Lektion 9

Auskunftsbegehren – wie Sie damit korrekt umgehen

Womit Ihre Kunden auf Sie zukommen werden

Sie sollten auf alle möglichen Anfragen - sei es eine einfache Auskunft oder auch eine Löschungsanfrage – vorbereitet sein und wissen, wie Sie mit diesen umgehen. Dabei werden die folgenden Auskunftsbegehren wohl am häufigsten auf Sie zukommen:

Werden Sie gefragt, welche Daten Sie über die betreffende Person speichern, ist es wichtig, auch wirklich alle Daten offenzulegen. Ziehen Sie hierzu Ihr erstelltes Verarbeitungsverzeichnis zu Rate und stellen Sie auf dieser Grundlage eine Übersicht zusammen. Falls Sie besonders viele Daten speichern, sollten Sie einen Prozess einrichten, der die automatische Abfrage aller gespeicherten Daten "auf Knopfdruck" ermöglicht. Wichtig ist, dass sich der Betroffene, bevor Sie Daten übermitteln, entsprechend ausweisen kann, z. B. durch einen Personalausweis, Reisepass oder Führerschein. Dieser Schritt ist notwendig um sicherzustellen, dass personenbezogene Daten niemals einer unberechtigten Person zur Verfügung gestellt werden.

​Hier müssen Sie exakt mitteilen, wo Ihre Kundendaten liegen. Das wird wahrscheinlich ein Server bei einem Hoster sein. Zudem müssen Sie mitteilen, wie der Zugang zu diesen Servern gesichert ist. Die benötigten Informationen können Sie bei Ihrem Hosting-Provider erfragen.

Ein Widerruf ist die Aufhebung einer Einwilligung. Wie schnell Sie dieser Bitte nachkommen müssen, hängt davon ab, ob Sie eine rechtliche Aufbewahrungsfrist haben. Bei einem Newsletter ist das i.d.R. nicht der Fall, daher müssen Sie der Bitte unverzüglich entsprechen. Sollte der Widerruf allerdings mit einem Gesetz kollidieren, ist das anders. Lesen Sie die genaue Vorgehensweise weiter unten.

​Wie Sie mit Löschungsanfragen umgehen

Löschungsanfragen gehören zu den heikelsten Anfragen für Unternehmen. Sie gründen sich auf das sogenannte "Recht auf Vergessenwerden", das mit der DSGVO nun direkte Geltung erlangt.

Im Falle einer Löschungsanfrage ist es daher wichtig, dass Sie vorab ein Löschungskonzept ausarbeiten und implementieren. Hierbei handelt es sich um einen festen Ablauf, nach dem alle personenbezogenen Daten in Ihrem Unternehmen gelöscht werden. Erst auf dieser Grundlage können Sie rechtssicher mit Löschungsanfragen umgehen.

​Aber Achtung, eine Löschung muss nicht nur dann vorgenommen werden, wenn eine Löschungsanfrage des Kunden bei Ihnen eingeht. Es müssen auch ohne eine konkrete Anfrage Löschungen der Kundendaten erfolgen, wenn die jeweils geltenden Fristen abgelaufen sind. Das heißt, Sie müssen grundsätzlich immer aktiv handeln.

Aus diesem Grund empfehlen wir Ihnen dringend, gemeinsam mit Ihrem Anwalt ein Löschungskonzept zu erarbeiten. Dies ist sehr individuell und abhängig von den Daten, die Sie verarbeiten.

HINWEIS

Käuferdaten müssen Sie in Deutschland generell 10 Jahre aufbewahren. Mitarbeiterdaten sollten Sie 30 Jahre aufbewahren.

Häufig gestellte Fragen zur Löschung von Kundendaten

Es gehen Ihnen jetzt sicherlich einige Fragen zu diesem Thema durch den Kopf. Zu den häufigsten Fragen möchten wir Ihnen direkt eine Hilfestellung geben. Auf dieser Grundlage können Sie dann Ihre relevanten Punkte mit Ihrem Anwalt besprechen.

Zunächst einmal gibt es unterschiedliche Fristen. Die verschiedenen Bereiche, in denen Sie Fristen unterliegen, sind Rechnungswesen, Steuer- und Zollrecht, Vertragswesen, Arbeitsverhältnisse und branchenspezifische Fristen. Auf Grundlage dieser Fristen gibt es im Löschungsrecht spezielle Ablehnungsgründe. Das heißt, ein Löschungsanliegen darf dann abgelehnt werden, wenn Sie die entsprechenden Daten zur Einhaltung einer rechtlichen Verpflichtung benötigen. Diese rechtliche Verpflichtung ergibt sich aus den oben genannten Fristen. In der Praxis bedeutet dies, dass nach Eingang eines Antrags auf Löschung spätestens innerhalb von einem Monat nach Zugang eine Antwort erfolgen muss, die den Antragsteller über die ergriffenen Maßnahmen unterrichtet oder die Gründe der Ablehnung darlegt.

Nein. Die DSGVO hat unter anderem zwei Grundsätze. Diese lauten Richtigkeit und Speicherbegrenzung. Das heißt, dass alle personenbezogenen Daten korrekt und auf dem neuesten Stand sein müssen. Falsche Daten müssen bereinigt werden. Bei der Speicherbegrenzung geht es darum, dass die Daten nur in dem Maße gespeichert und aufbewahrt werden, wie diese für den eigentlichen Zweck benötigt werden. Das bedeutet, werden diese nicht mehr benötigt und unterliegen keiner Aufbewahrungsfrist, sind diese, wie bereits beschrieben, aktiv von Ihnen zu löschen.

Grundsätzlich sind Anträge von Betroffenen innerhalb eines Monats zu bearbeiten. Bei komplexen Sachverhalten besteht auch die Möglichkeit eine Fristverlängerung um zwei Monate zu beantragen. Dies teilen Sie dem Antragsteller inkl. einer stichhaltigen Begründung mit. In diesem Fall haben Sie insgesamt drei Monate Zeit die Anfrage zu bearbeiten.

Hier gelten wieder die gesetzlichen Aufbewahrungsfristen und zusätzlich, ob die Speicherung der Daten für einen bestimmten Zweck notwendig ist. Bei Leads ist der Zweck der Aufbewahrung nur gegeben, wenn Sie bereits eine bestehende Kundenbeziehung nachweisen können. Andernfalls gibt es keine Grundlage für eine Aufbewahrung.

Solange Sie gesetzlichen Aufbewahrungsfristen Folge leisten müssen, z.B. bei Rechnungen, die Sie als Unternehmer gemäß Ihrer länderspezifischen Aufbewahrungsfrist (Deutschland 10 Jahre, Österreich 7 Jahre) aufbewahren müssen, können Sie der Löschungsanfrage nicht entsprechen. Allerdings müssen Sie das gegenüber dem Kunden kommunizieren - nach derzeitigem Rechtsstand innerhalb eines Monats nach Eingang der Anfrage.

Eine Überprüfung wird von der Datenschutzbehörde vorgenommen. Diese wird dann unter anderem nach Löschungsvorgängen, Ihrem Löschungskonzept, Aufbewahrungsfristen, und mehr fragen. Sie ist auch berechtigt, Zutritt zu den Räumlichkeiten der Speicherung der Daten zu fordern und dort eine genaue Überprüfung vorzunehmen.

Downloads / Lernmaterialien

Weitere Informationen zum Thema Löschung

LINK

Speicher- und Aufbewahrungsfristen für Österreich

LINK

← Zurück zu Lektion 8

Zu Lektion 10 →

Übersicht Lektionen

Wechseln Sie schnell und bequem zu allen Lektionen des Kurses

Kursübersicht
Lektion 1 DSGVO Basics, Begriffsbestimmungen
Lektion 2 Datenschutz: Ihr Business - Ihre Verantwortung
Lektion 3 Die Datenschutzerklärung
Lektion 4 Auftragsverarbeiter - was müssen Sie beachten?
Lektion 5 E-Mail-Marketing: was sich ändert
Lektion 6 Lead-Magneten und das Kopplungsverbot
Lektion 7 DSGVO-konformes Tracking
Lektion 8 Ihr Business - so gehen Sie intern korrekt mit Daten um
Lektion 10 Die DSGVO und Digistore24

Wir möchten ausdrücklich darauf hinweisen, dass dieser Online-Kurs keinesfalls eine Rechtsberatung durch einen Fachanwalt ersetzt und auch keinen Anspruch auf Richtigkeit oder Vollständigkeit hat.

www.digistore24.com | Impressum | Datenschutzerklärung

English | German

Made with coachannel Badge