Art. 12 DSGVO ist die Metanorm für alle Betroffenenrechte und regelt, WIE der Verantwortliche mit Anfragen umgehen muss.
Fristen
- Grundsatz: Unverzüglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO)
- Verlängerung: Um maximal zwei weitere Monate bei komplexen oder zahlreichen Anfragen. Die betroffene Person muss innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert werden.
- Bei Untätigkeit: Der Verantwortliche muss innerhalb eines Monats die Gründe mitteilen und auf das Beschwerderecht bei der Aufsichtsbehörde und den gerichtlichen Rechtsbehelf hinweisen (Art. 12 Abs. 4 DSGVO).
Kosten
Grundsätzlich kostenlos (Art. 12 Abs. 5 DSGVO). Nur bei offenkundig unbegründeten oder exzessiven Anträgen darf ein angemessenes Entgelt verlangt oder die Bearbeitung verweigert werden. Die Beweislast dafür liegt beim Verantwortlichen.
Identitätsprüfung
Bei Zweifeln an der Identität dürfen zusätzliche Informationen angefordert werden (Art. 12 Abs. 6 DSGVO). Dies darf jedoch nicht dazu missbraucht werden, die Rechteausübung zu erschweren.
Kommunikationsform
Die Antwort muss in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache erfolgen. Bei elektronischem Antrag: Antwort in gängigem elektronischem Format. Mündliche Auskunft ist möglich, wenn die betroffene Person dies verlangt und ihre Identität nachgewiesen ist.
Handlungsempfehlung
Richten Sie einen zentralen Eingangskanal für Betroffenenanfragen ein (z.B. datenschutz@firma.de). Schulen Sie Mitarbeiter, Anfragen zu erkennen und weiterzuleiten. Legen Sie interne Zuständigkeiten und Eskalationswege fest. Dokumentieren Sie jede Anfrage und deren Bearbeitung.