Article

DSGVO und die Rechte der Betroffenen – Herausforderung Auskunftsrecht

Der Europäische Datenschutztag, der seit 2007 jährlich am 28. Januar begangen wird, bietet Anlass, um den aktuellen Stand der Datenschutz-Compliance in Unternehmen nach Wirksamwerden der DSGVO vor knapp zwei Jahren zu reflektieren. Insbesondere jene Aspekte, die eine direkte Schnittstelle zu den betroffenen Personen – Kunden oder Mitarbeitern – betreffen. Cookie-Einwilligungen, Datenschutzhinweise und Auskunftsersuchen von Betroffenen sind an erster Stelle zu nennen. Zum Thema Auskunftsersuchen hat Deloitte in den letzten Monaten eine empirische und anonyme Untersuchung bei 44 deutschen Unternehmen aus Industrie und Dienstleistungssektor durchgeführt.

Im Mittelpunkt stand dabei die Frage, ob Betroffene schnell, verlässlich und in gesetzeskonformer Art, Auskunft zu ihren von Unternehmen erhobenen Daten erhalten.

Im Ergebnis lassen die ausgewerteten Daten folgende Einschätzung des Reifegrades der Unternehmen zu:

  1. Die Organisationen scheinen Prozesse zur Bearbeitung von Datenschutz-Auskunftsersuchen betroffener Personen etabliert zu haben, jedoch…
  2. …ist die Usability (Nutzerfreundlichkeit) der Prozesse für die Antragsteller in vielen Fällen noch deutlich ausbaufähig, und…
  3.  …die Art, Dauer und Qualität der Antworten, die teilweise mehrere iterative Schleifen enthielten, lassen darauf schließen, dass die Prozesse mit hohem manuellen Aufwand durchgeführt werden und Effizienzsteigerungen möglich wären.

Nachfolgend stellen wir die wichtigsten Ergebnisse zusammengefasst dar. Eine ausführliche Fassung der Untersuchung werden wir demnächst veröffentlichen.

 

Auskunftsersuchen werden beantwortet

Unternehmen nehmen das Recht auf Auskunft nach Art. 15 DSGVO für die Betroffenen ernst und haben mit dem Aufsetzen entsprechender Prozesse reagiert. Aus unserer Untersuchung wird deutlich, dass besonders Unternehmen, die bereits einen Fokus auf Daten legen oder besonders kundenorientiert sind, über ausgereifte Auskunftsprozesse zu verfügen scheinen. Auch Tools zur Selbstauskunft, die über das Kundenkonto aufgerufen werden können, sind teilweise implementiert, um den Betroffenen direkten, transparenten Zugriff auf die Daten zu ermöglichen und den Aufwand einer Beauskunftung für das jeweilige Unternehmen deutlich zu reduzieren.
 

Usability und User Experience: Wichtige Faktoren für ein positives Unternehmensbild, die sich noch optimieren lassen

Die Ergebnisse der Untersuchung offenbaren, dass die User Experience oft eingeschränkt ist. Dies zeigt sich schon an dem ersten kritischen Prozessschritt der Identitätsprüfung – sind die Anfragenden tatsächlich die Personen, als die sie sich ausgeben und für die sie Auskunft über die Daten erlangen möchten? Eine zu spezifische und detaillierte Identitätsprüfung schränkt nicht nur die Usability und User Experience ein, sondern kann unter Umständen auch den Eindruck erwecken, die Betroffenen durch hohe Bürden vom Auskunftsersuchen abzubringen. Wobei selbstverständlich auch das Weglassen einer Identitätsprüfung kritisch zu bewerten ist. Aber auch hinsichtlich des Formats, der Aufbereitung, des Antwortstils und der Art der Datenübertragung sollte eine hohe Usability und User Experience gegeben sein.

In unserer Untersuchung haben sich deutliche Unterschiede in der Aufbereitung und Bereitstellung der Auskunftsschreiben zwischen den einzelnen Unternehmen gezeigt.

 

Manuell aufwendige Prozessgestaltungen bieten große Optimierungs- und Effizienzsteigerungspotenziale

Die Art der übermittelten Ergebnisse und die teilweise mehrphasigen Iterationsschleifen lassen den Schluss zu, dass viele Unternehmen ihre Prozesse zur Beauskunftung mit einem hohen Anteil an manuellen Aufwänden gestaltet haben. Das ist in erster Näherung auch verständlich.
Die Beauskunftung von Stammdaten verläuft in den meisten Fällen routiniert und kann verhältnismäßig einfach in der Datenbank eingesehen werden. In Unternehmen existieren jedoch auch zahlreiche personenbezogene Daten, die zumeist dezentral und zum Teil unstrukturiert verteilt sind. Hier besteht die Herausforderung, all diese Daten einzubeziehen und im besten Falle automatisiert für eine Beauskunftung zusammenzustellen, um den Anforderungen nach Art. 15 DSGVO gerecht zu werden. Ein Zusammenspiel verschiedener Unternehmensbereiche ist hierfür erforderlich und macht die Bearbeitung komplex und aufwendig. In Kombination mit der Frist von einem Monat ist die Etablierung eines effizienten Prozesses sowie eine reibungslose interne Kommunikation unabdingbar.

Es ist sinnvoll, die Prozessgestaltung nach der „Pilotphase“ seit dem 25. Mai 2018 erneut zu hinterfragen, bereichsübergreifende Potenziale und neu eingeführte Systeme wie z.B. Data Mapping Tools zu nutzen, um sowohl die Prozesskosten zu senken als auch die Qualität der Auskünfte zu erhalten.

Mega-Thema Datenschutz: Neue Regulierung in einem brisanten Kernbereich der Digitalisierung

Die EU-DSGVO ist Herausforderung und Chance zugleich

Ein Jahr EU-Datenschutzgrundverordnung: Veröffentlichungen der Datenschutzbehörden im Überblick