Philipp Rosenauer
Partner Legal, PwC Schweiz
Claudia Jung
Senior Manager | Data Privacy | ICT | Implementationᐩ, PwC Schweiz
Selbst wenn ein Unternehmen über angemessene Datenschutzrichtlinien verfügt, kann es vorkommen, dass Mitarbeiter, Kunden, Vertragspartner oder andere Personen, deren Daten bearbeitet werden, unzufrieden damit sind, wie mit ihren personenbezogenen Daten umgegangen wird. Somit kann es vorkommen, dass datenschutzrechtliche Beschwerden eingereicht werden. Statistiken aus der EU zeigen, dass solche Beschwerden meist der Ausgangspunkt für aufsichtsrechtliche Verfahren sind. Eine zeitnahe Reaktion ist somit wichtig. Wie genau auf solche Beschwerden reagiert werden kann, haben wir in unserem Blogpost zusammengefasst.
Abgabe einer Empfangsbestätigung
Es sollte der betroffenen Person möglichst rasch mitgeteilt werden, dass man die Datenschutzbeschwerde erhalten hat und ihr nachgeht. Die Antwort sollte Informationen darüber enthalten, was in den einzelnen Phasen unternommen wird. Der betroffenen Person sollte mitgeteilt werden, wann mit weiteren Informationen gerechnet werden kann und wer die Kontaktstelle für zwischenzeitliche Rückfragen ist. Sofern das Beschwerdeverfahren einem standardisierten Prozess folgt, kann ein Link zu diesem Verfahren versendet werden.
Wichtig ist auch, die Identität der betroffenen Person festzustellen.
Ursachenforschung
Alle Datenschutzbeschwerden sollten so schnell wie möglich bearbeitet werden. Es sollten so viele Informationen wie möglich gesammelt werden. Falls erforderlich sollte die betroffene Person um weitere Informationen gebeten werden, welche der Sachverhaltsklärung dienlich sind. Je besser man das Problem versteht, desto besser ist man in der Lage, es zu lösen.
Sofern die Sachverhaltsklärung mehr Zeit in Anspruch nimmt als ursprünglich geplant, sollte die betroffene Person zwischenzeitlich über den aktuellen Stand informiert werden.
Eine klare Informationspolitik schafft Vertrauen, und die Dinge laufen reibungsloser, wenn jeder weiss, was er zu erwarten hat.
Dokumentation
Es sollte klar festgehalten werden, an welchem Datum die Datenschutzbeschwerde eingegangen und wann eine Antwort fällig ist.
Es sollten Details zu allen Gesprächen und Kopien aller relevanten Dokumente von Anfang bis Ende aufbewahrt werden, einschliesslich der Gründe für die getroffenen Entscheidungen und alle getroffenen oder nicht getroffenen Massnahmen. Damit hat man auch einen Nachweis über die Massnahmen, welche eine Aufsichtsbehörde möglicherweise benötigen wird.
Reaktion
Nach Abschluss aller Untersuchungen sollte der betroffenen Person das Ergebnis mitgeteilt werden. Es sollte klar und deutlich erörtert werden, was unternommen wurde, um die Datenschutzbeschwerde zu lösen, und welche Massnahmen ergriffen wurden. Fügen Sie genügend Informationen hinzu, damit die Person versteht, wie Sie zu Ihrem Ergebnis gekommen sind. Es kann sinnvoll sein, die Beschwerdebereiche in Aufzählungen zusammenzufassen und auf jeden einzelnen Punkt einzugehen – wenn möglich mit entsprechenden Nachweisen.
Wichtig ist, auf eine einfache und verständliche Sprache zu achten.
Überprüfung der gewonnenen Erkenntnisse
Sobald dem Beschwerdeführer geantwortet wurde, sollten die Gelegenheit genutzt werden, die Ereignisse zu überprüfen. Es sollte überlegt werden, ob man etwas lernen oder verbessern kann, um künftige Beschwerden zu vermeiden. Wenn man routinemässig viele Beschwerden in ähnlichen Bereichen erhält, kann somit eine wesentliche Verbesserung erzielt werden.
Haben Sie Fragen?
https://pages.pwc.ch/core-contact-page?form_id=7014L000000kkHMQAY&embed=true&lang=de
#social#
Datenschutz-Insights
Contact us
Associate | Data Privacy | ICT | Implementationᐩ, PwC Switzerland
Tel: +41 58 792 43 06