Die Kosten von Fehlern
Betroffenenanfragen sind der Punkt, an dem DSGVO-Compliance auf die Realitaet trifft. Sie koennen die beste Datenschutzerklaerung der Welt haben, aber wenn Sie eine Anfrage einer realen Person falsch bearbeiten, werden Beschwerden eingereicht und Bussgelder verhaengt.
Aufsichtsbehoerden in ganz Europa setzen die Rechte der Betroffenen konsequent durch. Fuer KMU sind die Bussgelder nicht die Millionen aus den Schlagzeilen, aber sie sind schmerzhaft genug: 5.000 EUR hier, 15.000 EUR dort, plus Anwaltskosten und Reputationsschaden.
Hier sind sechs Fehler, die in Durchsetzungsentscheidungen immer wieder auftauchen, und wie Sie jeden einzelnen vermeiden koennen.
Fehler 1: Anfragen vollstaendig ignorieren
Was geschah: Ein deutsches Unternehmen erhielt eine Auskunftsanfrage per E-Mail. Es antwortete ueberhaupt nicht. Der Anfragende beschwerte sich bei der Landesdatenschutzbehoerde. Das Unternehmen wurde mit einem Bussgeld von 10.000 EUR belegt.
Dies ist kein Einzelfall. Die spanische AEPD verhaengt regelmaessig Bussgelder fuer unbeantwortete Anfragen, oft im Bereich von 2.000 bis 10.000 EUR. Das Muster ist immer gleich: Jemand fragt nach seinen Daten, das Unternehmen tut nichts, die Person beschwert sich.
Was sie haetten tun sollen: Auf jede Anfrage antworten, auch wenn Sie sie fuer unbegründet halten. Wenn Sie nicht nachkommen koennen, erklaeren Sie schriftlich warum.
Lektion: Keine Antwort ist immer die falsche Antwort.
Fehler 2: Die 30-Tage-Frist versaeumen
Was geschah: Ein belgisches Unternehmen erhielt eine Loeschanfrage. Es bestaetigte den Eingang, begann mit der Bearbeitung, schloss die Loeschung aber erst nach 47 Tagen ab. Die belgische Datenschutzbehoerde (GBA) stellte fest, dass die verspaetete Antwort gegen die DSGVO verstiess, unabhaengig davon, dass die Loeschung letztlich durchgefuehrt wurde.
Die Fristenfalle ist weit verbreitet: Unternehmen erhalten eine Anfrage, beginnen mit der Identitaetspruefung und starten erst dann die eigentliche Arbeit. Bis sie antworten, ist der Monat vorbei.
Was sie haetten tun sollen: Die Anfrage am ersten Tag registrieren und die Frist sofort starten. Erinnerungen nach zwei Wochen und nach drei Wochen setzen. Wenn die Anfrage komplex ist, den Anfragenden innerhalb des ersten Monats ueber eine Verlaengerung um zwei Monate informieren.
Lektion: Die Frist beginnt mit dem Eingang der Anfrage, nicht wenn Sie mit der Bearbeitung beginnen.
Fehler 3: Gebuehren erheben, wenn es nicht erlaubt ist
Was geschah: Eine Zahnarztpraxis berechnete einem Patienten 25 EUR fuer die Bereitstellung einer Kopie seiner Krankenakte als Antwort auf eine Auskunftsanfrage. Der Patient beschwerte sich. Die Aufsichtsbehoerde entschied, dass die erste Auskunftsanfrage kostenlos bereitgestellt werden muss, und die Praxis musste den Betrag erstatten und erhielt eine Verwarnung.
Nach der DSGVO ist die erste Anfrage kostenlos. Sie duerfen nur eine “angemessene Gebuehr” fuer Anfragen verlangen, die “offensichtlich unbegründet oder uebertrieben” sind - zum Beispiel wenn dieselbe Person jede Woche die gleiche Auskunftsanfrage stellt. In der Praxis wird diese Schwelle fast nie erreicht.
Was sie haetten tun sollen: Die Daten kostenlos bereitstellen. Gebuehren nur in Betracht ziehen, wenn die Anfrage eindeutig wiederholend und uebertrieben ist, und die Begründung dokumentieren.
Lektion: Erheben Sie fast nie Gebuehren. Im Zweifelsfall ist es kostenlos.
Fehler 4: Uebermassige Identifikation verlangen
Was geschah: Ein Unternehmen verlangte von einem Kunden eine vollstaendige, nicht geschwaerzte Reisepasskopie, bevor es seine Auskunftsanfrage bearbeitete. Der Kunde hatte ein Konto und schrieb von der registrierten E-Mail-Adresse. Die niederlaendische Aufsichtsbehoerde (AP) kritisierte das Unternehmen fuer unverhaeltnismaessige Identifikationsanforderungen und wies darauf hin, dass der Kunde ueber sein bestehendes Konto haette verifiziert werden koennen.
Uebermassige Identifikation ist ein doppeltes Problem: Sie verstoesst gegen den Grundsatz der Datenminimierung (Sie erheben mehr Daten als noetig) und sie schafft eine Huerde, die Menschen davon abhaelt, ihre Rechte auszuueben.
Was sie haetten tun sollen: Die Identitaet ueber das bestehende Konto verifizieren. Wenn der Kunde von seiner registrierten E-Mail-Adresse schreibt, ist das in der Regel ausreichend. Nur bei unbekannten Personen Ausweisdokumente anfordern und immer das Schwaerzen unnötiger Felder erlauben.
Lektion: Nur verhaeltnismaessige Verifizierung. Nutzen Sie, was Sie bereits haben.
Fehler 5: Unvollstaendige Antworten geben
Was geschah: Ein oesterreichisches Unternehmen antwortete auf eine Auskunftsanfrage, indem es Daten aus seinem CRM-System bereitstellte. Es versaeumte jedoch, E-Mail-Korrespondenz, Papierakten und Daten einzubeziehen, die von einem Auftragsverarbeiter in seinem Namen gespeichert wurden. Die oesterreichische Datenschutzbehoerde (DSB) befand die Antwort fuer unvollstaendig und verhaengte ein Bussgeld.
Dieser Fehler geschieht oft nicht absichtlich. Unternehmen durchsuchen ihre Hauptdatenbank und vergessen E-Mails, Cloud-Speicher, Papierarchive, Backup-Systeme und Daten bei Auftragsverarbeitern.
Was sie haetten tun sollen: Alle Systeme durchsuchen, in denen personenbezogene Daten gespeichert sein koennten. Eine Checkliste erstellen:
- CRM und Kundendatenbanken
- E-Mail-Systeme (Suche nach Name und E-Mail-Adresse)
- Buchhaltungs- und Rechnungssoftware
- HR-Systeme (fuer Mitarbeiteranfragen)
- Cloud-Speicher (Google Drive, Dropbox, OneDrive)
- Papierakten und Archive
- Daten bei Auftragsverarbeitern (Hosting-Anbieter, E-Mail-Marketing-Tools, Analytics)
- Backup-Systeme
Lektion: Suchen Sie ueberall. Eine unvollstaendige Antwort ist fast so schlimm wie keine Antwort.
Fehler 6: Daten loeschen, die Sie haetten aufbewahren sollen
Was geschah: Ein Unternehmen erhielt eine Loeschanfrage und loeschte in Panik alles - einschliesslich Rechnungen, die es gesetzlich sieben Jahre aufbewahren musste, Korrespondenz zu einem laufenden Rechtsstreit und Unterlagen, die fuer Steuerzwecke benoetigt wurden. Als das Finanzamt spaeter nach diesen Unterlagen fragte, konnte das Unternehmen sie nicht vorlegen.
Das Recht auf Loeschung ist nicht absolut. Sie muessen jede Datenkategorie vor dem Loeschen bewerten:
| Datentyp | Loeschen? |
|---|---|
| Marketingpraeferenzen, Newsletter-Abonnements | Ja, loeschen |
| CRM-Notizen ohne Rechtsgrundlage | Ja, loeschen |
| Rechnungen innerhalb der Aufbewahrungsfrist | Nein, gesetzliche Aufbewahrungspflicht |
| Daten im Zusammenhang mit laufenden Rechtsstreitigkeiten | Nein, berechtigtes Interesse an der Aufbewahrung |
| Personalakten innerhalb der gesetzlichen Aufbewahrungsfrist | Nein, gesetzliche Aufbewahrungspflicht |
| Vertragsdaten innerhalb der gesetzlichen Aufbewahrungsfrist | Nein, gesetzliche Aufbewahrungspflicht |
Was sie haetten tun sollen: Jeden Datensatz einzeln bewerten. Loeschen, was geloescht werden muss, aufbewahren, was Sie gesetzlich aufbewahren muessen, und dem Anfragenden genau erklaeren, was geloescht und was aufbewahrt wurde (und warum).
Lektion: Nicht in Panik loeschen. Erst bewerten, dann handeln.
Wie Sie es richtig machen
Jeder dieser Fehler ist mit einem klaren Prozess vermeidbar. Wenn Sie noch keinen eingerichtet haben, beginnen Sie mit unserer Schritt-fuer-Schritt-Anleitung zum Aufbau eines Prozesses fuer Betroffenenanfragen. Sie deckt alles ab, von der Benennung einer Kontaktstelle bis zur Dokumentation Ihrer Antwort.
Das Muster bei allen sechs Fehlern ist dasselbe: Sie passieren, wenn es keinen Prozess gibt, kein Register und keine Vorlagen. Beheben Sie diese drei Dinge und Sie beheben das Problem.
GDPRWise analysiert Ihre aktuelle Einrichtung und identifiziert Luecken in Ihrem Anfragenprozess, bevor sie zu Beschwerden werden.