Kategorie: Betroffenen-Rechte

Schadensersatz wegen verspäteter Auskunft

Schadensersatz wegen verspäteter Auskunft

Gemäß Artikel 12 Absatz 3 der Datenschutz-Grundverordnung (DSGVO) ist der Verantwortliche verpflichtet, Anfragen von Betroffenen hinsichtlich ihrer Datenschutzrechte unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang der Anfrage zu beantworten.


Schadensersatz wegen verspäteter Auskunft nach 19 Kalendertagen

In einem Fall vor dem Arbeitsgericht Duisburg (5 Ca 877/23) wurde die Frage erörtert, ob eine Auskunft nach Ablauf von 19 Kalendertagen (9 Arbeitstage) zu spät erfolgt und daher einen Schadensersatz wegen verspäteter Auskunft begründen kann. In diesem Fall hatte ein ehemaliger Bewerber (Kläger) den Beklagten aufgefordert, eine Geldentschädigung in Höhe von 1.000 Euro wegen angeblichem Verstoß gegen Artikel 12 DSGVO zu zahlen.

Das Gericht entschied zugunsten des Bewerbers (Klägers) und sprach ihm eine Entschädigung in Höhe von 750 Euro zu. Die Auskunft erst nach 19 Tagen nach Eingang des Auskunftsersuchens verstieß nach Auffassung des Gerichts gegen das Gebot der Unverzüglichkeit. Das Gericht betonte, dass die gesetzlich vorgesehene Höchstfrist von einem Monat nach Antragseingang nicht routinemäßig, sondern nur in komplexeren Fällen überschritten werden dürfe. Der Verantwortliche müsse die speziellen Umstände für den erhöhten Bearbeitungsaufwand darlegen, insbesondere bei einfachen Suchanfragen für Negativauskünfte, bei denen keine Hinweise auf eine Bearbeitungsdauer von mehr als einer Woche ersichtlich sind. Darüber hinaus sei der Verantwortliche verpflichtet, die Organisationsstruktur so zu gestalten, dass eine zeitnahe Bearbeitung eingehender Anfragen möglich ist.

Das Gericht erkannte den immateriellen Schaden der betroffenen Person darin, dass ihm zumindest vorübergehend die Kontrolle über seine Daten entzogen wurde. Die verzögerte Antwort ließ den Betroffenen im Unklaren über seine personenbezogenen Daten, was ihm die Möglichkeit nahm zu überprüfen, wie der Verantwortliche seine Daten verarbeitet und ob dies im Einklang mit den Datenschutzbestimmungen steht.


Fazit

Die Begründung des Gerichts, dass die Beantwortung einfacherer Fälle ohne Vorliegen besonderer Umstände nach einer Woche nicht mehr fristgemäß erfolgt, kann nicht überzeugen. So ist in Art. 12 Abs. 3 S. 2 DSGVO gerade der Fall komplexerer Anfragen vorgesehen, bei denen eine Fristverlängerung um zwei Monate möglich ist.

Dennoch sollte die Höchstfrist von einem Monat nicht routinemäßig ausgeschöpft werden. Dies betrifft vor allem einfache Fälle und Negativauskünfte.

Eine Auskunft ist auch dann noch unverzüglich, wenn sie innerhalb einer nach den Umständen des Einzelfalls zu bemessenden Prüfungs- und Überlegungszeit vorgenommen wird. Das Gericht stellt hier selbst fest, dass „unverzüglich" weder „sofort" bedeutet noch damit eine starre Zeitvorgabe verbunden ist. Vielmehr komme es auf eine verständige Abwägung der beiderseitigen Interessen an. In der Praxis sollte daher die Notwendigkeit einer längeren Bearbeitungszeit immer nachgewiesen werden können.

Rechtsanwalt Robert Harzewski

Betroffenenrechte im Meldeverfahren

Betroffenenrechte im Meldeverfahren

Hinweisgeberschutz versus Datenschutz: Einschränkungen der Betroffenenrechte im Meldeverfahren

Kernidee des neuen Hinweisgeberverfahrens in der internen Meldestelle ist die Wahrung der Vertraulichkeit. Die Identität der hinweisgebenden Person und der Person, über die eine Meldung gemacht wird, sollen nur der Meldestelle bekannt werden. Dieses Prinzip kollidiert an einigen Stellen mit den Leitlinien des Datenschutzes. Denn grundsätzlich ist die Erhebung und Speicherung von personenbezogenen Daten ohne Wissen des Betroffenen nur unter hohen Anforderungen rechtmäßig. Deshalb müssen die Prozesse in der internen Meldestelle datenschutzrechtlich genau geprüft werden.

 

Datenschutzfolgeabschätzung bei Einrichtung der internen Meldestelle

In der internen Meldestelle kommen zahlreiche personenbezogene Daten zusammen, beispielsweise über den Hinweisgeber, aber auch über Personen im Unternehmen und entsprechende Sachverhalte. Im Sinne der Vertraulichkeit müssen diese Daten besonders geschützt werden. Die Verarbeitung beruht auf der Rechtsgrundlage des § 10 HinSchG. Hier wird ausdrücklich erlaubt, dass auch besondere Kategorien personenbezogener Daten verarbeitet werden, also solche, die Auskunft geben etwa über Geschlecht, Religionszugehörigkeit, Gesundheit oder politischer Gesinnung. Allerdings sind dann spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzunehmen. Der Verweis auf § 22 Abs. 2 S. 2 BDSG bedeutet, dass entsprechende technische und organisatorische Maßnahmen den Schutz der personenbezogenen Daten gewährleisten müssen. Die hohen Risiken für die Betroffenen, deren personenbezogene Daten verarbeitet werden, müssen also entsprechend berücksichtigt werden bei der Gestaltung des Meldeprozesses. Die Risiken sollten erkannt, bewertet und bestenfalls eingedämmt werden.

Hierfür ist eine Datenschutzfolgeabschätzung im Vorfeld ratsam, um spätere Bußgelder zu vermeiden. Um die Betroffenenrechte im Meldeverfahren sicherzustellen, raten die Aufsichtsbehörden ebenfalls dazu, bei der Einrichtung einer internen Meldestelle eine DSFA nach Art. 35 DSGVO durchzuführen.

 

Betroffenenrechte: Informationspflicht, Auskunftsanspruch, Anspruch auf Löschung

Grundsätzlich gewährt die DSGVO dem Betroffenen Ansprüche auf Information darüber, dass seine personenbezogenen Daten verarbeitet werden (Art. 14 Abs. 1 DSGVO), eine Auskunft über die Herkunft der Daten (Art. 15 I lit g) DSGVO) und einen Anspruch auf die Löschung der Daten (Art. 17 Abs. 1 DSGVO). Diese Ansprüche werden im Meldeverfahren teilweise zugunsten des Hinweisgeberschutzes ausgehebelt.

 

Informationspflicht Art. 14 Abs. 1 DSGVO

Geht bei der internen Meldestelle ein Hinweis ein, in dem personenbezogene Daten eines Beschäftigten an die Meldestelle weitergegeben werden, müsste der Betreiber der Meldestelle dies an den betroffenen Beschäftigten melden, gem. Art. 14 Abs. 1 DSGVO. Das würde aber dem Vertraulichkeitsgebot des § 8 HinSchG widersprechen. Zudem könnte es auch unmöglich machen, dass die Meldung ordentlich bearbeitet werden kann, da der Betroffene womöglich Beweise vernichtet oder auf andere Weise die Aufklärung des Vorfalles verhindert.  Deshalb erlaubt Art. 14 Abs. 5 lit b) DSGVO eine Ausnahme: Die Information, dass seine personenbezogenen Daten verarbeitet werden, kann dem Beschäftigten vorenthalten werden, wenn sie „voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt“. Solange also zu befürchten ist, dass die Meldung nicht zielführend bearbeiten werden könnte, muss der Betroffene nicht informiert werden. Wenn dieser Grund aber wegfällt, greift wieder die Aufklärungspflicht aus der DSGVO. Beispielsweise, weil der Beschäftigungsgeber mit dem Betroffenen über die Vorwürfe gesprochen hat.

 

Auskunftsanspruch aus Art. 15 Abs. 1 lit g) DSGVO

Werden personenbezogene Daten verarbeitet, die nicht beim Betroffenen erhoben wurden, so kann der Betroffene Auskunft über die Herkunft der Daten verlangen. Er hat grundsätzlich das Recht, zu wissen, woher die Daten über ihn stammen. Die Offenlegung würde aber den Hinweisgeber entlarven und damit dem Prinzip der Vertraulichkeit im Hinweisgeberschutzgesetz zuwiderlaufen. Dieser Interessenskonflikt wird über § 29 Abs. 1 S.2 BDSG aufgelöst, der die Auskunftspflicht ausnahmsweise ablehnt, wenn eine Rechtsvorschrift dem entgegensteht wegen überwiegenden Interessen Dritter. Eine solche Rechtsvorschrift findet sich in § 8 HinSchG, der die Vertraulichkeit der hinweisgebenden Person höher gewichtet als den Auskunftsanspruch des Betroffenen. Andernfalls wäre der Hinweisgeber immer in Gefahr, dass seine Identität preisgegeben wird, wenn er eine Meldung macht, bei denen Personen eines Betriebes benannt werden.

 

Anspruch auf die Löschung der Daten Art. 17 Abs. 1 DSGVO

Der Betroffene kann seinen Anspruch auf Löschung seiner personenbezogenen Daten in der Meldestelle nicht durchsetzen, solange eine Verarbeitung seiner Daten noch stattfindet. Dies ergibt sich aus Art. 17 Abs. 1 a) DSGVO. Alle Informationen über das Meldeverfahren, und damit auch die von der Meldung betroffenen personenbezogenen Daten, müssen darüber hinaus 3 Jahre aufbewahrt werden (vgl. § 11 Ab. 5 HinSchG). Solange läuft der Anspruch des Betroffenen auf Löschung ins Leere.

 

Rechtsanwalt Robert Harzewski

Löschung statt Auskunft

Löschung statt Auskunft

Noch immer bereitet die Erteilung von Auskünften große Schwierigkeiten. In einer Vielzahl von Fällen versuchen Verantwortliche die personenbezogenen Daten zu löschen, anstatt eine Auskunft zu erteilen. Dies berichtet das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) im aktuellen Tätigkeitsbericht für das Jahr 2021.

 

Keine Flucht vor der Auskunft

Wenig überraschend stellt die Behörde fest, dass eine Löschung statt Auskunft dem Sinn und Zweck des Auskunftsrechts widerspricht. Den Betroffenen wird jede Möglichkeit genommen, zu erfahren, welche personenbezogenen Daten verarbeitet werden.

 

Vorsicht bei Löschfristen

Problematisch können Fälle sein, in denen die vorgesehene Löschfrist der betreffenden Daten nach Eingang einer Auskunftsanfrage endet.

Beispiel:

12.01.2022 Eingang der Auskunftsanfrage vom Betroffenen

30.01.2022 Ende der vorgesehenen Löschfrist (der betreffenden Daten des Betroffenen)

02.02.2022 Auskunft, dass keine Daten mehr vorliegen

Verantwortliche könnten sich so bei der Auskunft auf den Standpunkt stellen, dass die Daten inzwischen gelöscht wurden.

Dies ist jedoch nicht zulässig. Für den Umfang des Auskunftsverlangens ist grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich. Nur Daten, die in der Vergangenheit einmal verarbeitet wurden und über die der Verantwortliche nun nicht mehr verfügt, sind nicht Bestandteil der Auskunft. (Arbeitsgericht Düsseldorf, Urteil vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).

Auch nach Auffassung des Europäischen Datenschutzausschusses sind diejenigen Daten zu beauskunften, die im Zeitpunkt des Zugangs des Auskunftsbegehrens vorhanden sind (EDSA-Leitlinien 01/2022, Stand 18.01.2022, Rn. 37-39).

Das BayLDA rät daher dringend davon ab, bei Vorliegen von Auskunftsersuchen gem. Art. 15 DS-GVO Daten noch vor Auskunftserteilung zu löschen.

 

Umfang bei Fristversäumnis

In einigen Fällen kann sich die Verantwortung von Auskünften über mehrere Monate hinziehen. Auch hier stellt sich die Frage, welcher Stand dann konkret zu beauskunften ist. In dem noch nicht rechtskräftigen Urteil des Arbeitsgerichts Düsseldorf wird hierzu vertreten, dass im Fall einer Fristversäumnis nachfolgende Datenverarbeitungen einzubeziehen sind.

 

Empfehlung

Auskunftsbegehren oder sonstige Anfragen müssen als solche erkannt und an die zuständigen Mitarbeiter bzw. das Datenschutzteam weitergeleitet werden. Sämtliche Beschäftigte müssen fortlaufend sensibilisiert werden, dass mit Eingang der Anfrage auch die Frist aus Art. 12 Abs. 3 DSGVO zu laufen beginnt. Daneben kann der Eingang einer Auskunft auch Auswirkungen auf die Aufbewahrungsfristen haben. Es empfiehlt sich daher, eingehende Anfragen von Betroffenen bei den Löschprozessen und im Löschkonzept zu berücksichtigen.

Rechtsanwalt Robert Harzewski

Löschflicht für jedes Datum

Löschflicht für jedes Datum

Im Regelfall werden Unterlagen (z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen) gemäß der Aufbewahrungspflichten nach Art. 6 Abs. 1 lit. c) DSGVO i.V.m. § 147 AO einheitlich abgespeichert. Hiernach ist die weitere Speicherung der Unterlagen rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt.

Vor dem Oberlandesgericht Dresden (Urteil vom 14.12.2021, Az.: 4 U 1278/21) war nun die spannende Frage zu beantworten, ob nicht rechtmäßig erhobenen Daten im Rahmen der gesetzlichen Aufbewahrungspflichten weiter gespeichert werden können oder gelöscht werden müssen. Müssen also bei der Löschpflicht nur das entsprechende Dokument oder jedes einzelne darin enthaltene Datum betrachtet werden?

Nach Auffassung des Gerichts kommt es bei der Betrachtung der Löschpflicht nicht auf ein Dokument als Gesamtheit aller darin enthaltenen Daten, sondern auf jedes einzelne Datum an. Daher lassen sich nicht rechtmäßig erhobene Daten nicht über die Aufbewahrungspflichten rechtfertigen. Im Umkehrschluss ist somit für jedes in einem Dokument enthaltene Datum eine Rechtsgrundlage für die Speicherung zu prüfen.

Unabhängig von der gesetzlichen Aufbewahrungspflicht müssten so zum Beispiel der Name, die Anschrift und das Geburtsdatum, also Daten, mit denen eine eindeutige Identifikation möglich ist, gelöscht werden.

Nach Auffassung des Gerichts seien Datenbestände so zu organisieren, dass nur auf die aufzeichnungspflichtigen - und aufbewahrungspflichtigen Daten zugegriffen werden kann. Dies kann z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen. Auf der geschäftlichen Korrespondenz können die Daten, die eine Identifizierung seiner Person erlauben, geschwärzt werden.

Die Entscheidung dürfte das ein oder andere Löschkonzept auf den Kopf stellen. In der Regel werden Löschfristen bislang anhand von Dokumenten und deren Aufbewahrungspflichten gebildet. Die Betrachtung jedes einzelnen Datums könnte einen nicht unerheblichen Mehraufwand bedeuten.

 

Rechtsanwalt Robert Harzewski

Kontrolle von Postfächern

Kontrolle von Postfächern

Die Berliner Datenschutzbeauftragte stellt in ihrem aktuellen Tätigkeitsbericht für 2020 noch einmal klar, dass eine regelmäßige Kontrolle von Postfächern auf Datenschutzanfragen erfolgen muss.

 

Eingehende Anfragen

Ein Auskunftsbegehren oder sonstige Datenschutzanfragen können den Verantwortlichen theoretisch auf jedem Kommunikationskanal und über jeden Mitarbeiter mit Außenkontakt erreichen. Vor allem Mitarbeiter mit Kundenkontakt (persönlich, telefonisch, per E-Mail oder Telefax) sind daher entsprechend zu sensibilisieren. Dies setzt zum einen die Kenntnis der Betroffenenrechte voraus. Zum anderen sollte den Mitarbeitern auch bekannt sein, dass mit Eingang der Anfrage auch die Frist aus Art. 12 Abs. 3 DSGVO zu laufen beginnt.

 

Weiterleitung

Auskunftsbegehren oder sonstige Anfragen müssen daher als solches erkannt und an den zuständigen Mitarbeiter weitergeleitet werden. Dies kann der Datenschutzmanager, die zuständige Fachabteilung aber auch ein sonstiges Mitglied des Datenschutzteams sein.

Auch E-Mails, die nicht über die von den Verantwortlichen vorgesehenen Kanäle eintreffen, müssen dabei an die richtigen Ansprechpersonen weitergeleitet werden.

 

Keine bevorzugten Kommunikationskanäle

Nach Art. 12 Abs. 2 Satz 1 DSGVO ist der Verantwortliche verpflichtet, betroffenen Personen die Geltendmachung ihrer Rechte zu erleichtern. Nach Auffassung der Berliner Datenschutzbeauftragten reicht es daher gerade nicht aus, in den Datenschutzhinweisen eine gesonderte E-Mail für den Datenschutz einzurichten und sich dann auf diesen einen Kanal zu
verlassen. Die DSGVO lasse es nicht zu, Betroffene auf bestimmte Kommunikationswege zu verweisen. Es könne den Betroffenen nicht abverlangt werden, zunächst die Datenschutzerklärung zu suchen, um die von den Verantwortlichen für Datenschutzanfragen vorgesehene Kontaktadresse herauszufinden.

Bei sogenannten No-Reply-E-Mail-Adressen ist nach Auffassung der Behörde zumindest eine Adresse anzugeben, an die Kunden sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden.

 

Kontrolle von Postfächern

Daher ist eine regelmäßige Kontrolle aller Postfächer unausweichlich. Dies betrifft auch insbesondere nicht mehr aktiv genutzte Postfächer, Spam-Ordner und eingehenden Anfragen in Ticket- oder sog. Customer-Relationship-Management- (CRM-)Systemen.

Rechtsanwalt Robert Harzewski

Benennung der Empfänger

Benennung der Empfänger

Bei der Information Betroffener sind nach Art. 13 Abs. 1 lit. e DSGVO die Empfänger der personenbezogenen Daten anzugeben. Die gleiche Verpflichtung trifft Verantwortliche im Rahmen der Beantwortung einer Auskunft, Art. 15 Abs. 1 lit. c DSGVO. Stattdessen soll nach dem Wortlaut der Verordnung auch die Möglichkeit bestehen, nur die Kategorien von Empfängern anzugeben.

So viel zur Theorie. Was aber sind denn nun Empfänger? In welchen Fällen müssen diese konkret bezeichnet werden? Wann reicht die Angabe der Kategorie aus? Diese Fragen möchte ich im Folgenden beantworten:

 

Wer ist Empfänger?

Empfänger sind nach Art. 4 Nr. 9 S. 1 DSGVO alle Stellen, denen personenbezogene Daten offengelegt werden. Hierunter können Dienstleister, Auftragsverarbeiter, Kooperationspartner, und ggfs. auch gemeinsam für die Datenverarbeitung Verantwortliche gehören.

Wenn Sie also zum Beispiel Daten Ihrer Mitarbeiter auch gegenüber ihrem Steuerberater offenlegen, dann ist dieser in den Datenschutzhinweisen und bei einer entsprechenden Auskunft auch mitzuteilen.

Nach bisher überwiegender Auffassung sind interne Übermittlungen an Stellen innerhalb eines Verantwortlichen (wie Personalstelle oder Rechtsabteilung) nicht als Empfänger mitzuteilen.

 

Reicht die Angabe einer Kategorie?

Ein in der Praxis häufig anzutreffender Wunsch ist, den konkreten Dienstleister nicht nach außen mitzuteilen. Statt Steuerberater Müller könnte in den Hinweisen dann nur stehen: Wir haben einen Steuerberater beauftragt.

Der Wortlaut „oder“ im Text der Verordnung suggeriert ein Wahlrecht, dessen Existenz jedoch umstritten ist.

 

Benennung der Empfänger

Einer vorwiegend in der Literatur vertretene Auffassung nach, sind die konkreten Empfänger zu benennen, wenn sie bei der Datenerhebung absehbar sind.

Das Amtsgericht Wertheim sieht einen Verstoß gegen das Transparenzgebot in der beispielhaften Nennung von Empfängern („z.B.“). Hier sei nicht klar, ob eine Übermittlung an den so bezeichneten Empfänger stattgefunden habe oder nicht. Erforderlich sei auch die konkrete Benennung des Datums, nicht lediglich die der Datenart (AG Wertheim, Beschluss vom 12.12.2019, Aktenzeichen: 1 C 66/19).

Der Landesbeauftragte für den Datenschutz Baden-Württemberg fordert, Empfänger von Daten konkret zu bezeichnen. Das bloße Nennen von Kategorien ( z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) helfe dem Betroffenen nicht weiter (Datenschutz-Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg 2019, abrufbar unter S. 26).

 

Angabe nur der Kategorie

Anderer Auffassung nach, soll die Angabe nur der Kategorie bei der Benennung der Empfänger ausreichen.

Als eines der ersten Gerichte hat sich das Amtsgericht Seligenstadt nun mit der Frage beschäftigt. Das Gericht sieht keine Pflicht, die konkreten Personen oder Stellen mitzuteilen, denen gegenüber Daten weitergeleitet wurden. Konkret ging es um die Informationen, welche Art der Datenträger und etwaige Cloudspeicher genutzt wurden. Nach Auffassung des Gerichts besteht gerade keine Verpflichtung, auch die Verarbeitungsmittel darzulegen. Insoweit ist es ausreichend, Kategorien von Drittempfängern zu nennen. Dabei argumentiert es mit dem Wortlaut. Nach Art. 15 Abs. 1 lit. c DSGVO hat der Verantwortliche gerade die Wahl zwischen der Nennung von Kategorien oder konkreten Empfängern (AG Seligenstadt, Urteil vom 23.06.2020 , Aktenzeichen 1 C 7/19 (3).

 

Fazit

Auch wenn der Wortlaut ein Wahlrecht suggeriert, sollte die weitere Rechtsprechung zu diesem Thema abgewartet werden. Datenschutzhinweise und Auskünfte sind Ausfluss des Transparenz-Grundsatzes aus Art. 5 DSGVO. Ich empfehle daher, auch künftig die konkreten Empfänger zu benennen, wenn sie für eine gewisse Zeit feststehen.

Rechtsanwalt Robert Harzewski

Personenbezogene Daten einer Auskunft

Personenbezogene Daten einer Auskunft

Nach Art. 15 DSGVO hat jede Person das Recht, von einem Verantwortlichen eine Bestätigung zu verlangen, ob eigene personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie unter anderem ein Recht auf Auskunft über diese personenbezogenen Daten.

Welche personenbezogenen Daten grundsätzlich von der Auskunft erfasst sind, ergibt sich direkt aus Art. 4 Nr. 1 DSGVO. In bestimmten Fällen ist der Gegenstand einer Auskunft aber noch umstritten. Dieser Beitrag soll daher einen Überblick zu der bisherigen Rechtsprechung ermöglichen.

Informationen zu den allgemeinen Anforderungen einer ordnungsgemäßen Auskunft finden Sie in meinem Artikel: Auskunft nach Art. 15 DSGVO

Personenbezogene Daten einer Auskunft

 

Der Begriff des personenbezogenen Datums ist in Art. 4 Nr. 1 DSGVO definiert. Personenbezogene Daten sind demnach alle Informationen, die sich auf eine identifizierte (bestimmte) oder identifizierbare (bestimmbare) natürliche Person beziehen.

Unproblematisch betrifft dies persönlichen Informationen wie Name, Anschrift und Geburtsdatum sowie äußere Merkmale (Augenfarbe, Größe und Gewicht und innere Zuständen (Wünsche, Meinungen, Überzeugungen). Aber auch Standortdaten, Online-Kennungen, Telefonnummern und sonstige Kennungen (IP-Adresse, Kontonummer, Ausweisnummer, Rentenversicherungsnummer, etc.) sind personenbezogene Daten einer Auskunft, da sich anhand dieser Informationen eine natürliche Person bestimmen lässt.

Bisherige Rechtsprechung

 

Der Inhalt einer Auskunft, bzw. die Frage, welche personenbezogenen Daten von dieser umfasst sind, wird gerade durch zahlreiche Urteile präzisiert.

 

Gegenstand einer Auskunft

 

Ärztliche Unterlagen
Ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen sind personenbezogene Daten und daher Inhalt einer Auskunft.

Entscheidung: Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18

 

Behandlungsdokumentationen
Neben § 630g BGB steht dem Patienten auch ein Anspruch auf Auskunft über die bei einem Krankenhaus gespeicherten personenbezogenen Daten zu. Die Regelung des § 630 g BGB hat nicht Vorrang vor den Bestimmungen des Art. 15 Abs. 3 DSGVO. Die Übermittlung der vollständigen Behandlungsdokumentationen im PDF-Format für den Behandlungszeitraum muss daher unentgeltlich erfolgen.

Entscheidung: LG Dresden, Urteil vom 29.5.2020, Aktenzeichen: 6 O 76/20

 

Gesprächsvermerke und Telefonnotizen
Zur Auskunft gehören insbesondere auch elektronisch gespeicherte Vermerke zu mit dem Kunden geführten Telefonaten und sonstigen Gesprächen.

Entscheidungen: OLG Köln (20. Zivilsenat), Urteil vom 26.07.2019, Aktenzeichen:  20 U 75/18; LG Köln (23. Zivilkammer), Urteil vom 11.11.2020, Aktenzeichen: 23 O 172/19

 

Kontobewegungen auf dem Konto der Bank
Entscheidung: AG Bonn, Urteil vom 30.7.2020, Aktenzeichen: 118 C 315/19

Nicht Gegenstand einer Auskunft

 

Nicht Gegenstand bzw. personenbezogene Daten einer Auskunft sind demnach:

 

Erklärungen des Betroffenen
Erklärungen des Betroffenen, wie ein Antrag auf Abschluss der Versicherung oder ein Kündigungsschreiben sind an sich ist keine personenbezogenen Daten. Diese enthalten vielmehr personenbezogene Daten, die sich allerdings in den Stammdaten erschöpfen. Damit können Kopien konkreter Anträge, Willenserklärungen, Kündigungen, Widerrufe und Versicherungsunterlagen nicht verlangt werden. Lediglich die darin enthaltenen Daten und die Information über die Erklärung an sich, sind Bestandteil einer Auskunft.

Entscheidungen: Landgericht Ulm , Urt. v. 28. 8. 2020, , Aktenzeichen: 3 O 248/19; Landgericht Stuttgart, Urteil vom 04.11.2020, Aktenzeichen: 18 O 333/19

 

Interne Vorgänge, Vermerke
Auskunftsanspruch bezieht sich aber nicht auf sämtliche interne Vorgänge.

Entscheidungen: Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18; AG Seligenstadt, Urteil vom 23.06.2020 , Aktenzeichen 1 C 7/19 (3)

 

Mitteilung über bereits gelöschte Daten
Eine Pflicht, Auskunft darüber zu erteilen, welche Daten in welchem Zusammenhang in der Vergangenheit bereits gelöscht wurden gibt es nicht.

Entscheidung: AG Seligenstadt, Urteil vom 23.06.2020 , Aktenzeichen 1 C 7/19 (3)

 

Rechtliche Bewertungen oder Analysen
Rechtliche Bewertungen oder Analysen stellen keine personenbezogenen Daten in diesem Sinne dar.

Entscheidung: Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18

 

Schriftverkehr
Sämtlicher gewechselter Schriftverkehr, der dem Betroffenen bereits bekannt ist, muss nicht erneut ausgedruckt und übersendet werden und ist nicht von der Auskunft umfasst.

Entscheidungen: Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18; LG Stuttgart, Urteil vom 04.11.2020, Aktenzeichen: 18 O 333/19

 

Rechtsanwalt Robert Harzewski

Anspruch auf Auskunft

Umfang der Auskunft weiterhin unklar

Eine unvollständige, inkorrekte und zu spät erteilte Auskunft kann wie im Fall vor dem Arbeitsgericht Düsseldorf einen immateriellen Schadenersatzanspruch i. H. v. 5.000 EUR rechtfertigen. Das Urteil aus März dieses Jahres sorgt unter Verantwortlichen weiter für Verunsicherung bei der Beantwortung.

Aufgrund der bisherigen Rechtsprechung ist unklar, wie weit der Anspruch auf Auskunft reicht. Häufig werden von Betroffenen E-Mails in Kopie herausverlangt. Zuletzt hatte das AG Bonn mit Urteil vom 30.07.2020 entschieden, dass dem Arbeitnehmer alle betreffenden E-Mails zu übermitteln sind, sofern keine Rechte Dritter betroffen sind (AG Bonn, Urteil vom 30.07.2020, Aktenzeichen 118 C 315/19). Das LAG Hannover sieht dagegen keinen Auskunftsanspruch in Bezug auf die eigenen E-Mails, da diese dem Betroffenen bereits bekannt sind (LAG Hannover, Urteil vom 09.06.2020, Aktenzeichen: 9 Sa 608/19).

Im Mandantenbereich finden Sie im Handbuch (Kapitel VII. 2. b) eine aktuelle Übersicht über die aktuelle Rechtsprechung (auch im Hinblick auf Vermerke, Protokolle, Gutachten).

Weitere Informationen finden Sie auch unter meinem Blogbeitrag zur Auskunft nach Art. 15 DSGVO.

Rechtsanwalt Robert Harzewski

Einwilligung

Kein Zurück von der Einwilligung

Häufig wird eine Einwilligung von Betroffenen eingeholt, obwohl für die entsprechende Verarbeitung eine andere Rechtsgrundlage zur Verfügung steht. Auf diese Praxis sollte dringend verzichtet werden.

Denn nach Ansicht des Gremiums der europäischen Datenschutzaufsichtsbehörden (EDPB) ist es nicht zulässig, zwischen den Rechtsgrundlagen zu wechseln. Auch nach Auffassung der deutschen Aufsichtsbehörden verbietet sich ein Rückgriff auf eine andere Rechtsgrundlage, wenn z.B. eine zusätzlich eingeholte Einwilligung widerrufen wird. Dieser soll nach dem Grundsatz der Transparenz und Fairness unzulässig sein.

Widerruft ein Betroffener also seine Einwilligung oder ist diese nicht wirksam, so ist die entsprechende Verarbeitung vom Verantwortlichen einzustellen. Problematisch ist dies dann, wenn der Verantwortliche aber noch zur Verarbeitung vertraglich (Art. 6 Abs. lit. b DSGVO) oder gesetzlich (Art. 6 Abs. lit. c DSGVO) verpflichtet ist.

Beispiel: Die Mustermann GmbH lässt ihre Beschäftigten eine Einwilligung unterzeichnen, dass dienstliche E-Mails gespeichert werden dürfen. Ein Mitarbeiter widerruft seine Einwilligung. Nach Art. 6 Abs. 1 lit. c DSGVO iVm. mit § 257 Abs. 1 Nr. 2, 3, Abs. 4 HGB müssen jedoch Handelsbriefe 6 Jahre aufbewahrt werden. Die Mustermann GmbH kann daher ihrer gesetzlichen Aufbewahrungspflicht nicht nachkommen, da ein Wechsel der Rechtsgrundlage im Nachhinein nicht möglich ist.

Ich empfehle daher, mithilfe des Verarbeitungsverzeichnisses zu überprüfen, ob bestehende Einwilligungen durch andere Rechtsgrundlagen ersetzt werden können.

Die Guidelines 05/2020 on consent under Regulation 2016/679 des EDPB, abrufbar in englischer Sprache unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

Rechtsanwalt Robert Harzewski

Auskunft nach Art. 15 DSGVO

Auskunft nach Art. 15 DSGVO

Das Auskunftsrecht ist das zentrale Betroffenenrecht. Eine vollständige Antwort gestaltet sich oft schwierig und ist manchmal recht komplex. Aufsichtsbehörden berichten daher von einer hohen Anzahl von Datenschutzbeschwerden. Häufige Fehler bei der Auskunft nach Art. 15 DSGVO sind:

Zweifel an PersonAuskunftsbegehren werden ignoriert, weil Zweifel an der Identität des Anfragenden bestehen.
Die Antwort umfasst nur die Stammdaten und Kategorien von Empfängern.
Auskunft nach Art. 15 DSGVO nicht weitergeleitet Der Antrag auf Auskunft nach Art. 15 DSGVO wird nicht weitergeleitet
Zeit für Auskunft nach Art. 15 DSGVO läuft abAuskünfte werde nicht rechtzeitig beantwortet.

 

Dieser Beitrag gibt einen Überblick über die bisherige Rechtsprechung und zu den Anforderungen einer ordnungsgemäßen Auskunft.

 

Recht auf Auskunft nach Art. 15 DSGVO

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffende personenbezogene Daten verarbeitet werden. Eine betroffene Person sollte [dieses] Auskunftsrecht [...] problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (Erwägungsgrund 63 S. 1).

Aufgrund der zum Teil sehr aufwendigen Recherche, Bearbeitung, Organisation und der knapp bemessen Zeit hat der Verantwortliche vorab in einem entsprechende Prozess sicherzustellen, dass Anfragen unverzüglich dem zuständigen Mitarbeiter oder im Bedarfsfall dem Datenschutzbeauftragten vorgelegt werden. Neben dem Sicherstellen einer zügigen Bearbeitung der Anfragen sollten auch geeignete Vorlagen zur Auskunft  bereit gehalten werden. Neben einem möglichen Bußgeld können bei Versäumung der Frist auch Anwaltskosten entstehen.

Das OLG Köln (Beschluss vom 25. Juli 2019, Az.: 20 W 10/18) und das Amtsgericht München (Teilurteil vom 04. September 2019, Az: 155 C 1510/18) gehen davon aus, dass ein Streitwert i.H.v. 5.000,00 € für einen Auskunftsanspruch nach Art. 15 DSGVO angemessen ist. Dadurch würden sich die außergerichtlichen Anwaltskosten für jede versäumte Beantwortung einer Anfrage auf 492,54 Euro belaufen.

 

Phasen der Auskunft nach Art. 15 DSGVO

Der Prozess muss auch gewährleisten, dass vor Erteilung einer Auskunft in jedem Fall die Berechtigung des Auskunftsersuchens geprüft wird. Im Zweifel sollten zusätzliche Informationen nachgefordert werden, die die Identität der betroffenen Person bestätigen.

Prozess-Phasen:

 

NummerPhaseAnforderung
Eingang des AuskunftsbegehrensWeiterleitung an den zuständigen Mitarbeiter oder das Datenschutzteam
2IdentitätsprüfungPrüfung, ob sich Betroffener ausreichend identifiziert hat
BearbeitungZusammentragen aller Informationen
VierBeantwortungDie Antwort hat innerhalb eines Monats in einfacherer Sprache zu erfolgen.
5Abschluss des VerfahrensDokumentation und Festlegung der Speicherfrist

 

Phase 1 - Eingang des Auskunftsbegehrens

Eine häufiger Fehler ist, dass Anträge auf Auskunft nach Art. 15 DSGVO auf dem Weg im Unternehmen verloren gehen.

 

Sensibilisierung der Mitarbeiter

Ein Auskunftsbegehren kann den Verantwortlichen theoretisch auf jedem Kommunikationskanal und über jeden Mitarbeiter mit Außenkontakt erreichen. Mitarbeiter mit Kundenkontakt (persönlich, telefonisch, per E-Mail oder Telefax) sind daher so zu sensibilisieren, dass Sie das Auskunftsbegehren als solches erkennen und dieses an den zuständigen Mitarbeiter weiterleiten. Dies kann der Datenschutzmanager, aber auch ein sonstiges Mitglied des Datenschutzteams sein.

 

Fristbeginn der Auskunft nach Art. 15 DSGVO

Der Fristlauf von einem Monat beginnt dann, wenn das Auskunftsbegehren beim Verantwortlichen eingeht. Dabei genügt es, wenn ein Brief am Empfang oder einer extern beauftragten Rezeption abgegeben wird. Das Arbeitsgericht Düsseldorf geht davon aus, dass Post üblicherweise nicht einmal einen Tag liegen gelassen, sondern binnen weniger Stunden an den Empfänger weitergeben wird.

 

Phase 2 - Identitätsprüfung

Vor Erteilung der Auskunft ist auf eine eindeutige Identifizierung der betroffenen Person zu achten. Eine Auskunft an eine falsche Person ist eine klare Datenschutzverletzung und muss unter Umständen auch der Aufsichtsbehörde gemeldet werden. Im Interesse der Datenminimierung dürfen bei der Identitätsprüfung grundsätzlich nur Daten gefordert werden, die zur Identifizierung zwingend erforderlich sind.

 

Übersicht über mögliche Wege der Antragstellung

Die Auswahl der Identifizierungsmethode obliegt dem Verantwortlichen unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen und ist daher eine Einzelfallentscheidung. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte das Verfahren sein.

 

Antragstellung überLegitimation durchEinschränkung
schriftlich per Post
  • Adresse ist bekannt oder
  • geschwärzte Ausweiskopie per (Name, Anschrift, Geburtsdatum und Gültigkeitsdauer von Ausweis)
telefonisch
  • Bei telefonischen Anfragen sollten zur Identifizierung in der Regel Daten wie das Geburtsdatum und die Anschrift abgefragt werden (LfDI Baden-Württemberg).
  • Im Einzelfall können auch zusätzliche Informationen, wie z.B. ein PIN abgefragt werden (z.B. beim Telebanking).
  • nicht bei sensiblen Daten, insbesondere nach Art. 9 Abs. 1 DSGVO, da abgefragte Daten zur Identifikation nicht geheim sind
per E-Mail / Fax
  • bekannte E-Mail Adresse oder Bestätigung über bekannte E-Mailadresse
  • sonst Vorlage eines Identitätsnachweises
  • bei unbekannter E-Mail lässt sich nicht auf auf die wahre Identität der betroffenen Person schließen
  • Es fehlt an Identifizierungsmerkmalen wie Geburtsdatum oder Anschrift
  • Gerade bei sensiblen Daten kann dies auf dem elektronischen Wege nur mit einer Ende-zu-Ende-verschlüsselten E-Mail, oder mithilfe eines verschlüsselten PDF-Dokuments erfolgen (Broschüre Personalausweis und Datenschutz des LDI-NRW).
  • Im Falle eines Telefaxes mit Absenderkennung kann nicht zweifelsfrei von einer Identifikationssicherheit ausgegangen werden, da auch hier die Möglichkeit der Fälschung besteht (9. TB des BayLDA).
über Nutzerkonto auf Webseite
  • sichere Benutzerkennung (möglichst Zwei-Faktor-Authentifizierung)
  • Verfügt die betroffene Person über ein Nutzerkonto beim Verantwortlichen, so dürfen ihr keine zusätzlichen Fragen zur Identifizierung gestellt werden.
per Video oder persönlich
  • durch Postident-Verfahren oder Video-Ident-Verfahren (Prüfung des Ausweises, Anfertigung von Ausweiskopie oder Aufnahme der Person mit Ausweis und Bestätigung der Identitätsfeststellung gegenüber Verantwortlichen)
  • höchste Sicherheit in Bezug auf die Identifizierung

 

De-Mail / qualifizierte elektronische Signatur

De-Mail und eine qualifizierte elektronische Signatur können grundsätzlich zur sicheren Identifizierung von betroffenen Personen genutzt werden. Da die entsprechende Identität durch eine vertrauenswürdige Stelle geprüft wurde, können sich Verantwortliche auf die vorherige Prüfung verlassen.

 

Übermittlung einer geschwärzten Ausweiskopie

In Einzelfällen kann auch die Übermittlung einer geschwärzten Ausweiskopie zulässig sein. Dies sollte nur über einen sicheren Weg, z.B. mit einer Ende-zu-Ende-verschlüsselten E-Mail oder über eine HTTPS-geschützte Website passieren.

Zur Identifizierung sind dabei nur der Vor- und Nachname, die Anschrift und ggfs. auch die Gültigkeitsdauer zulässig. Die übrigen Daten sollten geschwärzt sein. Ausnahmsweise kann auch das Geburtsdatum sowie der Ort abgefragt werden, wenn sonst keine eindeutige Zuordnung möglich ist.

Nach Auffassung des LDI NRW ist die Anforderungen einer Ausweiskopie unter folgenden Voraussetzungen zulässig:

  • Kopie muss erforderlich sein, weil der Ausweis zum Beispiel nicht vor Ort vorgezeigt werden kann
  • die Kopie muss gemäß § 20 Abs. 2 Personalausweisgesetz als solche zu erkennen sein
  • nach Identifizierung wird die Kopie unverzüglich vernichtet (auch eine elektronische Speicherung ist unzulässig)

Bei reinen Negativauskünften soll auf die Anforderung von Ausweiskopien verzichtet werden (Tätigkeitsbericht des BayLDA 2013/2014, S. 77)

 

Vertretungsvollmacht

Wird der Auskunftsanspruch eines Betroffenen von seinem Anwalt geltend gemacht, dann sollte auch die Originalvollmacht angefordert werden. Das Amtsgericht Berlin-Mitte stellte dazu in seinem Urteil vom 29.07.2019 - Az.: 7 C 185/18 klar, dass die Erteilung einer Auskunft ohne Vorlage der Vollmacht gegen den Sinn und Zweck der DSGVO verstoßen würde. Dies betrifft aber nur Fälle, in denen die anwaltliche Vertretung in der Angelegenheit nicht schon bekannt ist, also begründete Zweifel an der Identität des Anfragenden bestehen.

 

Die Monatsfrist, innerhalb welcher die Auskunft zu erfolgen hat, beginnt erst ab dem Zeitpunkt, zu dem die Vollmacht tatsächlich vorgelegt wurde. Das Gericht stellte weiterhin fest, dass es vor diesem Hintergrund nicht statthaft ist, ein Unternehmen auf Auskunft zu verklagen, bevor die Monatsfrist abgelaufen ist.

 

Zweifel an der Identität

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche bei begründeten Zweifeln an der Identität der Auskunft suchenden Person zusätzliche Informationen anfordern, die zur Bestätigung deren Identität erforderlich ist.

Keine Zweifel bestehen grundsätzlich, wenn der Antragsteller dem Verantwortlichen persönlich bekannt ist. Dies bedeutet aber nicht, dass automatisch jede Anfrage eines Unbekannten Zweifel auslöst. Die Verwendung unbekannter Kontaktdaten oder die Abweichung von der bisherigen Form der Korrespondenz können jedoch Zweifel begründen.

Das VG Berlin (Urteil vom 31.08.2020, Az.: 1 K 90.19) geht davon aus, dass ohne besonderen Anlass kein Identitätsnachweis von einem Antragsteller, wie die Kopie des Personalausweises, verlangt werden kann. Der Auskunft-Suchende begehrte hier eine Auskunft auf postalischem Wege. Dem Verantwortlichen (ein Amtsgericht) war die gegenwärtige Anschrift aufgrund der Übersendung verschiedener Entscheidungen bekannt. Dadurch fehle jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte. Schließlich wies das Gericht auch darauf hin, dass eine Fehlleitung der Auskunft durch eine förmliche Zustellung des Auskunftsschreibens unterbunden werden kann.

Ist der Kommunikationskanal also bekannt, müssen besondere Gründe hinzutreten, um einen Identitätsnachweis vom Antragsteller zu verlangen.

 

Phase 3 - Bearbeitung

Der Umfang der zu erteilenden Informationen ergibt sich aus Art. 15 Abs. 1 DSGVO. Welche personenbezogenen Daten im Einzelfall konkret erfasst sein können, finden Sie in meinem Beitrag: Personenbezogene Daten einer Auskunft

Für den Umfang des Auskunftsverlangens ist grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich. Daten, die in der Vergangenheit einmal verarbeitet wurden und über die der Verantwortliche nun nicht mehr verfügt, sind nicht Bestandteil der Auskunft. Wird die Frist von einem Monat gemäß Art. 12 Abs. 3 DSGVO versäumt, so sind nachfolgende Datenverarbeitungen aber einzubeziehen (Arbeitsgerichts Düsseldorf, Urteil vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).

Werden eine große Menge von Informationen über die betroffene Person verarbeitet, so sollte der Betroffene aufgefordert werden, sein Auskunftsersuchen noch weiter zu konkretisieren. Eine Präzisierung könnte bestimmte Verarbeitungszwecke,
Zeiträume oder Datenkategorien umfassen. Dieses gestufte Vorgehen wird ausdrücklich von Erwägungsgrund 63 S. 7 beschrieben.

Bei der Beantwortung einer Auskunft nach Art. 15 DSGVO sollte insbesondere auf die Einhaltung des Grundsatzes der Transparenz geachtet werden:

 

Empfänger
  • Das Amtsgericht Wertheim sieht einen Verstoß gegen das Transparenzgebot in der beispielhaften Nennung von Empfängern („z.B.“). Hier sei nicht klar, ob eine Übermittlung an den so bezeichneten Empfänger stattgefunden habe oder nicht. Erforderlich sei auch die konkrete Benennung des Datums, nicht lediglich die der Datenart (AG Wertheim, Beschluss vom 12.12.2019, Aktenzeichen: 1 C 66/19).
  • Auch der Landesbeauftragte für den Datenschutz Baden-Württemberg fordert in seinem 35. Tätigkeitsbericht, Empfänger von Daten konkret zu bezeichnen. Das bloße Nennen von Kategorien ( z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) helfe dem Betroffenen nicht weiter.
  • Eine andere Auffassung vertritt das Amtsgericht Seligenstadt. Es sieht keine Pflicht, die konkreten Personen oder Stellen mitzuteilen, denen gegenüber Daten weitergeleitet wurden. Konkret ging es um die Informationen, welche Art der Datenträger und etwaige Cloudspeicher genutzt wurden. Nach Auffassung des Gerichts besteht gerade keine Verpflichtung, auch die Verarbeitungsmittel darzulegen. Insoweit ist es ausreichend, Kategorien von Drittempfängern zu nennen. Nach Art. 15 Abs. 1 lit. c DSGVO hat der Verantwortliche gerade die Wahl zwischen der Nennung von Kategorien oder konkreten Empfängern. (AG Seligenstadt, Urteil vom 23.06.2020 , Aktenzeichen 1 C 7/19 (3)
  • Eine Auskunft über Dritte, welche eigenverantwortlich Daten verarbeiten, ist nicht erforderlich(Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).
Verarbeitungszwecke
  • Im Rahmen einer Auskunft sind die Zwecke konkret und detailliert mitzuteilen. Die Angabe, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b,) c und f E. erfolge, ist nicht unzureichend und nicht transparent (Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).

Phase 4 - Beantwortung

Die Übermittlung der Information kann schriftlich, elektronisch oder auch mündlich erfolgen. Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft in einem gängigen elektronischen Format zur Verfügung zu stellen. Dies soll in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen.

Die Auskunft ist unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen.

Das Bayerische Landesamt für Datenschutzaufsicht hat ein Muster veröffentlicht, wie eine Auskunft nach Art. 15 DSGVO zu erfolgen hat. Dieses kann hier (PDF) abgerufen werden.

 

Phase 5 - Abschluss des Verfahrens

Um den Nachweis der ordnungsgemäßen Beauskunftung erbringen zu können, sollte diese für etwaige Nachfragen seitens des Betroffenen oder der Aufsichtsbehörden dokumentiert werden. Dabei sollte auch geklärt werden, innerhalb welcher Frist die Anfrage des Betroffenen zu löschen ist.

Grundsätzlich sind die Daten solange aufzubewahren, bis eine etwaige Verletzung von Betroffenenrechten nach DSGVO, BDSG und OWiG nicht mehr möglich ist. Das wäre dann der Fall, wenn Verjährung eingetreten ist. Nach § 31 OWiG verjährt eine Ordnungswidrigkeit bei den mit der DSGVO vorgesehenen Geldbußen in drei Jahren. Die Verjährungsfrist beginnt dabei, sobald die Handlung, also die Auskunft des Betroffenen, beendet ist.

 

Rechtsanwalt Robert Harzewski

Datenschutzverletzung

Gefahr von Datenschutzverletzungen

In den aktuellen Tätigkeitsberichten aus Bayern und Baden-Württemberg werden die häufigsten Datenschutzverletzungen benannt.

Gefahr von Datenschutzverletzungen

Diese sind Cyberangriffe, Verschlüsselungstrojaner, Malware, Verlust, Diebstahl, Software- und Buchungsfehler sowie Fehlversendungen.

Viele Vorfälle hätte man bereits durch Basis-Schutzmaßnahmen vermeiden können. Hierzu gehören zum Beispiel das regelmäßige Einspielen von Sicherheitsupdates und das richtige Durchführen von Datensicherungen ohne großen Aufwand.

Weitere Informationen finden Sie im Bericht aus Bayern auf Seite 63.

Auf das extrem gefährliche Schadprogram Emotet  weist der Bericht aus Baden-Württemberg  hin. Lesen Sie hierzu ausführlich ab Seite 28 des Tätigkeitsberichts.

Der nachlässige Umgang mit E-Mails kann existenzbedrohend werden. Beschäftigte sollten sensibilisiert und auf die aktuellen Gefahren in Bezug auf Spear Phishing hingewiesen werden. Es ist zu empfehlen, dass Nutzer überhaupt keine schadhaften Anhänge mehr öffnen.

Insgesamt gab es seit Inkraftreten der DSGVO wohl über 160.000 Verstöße mit Strafen in einem Gesamtwert von 114 Millionen Euro.

Fallgruppen von Datenschutzverletzungen

Folgende Fallgruppen kommen bei Datenschutzverletzungen besonders häufig vor:

• Fehlversand von Unterlagen (einfache Verwechslung der Empfängerperson bei Nach- Namensgleichheit; fehlerhaft hinterlegte Kontaktdaten; falschen Zustellung an einen unberechtigten Dritten; automatisierte Kuvertierung, bei der mehrere Briefbögen lediglich einem Briefumschlag beigefügt werden und somit zu einer fehlerhaften Zustellung führen; nichtautomatisierte, händische Kuvertierung von „Massenpost“)
• Verwendung eines offenen E-Mail-Verteilers
• Einbruch und Diebstahl
• Allgemein der Verlust von Unterlagen oder Datenträgern (Verlieren von USB-Sticks, das Verlorengehen von Unterlagen bei Umzügen oder sogar der Verlust infolge eines Brandes)
• Verlust von Unterlagen auf dem Postweg oder durch den Eingriff/die Zerstörung von Briefkästen durch Dritte

Rechtsanwalt Robert Harzewski

Private Handynummer der Mitarbeiter

Identitätsprüfung bei elektronischen Auskunftsersuchen

In der Praxis kommt es gehäuft zu Problemen bei der notwendigen Identitätsprüfung bei Anfragen von Betroffenen. Leider hat sich bisher noch kein etabliertes Verfahren zur Identifizierung durchgesetzt. Aus Baden-Württemberg gibt es nun eine kleine Zusammenfassung, welche Möglichkeiten bestehen und was im Einzelfall zu beachten ist. Die Mitteilung kann hier aufgerufen werden.

Vor Erteilung der Auskunft ist auf eine eindeutige Identifizierung der betroffenen Person zu achten. Eine Auskunft an eine falsche Person ist eine klare Datenschutzverletzung und muss unter Umständen auch der Aufsichtsbehörde gemeldet werden.

Bei telefonischen Anfragen sollten zur Identifizierung in der Regel Daten wie das Geburtsdatum und die Anschrift abgefragt werden. In Einzelfällen kann auch die Übermittlung einer geschwärzten Ausweiskopie (nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer sind sichtbar) zulässig sein. Gerade bei sensiblen Daten kann dies auf dem elektronischen Wege nur mit einer Ende-zu-Ende-verschlüsselten E-Mail, über eine HTTPS-geschützte Website oder mithilfe eines verschlüsselten PDF-Dokuments erfolgen.

Weitere Möglichkeiten der Identifizierung können über die Online-Ausweisfunktion des Personalausweises, die DE-Mail-Adresse oder über ein Postident-Verfahren oder Video-Ident-Verfahren möglich sein. Verfügt die betroffene Person über ein Nutzerkonto beim Verantwortlichen, so dürfen ihr keine zusätzlichen Fragen zur Identifizierung gestellt werden.

Die Auswahl der Identifizierungsmethode oder Identitätsprüfung obliegt dem Verantwortlichen unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen und ist daher eine Einzelfallentscheidung. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte das Verfahren sein.

 

Rechtsanwalt und Datenschutzbeauftragter Robert Harzewski