DSGVO im Service-Design (Teil 2 – Betroffenenrechte)

Beschäftigst Du Dich mit der DSGVO bereits im Service-Design eines neuen Service, kommst dem Ziel "privacy by design" sehr viel näher. Im zweiten Teil beschäftigen wir uns mit den Betroffenenrechte.


den Podcast findest Du auch bei: iTunes - RSS - Spotify - Stitcher - YouTube - TuneIn - Google Podcast - Deezer - AudioNow - Amazon Music


Was bedeutet es denn eigentlich, wenn ich sage, dass wir den Datenschutz und damit die DSGVO im Service-Design beachten dürfen?

Zerlegen wir mal kurz diese Service-Design-Phase: Als erstes kommt das Demandmanagement. Das heißt, Deine Service-Organisation sammelt die Bedarfe – so meine deutsche Übersetzung – bei den einzelnen Kunden ein. Der Bedarf ist das in einer bestimmten Lage Benötigte, Gewünschte oder die Nachfrage nach etwas. Beispielsweise, dass ich heute gern mit meiner Frau Essen gehen möchte.

Dieser Bedarf ist mehr oder weniger spezifisch. Meist recht unkonkret. Im Kontext unserer Unternehmen könnte ich mir da sowas wie „wir müssen digitalisieren“ vorstellen.

Ist ein Bedarf so wichtig oder akut, dann beginnt die Erfassung der Anforderungen als zweiter Schritt im Service-Design. Ich konkretisiere meinen Essenswunsch: Ich möchte heute kein Fleisch essen und es darf ruhig scharf sein. Die Anforderungen meiner Frau kommen ebenfalls dazu: Bitte kein indisch und nicht so weit weg von Zuhause.

Anforderungsmanagement

Das heißt, Du sammelst die Anforderungen aller Stakeholder ein. Das sind primär die funktionalen Anforderungen. Die Einhaltung des Datenschutzes gehört zu den nicht-funktionalen Anforderungen. Diese hat jedoch direkte Auswirkung auf die funktionalen Anforderungen.

Du darfst bei jeder Anforderung, die sich um personenbezogene Daten dreht, hinterfragen, wie sich diese zu den sieben Grundprinzipien der DSGVO verhält. In der Konsequenz bedeutet das, dass Du die Ideen und Anforderungen der Fachabteilung hinterfragen darfst. Nur so können wir sicherstellen, dass wir so etwas wie „privacy by design“ erreichen. Das heißt, dass der Datenschutz schon ganz am Anfang involviert ist und so bestmöglich sichergestellt werden kann.

Aus der DSGVO ergeben sich direkte nicht-funktionale Anforderungen. Diese basieren auf den Betroffenenrechten, über die ich heute mit Dir sprechen möchte,

Lass uns bitte vorher noch die Service-Design-Phase fertigstellen: Die Anforderungserhebung führt, wenn weiter an dem neuen Service gearbeitet werden soll, zu einem Grobkonzept – dem Business-Case. Auf Basis dessen entscheidet, in ITIL ist das das Steering-Commitee, jemand, ob und in welcher Variante der Service realisiert werden soll. Danach folgt das Feinkonzept mit dem Service-Design-Package. Auf dessen Basis wird der Service realisiert.

Soweit in Kürze. Lass uns zu den Betroffenenrechten kommen:

Informationspflichten

In Artikel 13 und 14 der DSGVO sind die Informationspflichten im Detail geregelt. Dein Unternehmen als verarbeitende Stelle muss den Betroffenen vor der Erfassung und Verarbeitung der Daten informieren. Diese Pflichten sind sehr umfangreich – das kannst Du in vielen Datenschutzerklärungen beim Arzt, auf Webseiten oder anderen Geschäften nachlesen. Kurz angerissen, geht es um folgende Punkte:

  • Angabe der Identität der verarbeitenden Stelle, Kontaktdaten des Verantwortlichen, eines Vertreters sowie des Datenschutzbeauftragten
  • Rechtsgrundlage für die Erhebung
  • Kategorie der Empfänger, an die die Daten übermittelt werden
  • Übermittlung der Daten in ein Drittland
  • Dauer der Speicherung und die Betroffenenrechte
  • Hinweise auf den jederzeit möglichen Widerruf
  • das Beschwerderecht
  • Informationen zur automatischen Entscheidungsfindung, wenn die Verarbeitung dies beinhaltet

Wie Du siehst, sehr umfangreiche Informationspflichten. Ich gehe jetzt nicht einzeln auf die Punkte ein. Worauf ich Dich hinweisen möchte ist, dass Du um wirklich informieren zu können, Du eine Idee brauchst, wie der Verarbeitungsvorgang abläuft.

Es ist hilfreich zu wissen, in welchen Systemen die Daten erfasst, verarbeiten, gespeichert und übertragen werden. Damit kannst Du ermitteln, welche Möglichkeiten es technisch gibt, die Speicherdauer zu begrenzen.

Der Vollständigkeit erwähne ich, dass Dein Unternehmen auch darüber informieren muss, wenn es Daten aus weiteren Quellen, bspw. Schufa, mit den erfassten Daten abgleicht oder anreichert. Das ist in Artikel 14 geregelt.

Die erwähnte Transparenz wo Daten erfasst, verarbeitet, gespeichert und übertragen werden, ist für eine Vielzahl der Betroffenenrechte relevant.

Auskunftsrecht

Aus Artikel 15 ergibt sich ein Auskunftsrecht für den Betroffenen. Das Auskunftsrecht erstreckt sich auf die bereits bei den Informationsrechten genannten Punkte sowie auf die Kategorie der gespeicherten Daten. Diese Auskunft ist kostenfrei und binnen eines Monats zu erteilen.

Für das Service-Design bedeutet das, dass Dein Unternehmen überlegen darf, wie Ihr diesem Auskunftsrecht nachkommt. Das geschickteste ist in vielen Fällen, dass eine Funktion eingebaut wird, die genau diese Auskunft erteilt. Zweite Variante ist eine zentrale Applikation, aus der alle möglichen Auskünfte erstellt werden können. Das bedeutet, dass Du für jeden neuen Service, der personenbezogene Daten verarbeitet, auch diese Applikation anpassen darfst.

Berichtigungs- und Löschrecht

Der Betroffene hat eine Berichtigungs- und Löschrecht – geregelt in Artikel 16 und 17  

Interessanterweise umfasst das Recht zur Berichtigung auch den Anspruch auf Vollständigkeit. Das heißt, wenn Du das Gefühl hast, Facebook hat zu wenig Informationen von Dir, um Dir die richtige Werbung auszuspielen, kannst Du Facebook dazu nötigen, diese zu speichern.

Löschen musst Du Daten, wenn:

  • der Zweck der Datenverarbeitung erreicht wurde und die personenbezogenen Daten insofern nicht mehr erforderlich sind
  • der Betroffene seine Einwilligung widerrufen hat und keine anderweitige (gesetzliche) Rechtsgrundlage für die Verarbeitung im Sinne von Art. 6 DSGVO eingreift
  • der Betroffene gegen die Verarbeitung Widerspruch eingelegt hat
  • die personenbezogenen Daten unrechtmäßig, also nicht von Art. 6 DSGVO gedeckt, erhoben, verarbeitet oder genutzt wurden
  • der Betroffene seine Einwilligung als Minderjähriger gemäß Art. 8 DSGVO abgegeben hat und die Löschung verlangt

Dabei darfst Du darauf achten, dass, wenn Dein Unternehmen die Daten weitergibt, Ihr die Pflicht habt, alle Dritten über das Vorliegen eines Löschgrundes zu informieren, so dass diese den Löschvorgang einleiten können.

Die Verfahren genau für diesen Zweck dürfen schon ganz am Anfang des Service-Designs mitgedacht werden. Dabei muss häufig erstmal entschieden werden, ob das Löschen überhaupt sinnvoll möglich ist, oder ob eine Anonymisierung der bessere Weg ist. Ob das rechtlich sauber ist, das darf der Datenschutzbeauftragte oder ein Anwalt entscheiden.

Einschränkung der Verarbeitung

In Artikel 18 wird das Recht auf Einschränkung der Verarbeitung definiert. Dieses Recht wurde geschaffen, für den Fall, dass eine sofortige Löschung nicht möglich ist oder das schutzwürdige Interesse des Verantwortlichen an der Speicherung beschneidet.

In diesem Fall dürfen die erhobenen personenbezogenen Daten nur mit individueller Genehmigung verarbeitet werden. Das heißt, Facebook darf Deine ganzen Daten zwar weiterhin speichern, allerdings nicht ohne Deine Zustimmung zur Ausspielung von Werbung oder für die Weitergabe an Dritte verwenden, auch wenn Du diesem zuvor zugestimmt hattest. Du schränkst Facebook in der Nutzung Deiner Daten ein.

Auch dieser Wunsch eines Betroffenen ist an Dritte weiterzuleiten.

Recht auf Datenübertragbarkeit

Kommen wir zu dem vielleicht schwierigsten Betroffenenrecht: die Datenübertragbarkeit. Geregelt in Artikel 20 der DSGVO.

Was bedeutet das?

Lass uns bei dem Facebookbeispiel bleiben: Du sagst irgendwann, dass Facebook uncool ist und all Deine Freunde sind jetzt bei Snapchat. Du hast Dich an die auf Dich zugeschnittene Werbung gewöhnt und möchtest das auch bei Snapchat haben. Damit Snapchat nicht erste lange die Daten selber sammeln muss, wendest Du Dich an Facebook, das Deine Daten an Snapchat übertragen werden.

Das Beispiel mag etwas an den Haaren herbeigezogen sein. Ich denke, Du kannst Dir das vorstellen. Der Betroffene kann die ungehinderte und uneingeschränkte Übermittlung der personenbezogenen Daten an Dritte verlangen!

Unternehmen sind innerhalb einer zweijährigen Übergangsfrist dazu angehalten interoperable Datenformate zu entwickeln.

Du kannst Dir die Herausforderung für einen neuen Service vorstellen, oder? Das heißt, es muss die Möglichkeit geben, die Daten wenigstens in einem strukturierten Format (CSV, XML oder JSON) zu exportieren und zu importieren. Gleichzeitig wirst Du wohl einen Teil des Datenschemas an den Dritten mitliefern müssen.

Ich bin gespannt, wie das in der Praxis aussehen wird und welche Rechtsprechung es geben wird.

Weitere Betroffenenrechte

Über die genannten Rechte hinaus, hat der Betroffene noch das Recht einer Datenverarbeitung ohne Einwilligung zu widersprechen. Vorausgesetzt die Beweggründe des Betroffenen überwiegen das Interesse des Verantwortlichen.

Dieses Recht könnte greifen, wenn Facebook sich entscheidet, Dir zukünftig Werbung auch als Briefpost zu senden.

Noch spezieller wird es in Artikel 22: Die Vorschrift verbietet es, ausschließlich automatisierte Verarbeitungsprozesse zur Entscheidungsgrundlage für die Begründung oder Ablehnung rechtlicher Beziehungen mit Betroffenen zu machen, und gewährt diesen insofern das Recht, von derartigen Entscheidungen unberührt zu bleiben.

Ein Beispiel könnte hier sein, dass Deine Bank in einem automatisierten Prozess auf Basis der Schufa-Daten die Entscheidung trifft, Dir einen Kredit zu geben oder nicht. Du hast dann ein Anfechtungsrecht gegen diese Entscheidung.

Auch wenn die letzten beiden Betroffenenrechte etwas speziell sind, war es mir wichtig die Liste vollständig zu haben. Je nachdem wo sich Dein Unternehmen bewegt, können diese relevant sein.

Zu den Rechten gehört auch, dass Dein Unternehmen binnen eines Monats nach Eingang des Antrags eines Betroffenen, Stellung nehmen muss. Damit steht Dein Unternehmen unter Druck. Je schneller es den Anspruch des Betroffenen erfüllen kann, umso besser steht Dein Unternehmen da. Ich glaube, dass Datenschutz und der Umgang damit auch Auswirkung auf die Wahrnehmung der Kundenorientierung haben wird.

Damit sind wir dann wieder bei „privacy by design“. Von Anfang an die Grundsätze und Betroffenenrechte mit bedenken, diskutieren und in dem Service umsetzen.

Robert Sieber
 

Robert Sieber ist Ex-CIO, Podcaster und Servicenerd. Seine Vision ist eine interne IT, die sich genauso einfach buchen, nutzen und bezahlen lässt, wie die Fahrt mit dem Taxi. Als Berater und Coach packt er ganz praktisch und pragmatisch bei seinen Kunden an, um echte Serviceorientierung zu dauerhaft zu etablieren. Robert Sieber vertritt einen pragmatischen und geschäftsfokussierten Weg für Service-Management. Als Berater sind für ihn gesunder Menschenverstand und offene Kommunikation wichtiger als Frameworks und Best Practices.

Click Here to Leave a Comment Below 0 comments