmen auf ihre Effektivität überprüft und dokumentiert. Eine IST-Analyse hilft Ihnen dabei, Schwachstellen im Datenschutz aufzudecken und zu beseitigen.

  1. Die Bestimmung personenbezogener Daten: Prozesse im Fokus

Welche Systeme bzw. welche Prozesse kommen für die Verarbeitung von Daten zum Einsatz? Erfüllen sie die erforderlichen Sicherheitsstandards? Existieren gegebenenfalls alternative Optionen?

  1. Dauer der Speicherung: Wie lange dürfen Daten gespeichert werden?

Wie lange werden die gespeicherten Daten aufbewahrt? Bestehen Optionen, um die Aufbewahrungsfrist zu verringern? Existieren automatische Mechanismen zur Löschung oder sind solche in der Planung?

  1. Ermittlung der Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten

Vor der Verarbeitung von personenbezogenen Daten durch einen Verantwortlichen gilt es, die Rechtmäßigkeit der Verarbeitung zu überprüfen. Die Datenschutz-Grundverordnung bietet hierfür insbesondere in Artikel 6 verschiedene Rechtsgrundlagen. Es ist jedoch ratsam, den Kollegen zu verdeutlichen, dass sie bei der Auswahl dieser Rechtsgrundlagen möglichst nicht auf die Einwilligung als erste Option zurückgreifen sollten.

  1. Erstellung des Verzeichnisses der Verarbeitungstätigkeiten

Es ist erforderlich, das Verzeichnis von Verarbeitungstätigkeiten (VVT) schriftlich zu führen. Alternativ kann auch eine elektronische Version wie eine Excel-Tabelle genutzt werden, was gemäß Art. 30 Abs. 3 DSGVO zulässig ist. Der Zugang zum VVT ist ausschließlich dem Unternehmen vorbehalten und Betroffene haben kein Recht auf Einsicht. Es bedarf auch keiner öffentlichen Zugänglichkeit des Verzeichnisses. Allerdings muss die Aufsichtsbehörde das VVT auf Verlangen hin zur Verfügung gestellt bekommen, was in Art. 30 Abs. 4 DSGVO geregelt ist.

  1. Überprüfung auf Notwendigkeit von Auftragsverarbeitungsverträgen

Für den Fall, dass personenbezogene Daten von Dritten im Auftrag verarbeitet oder genutzt werden sollen, bedarf es eines Auftragsverarbeitungsvertrags (AVV). Die Datenweitergabe unterliegt den gesetzlichen Regelungen der EU-Datenschutz-Grundverordnung (DSGVO).

Erstellung der Datenschutzdokumentation für das Unternehmen

Datenschutzkonzept/-richtlinie: Das Datenschutzkonzept bzw. die Datenschutzrichtlinie ist ein äußerst umfangreiches Schriftstück, das sämtliche Vorkehrungen zum Schutz personenbezogener Daten eines Unternehmens zusammenfasst und über die Rechtmäßigkeit der jeweiligen Datenverarbeitungen aufklärt. Es ist von zentraler Bedeutung für das Datenschutzmanagement und stellt eine Art Leitfaden dar.

DSFA - Datenschutzfolgeabschätzung: Vor jeder beabsichtigten Datenverarbeitung, die ein hohes Risiko für die Freiheitsrechte der Bürger darstellt, insbesondere beim Einsatz von neuen Technologien oder großen Datenmengen, ist eine dokumentierte Datenschutzfolgeabschätzung erforderlich. Diese Prüfung dient dazu, die möglichen Auswirkungen auf die Privatsphäre der Betroffenen sowie auf andere personenbezogene Rechte und Freiheiten abzuschätzen. Die Datenschutzfolgeabschätzung ist somit ein wichtiger Schritt, um sicherzustellen, dass personenbezogene Daten nur im Einklang mit den geltenden Datenschutzbestimmungen verarbeitet werden. Darüber hinaus trägt sie dazu bei, Risiken für die Privatsphäre und andere grundlegende Freiheitsrechte zu minimieren und den Schutz personenbezogener Daten zu erhöhen.

Datenschutzhinweise: Die Datenschutzhinweise dienen dazu, dem Nutzer zu erläutern, wie eine Datenverarbeitung abläuft, welche Schritte bei der Datenerhebung und -verarbeitung erfolgen. Nicht nur auf Webseiten, sondern auch in Vertriebs- und Vertragsunterlagen finden sich häufig entsprechende Datenschutz Dokumente.

Verpflichtung auf die Vertraulichkeit: Als Mitarbeiter, der im Rahmen seiner Tätigkeit personenbezogene Daten verarbeiten wird, ist es erforderlich, dass Sie sich zur Wahrung der Vertraulichkeit verpflichten. Hierfür wird eine entsprechende Vereinbarung zur Vertraulichkeit von Ihnen unterzeichnet.

Mitarbeiterverpflichtung auf die Vertraulichkeit: Als Mitarbeiter, der im Rahmen seiner Tätigkeit personenbezogene Daten verarbeiten wird, ist es erforderlich, dass Sie sich zur Wahrung der Vertraulichkeit verpflichten. Hierfür wird eine entsprechende Vereinbarung zur Vertraulichkeit von Ihnen unterzeichnet.

Erstellung der technischen-organisatorischen Maßnahmen: Die technisch-organisatorischen Maßnahmen (TOM) sind essentiell für den Schutz personenbezogener Daten und müssen entsprechend dokumentiert werden. Eine schriftliche Aufzeichnung der TOMs ist zwingend notwendig, um bei der Überprüfung von Auftragsverarbeitungen ausreichende Garantien vorweisen zu können.

Die Verarbeitung der personenbezogenen Daten rechtskonform gestalten - die 7 Grundsätze der DSGVO

Bei der Erstellung der Datenschutz Grundverordnung wurden essenzielle Prinzipien berücksichtigt, welche bei der Sammlung und Verarbeitung von Daten zu beachten sind. In diesem Beitrag werden die sieben Grundsätze der DSGVO erläutert und deren praktische Bedeutung aufgezeigt. Es ist von großer Bedeutung, sich an diese Grundsätze zu halten, um die Integrität und Sicherheit der Daten zu gewährleisten.

Die Grundsätze im Einzelnen

Nr. 1: Grundsatz der Rechtmäßigkeit, Fairness (Verarbeitung nach Treu und Glauben) und Transparenz

Die Rechtmäßigkeit der Datenverarbeitung ist von großer Bedeutung, da sie sicherstellt, dass sämtliche Prozesse, die mit den Daten Ihrer Nutzer in Verbindung stehen, auf einer anerkannten und legitimen Grundlage beruhen. Hierbei ist es von essentieller Bedeutung, dass diese Prozesse stets fair und transparent ablaufen. Dabei müssen Sie sich stets an Ihre Datenschutzerklärung halten und dürfen die Daten Ihrer Nutzer lediglich auf die Weise verwenden, die Sie Ihren Nutzern zuvor kommuniziert haben.

Nr. 2: Grundsatz der Zweckbindung

Der Grundsatz der Zweckbindung ist eng mit dem Grundsatz der Transparenz verknüpft. In Ihrer Datenschutzerklärung müssen Sie deutlich angeben, welche Daten Sie erheben und verarbeiten und zu welchem Zweck. Sie sind daher nur befugt, diese Daten für die Zwecke zu nutzen, für die sie erhoben wurden.

Nr. 3: Grundsatz der Datenminimierung

Obwohl es im Einklang mit den Bestimmungen der DSGVO empfehlenswert ist, anonyme Daten zu nutzen, sollten personenbezogene Daten nur in dem Umfang erhoben werden, der für Ihre Zwecke unbedingt erforderlich ist. Demnach gilt es, die Datenerhebung auf das unbedingte Minimum zu beschränken, um den Schutz personenbezogener Daten zu gewährleisten.

Nr. 4: Grundsatz der Richtigkeit

Es ist von entscheidender Bedeutung, dass die von Ihnen gespeicherten Daten stets korrekt und aktuell sind. Nur so können Sie sicherstellen, dass Ihre Geschäftsprozesse reibungslos ablaufen und Sie wertvolle Einblicke aus Ihren Daten gewinnen können. Vernachlässigen Sie diesen Aspekt nicht, da veraltete oder fehlerhafte Informationen zu erheblichen Problemen führen können. Sorgen Sie daher dafür, dass Ihre Daten stets auf dem neuesten Stand sind und halten Sie Ihre Datensätze akribisch gepflegt. Damit können Sie sicher sein, dass Sie jederzeit auf fundierte und aussagekräftige Informationen zurückgreifen können.

Nr. 5: Grundsatz der Speicherbregenzug

Die Aufbewahrung Ihrer Daten in aktuellem Zustand ist essentiell, jedoch dürfen sie keinesfalls unbegrenzt abgelegt werden. Die DSGVO verlangt klare Vorgaben von Ihnen, welche kurze Speicherfristen bis zum Ablaufdatum definiert werden müssen. Es ist daher wichtig zu erläutern, weshalb eine bestimmte Frist notwendig ist. Sobald der Zeitrahmen für die Aufbewahrung abgelaufen ist, obliegt es Ihnen, die Daten zu löschen oder zu überprüfen.

Nr. 6: Grundsatz der Integrität und Vertraulichkeit

Als Verantwortlicher für die Daten Ihrer Nutzer müssen Sie stets nach den Prinzipien von Integrität und Vertraulichkeit handeln. Dies bedeutet, dass Sie die Daten auf sichere Weise speichern und vor unbefugter Verarbeitung oder unvorhergesehenem Verlust, Zerstörung oder Schaden schützen müssen. Ein weiterer wichtiger Aspekt ist die Sicherung der Identität Ihrer Nutzer. Eine effektive Methode hierfür ist die Anonymisierung der Daten. Halten Sie sich stets an diese Grundsätze und vermeiden Sie Datenschutzverletzungen.

Nr. 7: Grundsatz der Rechenschaftspflicht

Die Datenschutz Grundverordnung (DSGVO) der europäischen Union erlangt von Ihnen, dass Sie in bestimmten Fällen eine vollständige und umfassende Dokumentation aller Verarbeitungstätigkeiten führen. Doch auch wenn Ihre Tätigkeiten nicht unter diese Kategorie fallen, müssen Sie dennoch grundlegende Aufzeichnungen darüber führen, welche Daten Sie erheben, zu welchem Zweck diese verarbeitet werden, wer an der Verarbeitung beteiligt ist und wie lange die Daten aufbewahrt werden. Diese Praxis ist unumgänglich und ein wichtiger Teil des Datenschutzes.

Datenschutzkonforme Verarbeitung personenbezogener Daten

Es mag ungewöhnlich klingen, jedoch ist laut Datenschutz-Grundverordnung die Erhebung von Daten über eine Person generell untersagt. Unternehmen haben jedoch eine Möglichkeit, dies zu umgehen, die sie als "gesetzlicher Erlaubnistatbestand" bezeichnen. Aber wann ist eine Datenspeicherung tatsächlich gemäß DSGVO erlaubt? Informationen dazu finden sich in Artikel 6 der Verordnung.

Demnach ist eine Datenverarbeitung nur legal, wenn eine der folgenden Bedingungen erfüllt ist:

Einwilligung zur Verarbeitung personenbezogener Daten

Es wurde von der betroffenen Person ausdrücklich der Erhebung von Daten zugestimmt.

Die Verarbeitung ist für die Erfüllung eines Vertrags notwendig

Es ist Unternehmen gestattet, personenbezogene Daten ihrer Klientel zu verarbeiten, sofern diese für die Erfüllung eines Vertrages notwendig sind.#

Rechtliche Verpflichtung

Es besteht die Möglichkeit, personenbezogene Daten einer natürlichen Person ohne deren ausdrückliche Zustimmung zu verarbeiten, sofern dies gesetzlich vorgeschrieben ist. Die Pflicht zur Einhaltung bestimmter rechtlicher Vorschriften kann somit eine Datenverarbeitung ohne Einwilligung der betroffenen Person rechtfertigen.

Lebenswichtige Interessen

Es besteht die Möglichkeit, personenbezogene Daten zur Sicherung der körperlichen Unversehrtheit zu verarbeiten. Dies trifft unter anderem auf medizinische Einrichtungen wie Krankenhäuser oder Gesundheitskarten zu.

Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse

Wenn eine Person eine bestimmte Aufgabe im öffentlichen Interesse erfüllen muss, kann die Verarbeitung von Daten ebenfalls zulässig sein.

Verarbeitung zur Wahrung von berechtigtem Interesse

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Vermeiden Sie teure Folgen: Sanktionen und Bußgelder bei DSGVO-Verstößen

Die DSGVO legt bei Verstößen gegen Datenschutzbestimmungen eine konsequente Linie an den Tag. Geldstrafen sind das Mittel der Wahl, um Unternehmen und Organisationen zur Einhaltung der Regelungen zu bewegen. Bei besonders schwerwiegenden Vergehen können die Strafen drastisch ausfallen und bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes ausmachen. Ein klares Signal an alle, die den Datenschutz nicht ernst nehmen: Die DSGVO nimmt ihre Aufgabe ernst und schützt die Rechte der Verbraucher.

Rechte der betroffenen Personen im Fokus: Datenschutz gewährleisten

Die DSGVO gewährt betroffenen Personen ein umfassendes Paket an Rechten. Ein zentrales Betroffenenrecht stellt das sogenannte Auskunftsrecht gemäß Art. 15 DSGVO dar. Dieses basiert auf Art. 8 Abs. 2 S.2 GRCh der Europäischen Grundrechte-Charta. Das Auskunftsrecht ist von hoher Praxisrelevanz, da es den Betroffenen Informationen zur Geltendmachung weiterer Betroffenenrechte zur Verfügung stellt. Unter Einhaltung der jeweiligen gesetzlichen Voraussetzungen steht betroffenen Personen dieses Recht zu:

  • das Recht auf Berichtigung (Art. 16 DSGVO),
  • das Recht auf Löschung (Art. 17 DSGVO),
  • das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • das Recht auf Widerspruch, welches insbesondere bei Werbewidersprüchen einschlägig ist (Art. 21 DSGVO)
  • und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) zu.

Ebenso haben Betroffene das Recht, sich bei Aufsichtsbehörden zu beschweren, falls sie der Meinung sind, dass eine Verarbeitung ihrer Daten gegen die Bestimmungen der DSGVO verstößt (Art. 77 DSGVO). Zudem gewährt die DSGVO betroffenen Personen einen eigenen Anspruch auf Schadensersatz (Art. 82 DSGVO). Unternehmen sind dazu verpflichtet, Anfragen von Betroffenen unverzüglich und spätestens innerhalb eines Monats zu beantworten (Art. 12 Abs. 3 S. 1 DSGVO).

Es ist wichtig zu beachten, dass fehlende oder verspätete Antworten auf Betroffenenanfragen häufig der Grund für Beschwerden bei den Aufsichtsbehörden sind. Aus diesem Grund sollten Unternehmen frühzeitig geeignete Prozesse und Berichtslinien etablieren, um sicherzustellen, dass Anfragen fristgemäß beantwortet werden.