Schlagwort: Auskunftsanspruch

Kontrolle von Postfächern

Kontrolle von Postfächern

Die Berliner Datenschutzbeauftragte stellt in ihrem aktuellen Tätigkeitsbericht für 2020 noch einmal klar, dass eine regelmäßige Kontrolle von Postfächern auf Datenschutzanfragen erfolgen muss.

 

Eingehende Anfragen

Ein Auskunftsbegehren oder sonstige Datenschutzanfragen können den Verantwortlichen theoretisch auf jedem Kommunikationskanal und über jeden Mitarbeiter mit Außenkontakt erreichen. Vor allem Mitarbeiter mit Kundenkontakt (persönlich, telefonisch, per E-Mail oder Telefax) sind daher entsprechend zu sensibilisieren. Dies setzt zum einen die Kenntnis der Betroffenenrechte voraus. Zum anderen sollte den Mitarbeitern auch bekannt sein, dass mit Eingang der Anfrage auch die Frist aus Art. 12 Abs. 3 DSGVO zu laufen beginnt.

 

Weiterleitung

Auskunftsbegehren oder sonstige Anfragen müssen daher als solches erkannt und an den zuständigen Mitarbeiter weitergeleitet werden. Dies kann der Datenschutzmanager, die zuständige Fachabteilung aber auch ein sonstiges Mitglied des Datenschutzteams sein.

Auch E-Mails, die nicht über die von den Verantwortlichen vorgesehenen Kanäle eintreffen, müssen dabei an die richtigen Ansprechpersonen weitergeleitet werden.

 

Keine bevorzugten Kommunikationskanäle

Nach Art. 12 Abs. 2 Satz 1 DSGVO ist der Verantwortliche verpflichtet, betroffenen Personen die Geltendmachung ihrer Rechte zu erleichtern. Nach Auffassung der Berliner Datenschutzbeauftragten reicht es daher gerade nicht aus, in den Datenschutzhinweisen eine gesonderte E-Mail für den Datenschutz einzurichten und sich dann auf diesen einen Kanal zu
verlassen. Die DSGVO lasse es nicht zu, Betroffene auf bestimmte Kommunikationswege zu verweisen. Es könne den Betroffenen nicht abverlangt werden, zunächst die Datenschutzerklärung zu suchen, um die von den Verantwortlichen für Datenschutzanfragen vorgesehene Kontaktadresse herauszufinden.

Bei sogenannten No-Reply-E-Mail-Adressen ist nach Auffassung der Behörde zumindest eine Adresse anzugeben, an die Kunden sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden.

 

Kontrolle von Postfächern

Daher ist eine regelmäßige Kontrolle aller Postfächer unausweichlich. Dies betrifft auch insbesondere nicht mehr aktiv genutzte Postfächer, Spam-Ordner und eingehenden Anfragen in Ticket- oder sog. Customer-Relationship-Management- (CRM-)Systemen.

Rechtsanwalt Robert Harzewski

Benennung der Empfänger

Benennung der Empfänger

Bei der Information Betroffener sind nach Art. 13 Abs. 1 lit. e DSGVO die Empfänger der personenbezogenen Daten anzugeben. Die gleiche Verpflichtung trifft Verantwortliche im Rahmen der Beantwortung einer Auskunft, Art. 15 Abs. 1 lit. c DSGVO. Stattdessen soll nach dem Wortlaut der Verordnung auch die Möglichkeit bestehen, nur die Kategorien von Empfängern anzugeben.

So viel zur Theorie. Was aber sind denn nun Empfänger? In welchen Fällen müssen diese konkret bezeichnet werden? Wann reicht die Angabe der Kategorie aus? Diese Fragen möchte ich im Folgenden beantworten:

 

Wer ist Empfänger?

Empfänger sind nach Art. 4 Nr. 9 S. 1 DSGVO alle Stellen, denen personenbezogene Daten offengelegt werden. Hierunter können Dienstleister, Auftragsverarbeiter, Kooperationspartner, und ggfs. auch gemeinsam für die Datenverarbeitung Verantwortliche gehören.

Wenn Sie also zum Beispiel Daten Ihrer Mitarbeiter auch gegenüber ihrem Steuerberater offenlegen, dann ist dieser in den Datenschutzhinweisen und bei einer entsprechenden Auskunft auch mitzuteilen.

Nach bisher überwiegender Auffassung sind interne Übermittlungen an Stellen innerhalb eines Verantwortlichen (wie Personalstelle oder Rechtsabteilung) nicht als Empfänger mitzuteilen.

 

Reicht die Angabe einer Kategorie?

Ein in der Praxis häufig anzutreffender Wunsch ist, den konkreten Dienstleister nicht nach außen mitzuteilen. Statt Steuerberater Müller könnte in den Hinweisen dann nur stehen: Wir haben einen Steuerberater beauftragt.

Der Wortlaut „oder“ im Text der Verordnung suggeriert ein Wahlrecht, dessen Existenz jedoch umstritten ist.

 

Benennung der Empfänger

Einer vorwiegend in der Literatur vertretene Auffassung nach, sind die konkreten Empfänger zu benennen, wenn sie bei der Datenerhebung absehbar sind.

Das Amtsgericht Wertheim sieht einen Verstoß gegen das Transparenzgebot in der beispielhaften Nennung von Empfängern („z.B.“). Hier sei nicht klar, ob eine Übermittlung an den so bezeichneten Empfänger stattgefunden habe oder nicht. Erforderlich sei auch die konkrete Benennung des Datums, nicht lediglich die der Datenart (AG Wertheim, Beschluss vom 12.12.2019, Aktenzeichen: 1 C 66/19).

Der Landesbeauftragte für den Datenschutz Baden-Württemberg fordert, Empfänger von Daten konkret zu bezeichnen. Das bloße Nennen von Kategorien ( z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) helfe dem Betroffenen nicht weiter (Datenschutz-Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg 2019, abrufbar unter S. 26).

 

Angabe nur der Kategorie

Anderer Auffassung nach, soll die Angabe nur der Kategorie bei der Benennung der Empfänger ausreichen.

Als eines der ersten Gerichte hat sich das Amtsgericht Seligenstadt nun mit der Frage beschäftigt. Das Gericht sieht keine Pflicht, die konkreten Personen oder Stellen mitzuteilen, denen gegenüber Daten weitergeleitet wurden. Konkret ging es um die Informationen, welche Art der Datenträger und etwaige Cloudspeicher genutzt wurden. Nach Auffassung des Gerichts besteht gerade keine Verpflichtung, auch die Verarbeitungsmittel darzulegen. Insoweit ist es ausreichend, Kategorien von Drittempfängern zu nennen. Dabei argumentiert es mit dem Wortlaut. Nach Art. 15 Abs. 1 lit. c DSGVO hat der Verantwortliche gerade die Wahl zwischen der Nennung von Kategorien oder konkreten Empfängern (AG Seligenstadt, Urteil vom 23.06.2020 , Aktenzeichen 1 C 7/19 (3).

 

Fazit

Auch wenn der Wortlaut ein Wahlrecht suggeriert, sollte die weitere Rechtsprechung zu diesem Thema abgewartet werden. Datenschutzhinweise und Auskünfte sind Ausfluss des Transparenz-Grundsatzes aus Art. 5 DSGVO. Ich empfehle daher, auch künftig die konkreten Empfänger zu benennen, wenn sie für eine gewisse Zeit feststehen.

Rechtsanwalt Robert Harzewski

Personenbezogene Daten einer Auskunft

Personenbezogene Daten einer Auskunft

Nach Art. 15 DSGVO hat jede Person das Recht, von einem Verantwortlichen eine Bestätigung zu verlangen, ob eigene personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie unter anderem ein Recht auf Auskunft über diese personenbezogenen Daten.

Welche personenbezogenen Daten grundsätzlich von der Auskunft erfasst sind, ergibt sich direkt aus Art. 4 Nr. 1 DSGVO. In bestimmten Fällen ist der Gegenstand einer Auskunft aber noch umstritten. Dieser Beitrag soll daher einen Überblick zu der bisherigen Rechtsprechung ermöglichen.

Informationen zu den allgemeinen Anforderungen einer ordnungsgemäßen Auskunft finden Sie in meinem Artikel: Auskunft nach Art. 15 DSGVO

Personenbezogene Daten einer Auskunft

 

Der Begriff des personenbezogenen Datums ist in Art. 4 Nr. 1 DSGVO definiert. Personenbezogene Daten sind demnach alle Informationen, die sich auf eine identifizierte (bestimmte) oder identifizierbare (bestimmbare) natürliche Person beziehen.

Unproblematisch betrifft dies persönlichen Informationen wie Name, Anschrift und Geburtsdatum sowie äußere Merkmale (Augenfarbe, Größe und Gewicht und innere Zuständen (Wünsche, Meinungen, Überzeugungen). Aber auch Standortdaten, Online-Kennungen, Telefonnummern und sonstige Kennungen (IP-Adresse, Kontonummer, Ausweisnummer, Rentenversicherungsnummer, etc.) sind personenbezogene Daten einer Auskunft, da sich anhand dieser Informationen eine natürliche Person bestimmen lässt.

Bisherige Rechtsprechung

 

Der Inhalt einer Auskunft, bzw. die Frage, welche personenbezogenen Daten von dieser umfasst sind, wird gerade durch zahlreiche Urteile präzisiert.

 

Gegenstand einer Auskunft

 

Ärztliche Unterlagen
Ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen sind personenbezogene Daten und daher Inhalt einer Auskunft.

Entscheidung: Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18

 

Behandlungsdokumentationen
Neben § 630g BGB steht dem Patienten auch ein Anspruch auf Auskunft über die bei einem Krankenhaus gespeicherten personenbezogenen Daten zu. Die Regelung des § 630 g BGB hat nicht Vorrang vor den Bestimmungen des Art. 15 Abs. 3 DSGVO. Die Übermittlung der vollständigen Behandlungsdokumentationen im PDF-Format für den Behandlungszeitraum muss daher unentgeltlich erfolgen.

Entscheidung: LG Dresden, Urteil vom 29.5.2020, Aktenzeichen: 6 O 76/20

 

Gesprächsvermerke und Telefonnotizen
Zur Auskunft gehören insbesondere auch elektronisch gespeicherte Vermerke zu mit dem Kunden geführten Telefonaten und sonstigen Gesprächen.

Entscheidungen: OLG Köln (20. Zivilsenat), Urteil vom 26.07.2019, Aktenzeichen:  20 U 75/18; LG Köln (23. Zivilkammer), Urteil vom 11.11.2020, Aktenzeichen: 23 O 172/19

 

Kontobewegungen auf dem Konto der Bank
Entscheidung: AG Bonn, Urteil vom 30.7.2020, Aktenzeichen: 118 C 315/19

Nicht Gegenstand einer Auskunft

 

Nicht Gegenstand bzw. personenbezogene Daten einer Auskunft sind demnach:

 

Erklärungen des Betroffenen
Erklärungen des Betroffenen, wie ein Antrag auf Abschluss der Versicherung oder ein Kündigungsschreiben sind an sich ist keine personenbezogenen Daten. Diese enthalten vielmehr personenbezogene Daten, die sich allerdings in den Stammdaten erschöpfen. Damit können Kopien konkreter Anträge, Willenserklärungen, Kündigungen, Widerrufe und Versicherungsunterlagen nicht verlangt werden. Lediglich die darin enthaltenen Daten und die Information über die Erklärung an sich, sind Bestandteil einer Auskunft.

Entscheidungen: Landgericht Ulm , Urt. v. 28. 8. 2020, , Aktenzeichen: 3 O 248/19; Landgericht Stuttgart, Urteil vom 04.11.2020, Aktenzeichen: 18 O 333/19

 

Interne Vorgänge, Vermerke
Auskunftsanspruch bezieht sich aber nicht auf sämtliche interne Vorgänge.

Entscheidungen: Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18; AG Seligenstadt, Urteil vom 23.06.2020 , Aktenzeichen 1 C 7/19 (3)

 

Mitteilung über bereits gelöschte Daten
Eine Pflicht, Auskunft darüber zu erteilen, welche Daten in welchem Zusammenhang in der Vergangenheit bereits gelöscht wurden gibt es nicht.

Entscheidung: AG Seligenstadt, Urteil vom 23.06.2020 , Aktenzeichen 1 C 7/19 (3)

 

Rechtliche Bewertungen oder Analysen
Rechtliche Bewertungen oder Analysen stellen keine personenbezogenen Daten in diesem Sinne dar.

Entscheidung: Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18

 

Schriftverkehr
Sämtlicher gewechselter Schriftverkehr, der dem Betroffenen bereits bekannt ist, muss nicht erneut ausgedruckt und übersendet werden und ist nicht von der Auskunft umfasst.

Entscheidungen: Landgericht Köln, Teilurteil vom 18.03.2019, Aktenzeichen: 26 O 25/18; LG Stuttgart, Urteil vom 04.11.2020, Aktenzeichen: 18 O 333/19

 

Rechtsanwalt Robert Harzewski

Anspruch auf Auskunft

Umfang der Auskunft weiterhin unklar

Eine unvollständige, inkorrekte und zu spät erteilte Auskunft kann wie im Fall vor dem Arbeitsgericht Düsseldorf einen immateriellen Schadenersatzanspruch i. H. v. 5.000 EUR rechtfertigen. Das Urteil aus März dieses Jahres sorgt unter Verantwortlichen weiter für Verunsicherung bei der Beantwortung.

Aufgrund der bisherigen Rechtsprechung ist unklar, wie weit der Anspruch auf Auskunft reicht. Häufig werden von Betroffenen E-Mails in Kopie herausverlangt. Zuletzt hatte das AG Bonn mit Urteil vom 30.07.2020 entschieden, dass dem Arbeitnehmer alle betreffenden E-Mails zu übermitteln sind, sofern keine Rechte Dritter betroffen sind (AG Bonn, Urteil vom 30.07.2020, Aktenzeichen 118 C 315/19). Das LAG Hannover sieht dagegen keinen Auskunftsanspruch in Bezug auf die eigenen E-Mails, da diese dem Betroffenen bereits bekannt sind (LAG Hannover, Urteil vom 09.06.2020, Aktenzeichen: 9 Sa 608/19).

Im Mandantenbereich finden Sie im Handbuch (Kapitel VII. 2. b) eine aktuelle Übersicht über die aktuelle Rechtsprechung (auch im Hinblick auf Vermerke, Protokolle, Gutachten).

Weitere Informationen finden Sie auch unter meinem Blogbeitrag zur Auskunft nach Art. 15 DSGVO.

Rechtsanwalt Robert Harzewski

Auskunft nach Art. 15 DSGVO

Auskunft nach Art. 15 DSGVO

Das Auskunftsrecht ist das zentrale Betroffenenrecht. Eine vollständige Antwort gestaltet sich oft schwierig und ist manchmal recht komplex. Aufsichtsbehörden berichten daher von einer hohen Anzahl von Datenschutzbeschwerden. Häufige Fehler bei der Auskunft nach Art. 15 DSGVO sind:

Zweifel an PersonAuskunftsbegehren werden ignoriert, weil Zweifel an der Identität des Anfragenden bestehen.
Die Antwort umfasst nur die Stammdaten und Kategorien von Empfängern.
Auskunft nach Art. 15 DSGVO nicht weitergeleitet Der Antrag auf Auskunft nach Art. 15 DSGVO wird nicht weitergeleitet
Zeit für Auskunft nach Art. 15 DSGVO läuft abAuskünfte werde nicht rechtzeitig beantwortet.

 

Dieser Beitrag gibt einen Überblick über die bisherige Rechtsprechung und zu den Anforderungen einer ordnungsgemäßen Auskunft.

 

Recht auf Auskunft nach Art. 15 DSGVO

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffende personenbezogene Daten verarbeitet werden. Eine betroffene Person sollte [dieses] Auskunftsrecht [...] problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (Erwägungsgrund 63 S. 1).

Aufgrund der zum Teil sehr aufwendigen Recherche, Bearbeitung, Organisation und der knapp bemessen Zeit hat der Verantwortliche vorab in einem entsprechende Prozess sicherzustellen, dass Anfragen unverzüglich dem zuständigen Mitarbeiter oder im Bedarfsfall dem Datenschutzbeauftragten vorgelegt werden. Neben dem Sicherstellen einer zügigen Bearbeitung der Anfragen sollten auch geeignete Vorlagen zur Auskunft  bereit gehalten werden. Neben einem möglichen Bußgeld können bei Versäumung der Frist auch Anwaltskosten entstehen.

Das OLG Köln (Beschluss vom 25. Juli 2019, Az.: 20 W 10/18) und das Amtsgericht München (Teilurteil vom 04. September 2019, Az: 155 C 1510/18) gehen davon aus, dass ein Streitwert i.H.v. 5.000,00 € für einen Auskunftsanspruch nach Art. 15 DSGVO angemessen ist. Dadurch würden sich die außergerichtlichen Anwaltskosten für jede versäumte Beantwortung einer Anfrage auf 492,54 Euro belaufen.

 

Phasen der Auskunft nach Art. 15 DSGVO

Der Prozess muss auch gewährleisten, dass vor Erteilung einer Auskunft in jedem Fall die Berechtigung des Auskunftsersuchens geprüft wird. Im Zweifel sollten zusätzliche Informationen nachgefordert werden, die die Identität der betroffenen Person bestätigen.

Prozess-Phasen:

 

NummerPhaseAnforderung
Eingang des AuskunftsbegehrensWeiterleitung an den zuständigen Mitarbeiter oder das Datenschutzteam
2IdentitätsprüfungPrüfung, ob sich Betroffener ausreichend identifiziert hat
BearbeitungZusammentragen aller Informationen
VierBeantwortungDie Antwort hat innerhalb eines Monats in einfacherer Sprache zu erfolgen.
5Abschluss des VerfahrensDokumentation und Festlegung der Speicherfrist

 

Phase 1 - Eingang des Auskunftsbegehrens

Eine häufiger Fehler ist, dass Anträge auf Auskunft nach Art. 15 DSGVO auf dem Weg im Unternehmen verloren gehen.

 

Sensibilisierung der Mitarbeiter

Ein Auskunftsbegehren kann den Verantwortlichen theoretisch auf jedem Kommunikationskanal und über jeden Mitarbeiter mit Außenkontakt erreichen. Mitarbeiter mit Kundenkontakt (persönlich, telefonisch, per E-Mail oder Telefax) sind daher so zu sensibilisieren, dass Sie das Auskunftsbegehren als solches erkennen und dieses an den zuständigen Mitarbeiter weiterleiten. Dies kann der Datenschutzmanager, aber auch ein sonstiges Mitglied des Datenschutzteams sein.

 

Fristbeginn der Auskunft nach Art. 15 DSGVO

Der Fristlauf von einem Monat beginnt dann, wenn das Auskunftsbegehren beim Verantwortlichen eingeht. Dabei genügt es, wenn ein Brief am Empfang oder einer extern beauftragten Rezeption abgegeben wird. Das Arbeitsgericht Düsseldorf geht davon aus, dass Post üblicherweise nicht einmal einen Tag liegen gelassen, sondern binnen weniger Stunden an den Empfänger weitergeben wird.

 

Phase 2 - Identitätsprüfung

Vor Erteilung der Auskunft ist auf eine eindeutige Identifizierung der betroffenen Person zu achten. Eine Auskunft an eine falsche Person ist eine klare Datenschutzverletzung und muss unter Umständen auch der Aufsichtsbehörde gemeldet werden. Im Interesse der Datenminimierung dürfen bei der Identitätsprüfung grundsätzlich nur Daten gefordert werden, die zur Identifizierung zwingend erforderlich sind.

 

Übersicht über mögliche Wege der Antragstellung

Die Auswahl der Identifizierungsmethode obliegt dem Verantwortlichen unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen und ist daher eine Einzelfallentscheidung. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte das Verfahren sein.

 

Antragstellung überLegitimation durchEinschränkung
schriftlich per Post
  • Adresse ist bekannt oder
  • geschwärzte Ausweiskopie per (Name, Anschrift, Geburtsdatum und Gültigkeitsdauer von Ausweis)
telefonisch
  • Bei telefonischen Anfragen sollten zur Identifizierung in der Regel Daten wie das Geburtsdatum und die Anschrift abgefragt werden (LfDI Baden-Württemberg).
  • Im Einzelfall können auch zusätzliche Informationen, wie z.B. ein PIN abgefragt werden (z.B. beim Telebanking).
  • nicht bei sensiblen Daten, insbesondere nach Art. 9 Abs. 1 DSGVO, da abgefragte Daten zur Identifikation nicht geheim sind
per E-Mail / Fax
  • bekannte E-Mail Adresse oder Bestätigung über bekannte E-Mailadresse
  • sonst Vorlage eines Identitätsnachweises
  • bei unbekannter E-Mail lässt sich nicht auf auf die wahre Identität der betroffenen Person schließen
  • Es fehlt an Identifizierungsmerkmalen wie Geburtsdatum oder Anschrift
  • Gerade bei sensiblen Daten kann dies auf dem elektronischen Wege nur mit einer Ende-zu-Ende-verschlüsselten E-Mail, oder mithilfe eines verschlüsselten PDF-Dokuments erfolgen (Broschüre Personalausweis und Datenschutz des LDI-NRW).
  • Im Falle eines Telefaxes mit Absenderkennung kann nicht zweifelsfrei von einer Identifikationssicherheit ausgegangen werden, da auch hier die Möglichkeit der Fälschung besteht (9. TB des BayLDA).
über Nutzerkonto auf Webseite
  • sichere Benutzerkennung (möglichst Zwei-Faktor-Authentifizierung)
  • Verfügt die betroffene Person über ein Nutzerkonto beim Verantwortlichen, so dürfen ihr keine zusätzlichen Fragen zur Identifizierung gestellt werden.
per Video oder persönlich
  • durch Postident-Verfahren oder Video-Ident-Verfahren (Prüfung des Ausweises, Anfertigung von Ausweiskopie oder Aufnahme der Person mit Ausweis und Bestätigung der Identitätsfeststellung gegenüber Verantwortlichen)
  • höchste Sicherheit in Bezug auf die Identifizierung

 

De-Mail / qualifizierte elektronische Signatur

De-Mail und eine qualifizierte elektronische Signatur können grundsätzlich zur sicheren Identifizierung von betroffenen Personen genutzt werden. Da die entsprechende Identität durch eine vertrauenswürdige Stelle geprüft wurde, können sich Verantwortliche auf die vorherige Prüfung verlassen.

 

Übermittlung einer geschwärzten Ausweiskopie

In Einzelfällen kann auch die Übermittlung einer geschwärzten Ausweiskopie zulässig sein. Dies sollte nur über einen sicheren Weg, z.B. mit einer Ende-zu-Ende-verschlüsselten E-Mail oder über eine HTTPS-geschützte Website passieren.

Zur Identifizierung sind dabei nur der Vor- und Nachname, die Anschrift und ggfs. auch die Gültigkeitsdauer zulässig. Die übrigen Daten sollten geschwärzt sein. Ausnahmsweise kann auch das Geburtsdatum sowie der Ort abgefragt werden, wenn sonst keine eindeutige Zuordnung möglich ist.

Nach Auffassung des LDI NRW ist die Anforderungen einer Ausweiskopie unter folgenden Voraussetzungen zulässig:

  • Kopie muss erforderlich sein, weil der Ausweis zum Beispiel nicht vor Ort vorgezeigt werden kann
  • die Kopie muss gemäß § 20 Abs. 2 Personalausweisgesetz als solche zu erkennen sein
  • nach Identifizierung wird die Kopie unverzüglich vernichtet (auch eine elektronische Speicherung ist unzulässig)

Bei reinen Negativauskünften soll auf die Anforderung von Ausweiskopien verzichtet werden (Tätigkeitsbericht des BayLDA 2013/2014, S. 77)

 

Vertretungsvollmacht

Wird der Auskunftsanspruch eines Betroffenen von seinem Anwalt geltend gemacht, dann sollte auch die Originalvollmacht angefordert werden. Das Amtsgericht Berlin-Mitte stellte dazu in seinem Urteil vom 29.07.2019 - Az.: 7 C 185/18 klar, dass die Erteilung einer Auskunft ohne Vorlage der Vollmacht gegen den Sinn und Zweck der DSGVO verstoßen würde. Dies betrifft aber nur Fälle, in denen die anwaltliche Vertretung in der Angelegenheit nicht schon bekannt ist, also begründete Zweifel an der Identität des Anfragenden bestehen.

 

Die Monatsfrist, innerhalb welcher die Auskunft zu erfolgen hat, beginnt erst ab dem Zeitpunkt, zu dem die Vollmacht tatsächlich vorgelegt wurde. Das Gericht stellte weiterhin fest, dass es vor diesem Hintergrund nicht statthaft ist, ein Unternehmen auf Auskunft zu verklagen, bevor die Monatsfrist abgelaufen ist.

 

Zweifel an der Identität

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche bei begründeten Zweifeln an der Identität der Auskunft suchenden Person zusätzliche Informationen anfordern, die zur Bestätigung deren Identität erforderlich ist.

Keine Zweifel bestehen grundsätzlich, wenn der Antragsteller dem Verantwortlichen persönlich bekannt ist. Dies bedeutet aber nicht, dass automatisch jede Anfrage eines Unbekannten Zweifel auslöst. Die Verwendung unbekannter Kontaktdaten oder die Abweichung von der bisherigen Form der Korrespondenz können jedoch Zweifel begründen.

Das VG Berlin (Urteil vom 31.08.2020, Az.: 1 K 90.19) geht davon aus, dass ohne besonderen Anlass kein Identitätsnachweis von einem Antragsteller, wie die Kopie des Personalausweises, verlangt werden kann. Der Auskunft-Suchende begehrte hier eine Auskunft auf postalischem Wege. Dem Verantwortlichen (ein Amtsgericht) war die gegenwärtige Anschrift aufgrund der Übersendung verschiedener Entscheidungen bekannt. Dadurch fehle jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte. Schließlich wies das Gericht auch darauf hin, dass eine Fehlleitung der Auskunft durch eine förmliche Zustellung des Auskunftsschreibens unterbunden werden kann.

Ist der Kommunikationskanal also bekannt, müssen besondere Gründe hinzutreten, um einen Identitätsnachweis vom Antragsteller zu verlangen.

 

Phase 3 - Bearbeitung

Der Umfang der zu erteilenden Informationen ergibt sich aus Art. 15 Abs. 1 DSGVO. Welche personenbezogenen Daten im Einzelfall konkret erfasst sein können, finden Sie in meinem Beitrag: Personenbezogene Daten einer Auskunft

Für den Umfang des Auskunftsverlangens ist grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsverlangens maßgeblich. Daten, die in der Vergangenheit einmal verarbeitet wurden und über die der Verantwortliche nun nicht mehr verfügt, sind nicht Bestandteil der Auskunft. Wird die Frist von einem Monat gemäß Art. 12 Abs. 3 DSGVO versäumt, so sind nachfolgende Datenverarbeitungen aber einzubeziehen (Arbeitsgerichts Düsseldorf, Urteil vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).

Werden eine große Menge von Informationen über die betroffene Person verarbeitet, so sollte der Betroffene aufgefordert werden, sein Auskunftsersuchen noch weiter zu konkretisieren. Eine Präzisierung könnte bestimmte Verarbeitungszwecke,
Zeiträume oder Datenkategorien umfassen. Dieses gestufte Vorgehen wird ausdrücklich von Erwägungsgrund 63 S. 7 beschrieben.

Bei der Beantwortung einer Auskunft nach Art. 15 DSGVO sollte insbesondere auf die Einhaltung des Grundsatzes der Transparenz geachtet werden:

 

Empfänger
  • Das Amtsgericht Wertheim sieht einen Verstoß gegen das Transparenzgebot in der beispielhaften Nennung von Empfängern („z.B.“). Hier sei nicht klar, ob eine Übermittlung an den so bezeichneten Empfänger stattgefunden habe oder nicht. Erforderlich sei auch die konkrete Benennung des Datums, nicht lediglich die der Datenart (AG Wertheim, Beschluss vom 12.12.2019, Aktenzeichen: 1 C 66/19).
  • Auch der Landesbeauftragte für den Datenschutz Baden-Württemberg fordert in seinem 35. Tätigkeitsbericht, Empfänger von Daten konkret zu bezeichnen. Das bloße Nennen von Kategorien ( z.B. Autohäuser, Wirtschaftsauskunfteien, Online-Händler) helfe dem Betroffenen nicht weiter.
  • Eine andere Auffassung vertritt das Amtsgericht Seligenstadt. Es sieht keine Pflicht, die konkreten Personen oder Stellen mitzuteilen, denen gegenüber Daten weitergeleitet wurden. Konkret ging es um die Informationen, welche Art der Datenträger und etwaige Cloudspeicher genutzt wurden. Nach Auffassung des Gerichts besteht gerade keine Verpflichtung, auch die Verarbeitungsmittel darzulegen. Insoweit ist es ausreichend, Kategorien von Drittempfängern zu nennen. Nach Art. 15 Abs. 1 lit. c DSGVO hat der Verantwortliche gerade die Wahl zwischen der Nennung von Kategorien oder konkreten Empfängern. (AG Seligenstadt, Urteil vom 23.06.2020 , Aktenzeichen 1 C 7/19 (3)
  • Eine Auskunft über Dritte, welche eigenverantwortlich Daten verarbeiten, ist nicht erforderlich(Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).
Verarbeitungszwecke
  • Im Rahmen einer Auskunft sind die Zwecke konkret und detailliert mitzuteilen. Die Angabe, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. (b,) c und f E. erfolge, ist nicht unzureichend und nicht transparent (Arbeitsgericht Düsseldorf, Entscheidung vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18).

Phase 4 - Beantwortung

Die Übermittlung der Information kann schriftlich, elektronisch oder auch mündlich erfolgen. Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft in einem gängigen elektronischen Format zur Verfügung zu stellen. Dies soll in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen.

Die Auskunft ist unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen.

Das Bayerische Landesamt für Datenschutzaufsicht hat ein Muster veröffentlicht, wie eine Auskunft nach Art. 15 DSGVO zu erfolgen hat. Dieses kann hier (PDF) abgerufen werden.

 

Phase 5 - Abschluss des Verfahrens

Um den Nachweis der ordnungsgemäßen Beauskunftung erbringen zu können, sollte diese für etwaige Nachfragen seitens des Betroffenen oder der Aufsichtsbehörden dokumentiert werden. Dabei sollte auch geklärt werden, innerhalb welcher Frist die Anfrage des Betroffenen zu löschen ist.

Grundsätzlich sind die Daten solange aufzubewahren, bis eine etwaige Verletzung von Betroffenenrechten nach DSGVO, BDSG und OWiG nicht mehr möglich ist. Das wäre dann der Fall, wenn Verjährung eingetreten ist. Nach § 31 OWiG verjährt eine Ordnungswidrigkeit bei den mit der DSGVO vorgesehenen Geldbußen in drei Jahren. Die Verjährungsfrist beginnt dabei, sobald die Handlung, also die Auskunft des Betroffenen, beendet ist.

 

Rechtsanwalt Robert Harzewski

Richter mit Hammer

Umfang des Auskunftsanspruches nach Art. 15 DSGVO

Leitsatz:

Der Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich nicht auf alle internen Vorgänge. Der Anspruch dient vielmehr dazu, den Umfang der gespeicherten Daten zu beurteilen.
 
Gericht: : Landgericht Köln, Teilurteil vom 18.03.2019
Aktenzeichen: 26 O 25/18

 

Was war passiert?

Eine Versicherungsnehmerin hatte zwei Lebensversicherungsverträge bei Ihrem Versicherer abgeschlossen. Von diesem verlangte Sie nun eine vollständige Datenauskunft nach Art. 15 DSGVO. Dieser kam der Versicherer zum Teil nach, was der Versicherungsnehmerin jedoch nicht ausreichte.
 

Entscheidung:

Das Gericht entschied, dass nach Art. 15 DSGVO grundsätzlich ein umfassender Auskunftsanspruch über die verarbeiteten personenbezogenen Daten eines Betroffenen besteht. Hierzu zählen auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen.

Umfang des Auskunftsanspruches nach Art. 15 DSGVO erstreckt sich neben den in Art. 15 Abs. 1 DSVO aufgeführten Informationen allerdings nicht auf alle internen Vorgänge, wie zum Beispiel Vermerke oder den gewechselten Schriftverkehr, welche dem Auskunftssuchenden bereits bekannt sind. Auch rechtliche Bewertungen oder Analysen stellen keine vom Anspruch umfassten Daten dar.

Der Anspruch auf Auskunft dient vielmehr dazu, den Umfang der gespeicherten Daten zu beurteilen. Keinesfalls soll dieser dem Betroffenen zu einer vereinfachten Buchführung dienen.
 

Rechtsanwalt Robert Harzewski

Private Handynummer der Mitarbeiter

Identitätsprüfung bei elektronischen Auskunftsersuchen

In der Praxis kommt es gehäuft zu Problemen bei der notwendigen Identitätsprüfung bei Anfragen von Betroffenen. Leider hat sich bisher noch kein etabliertes Verfahren zur Identifizierung durchgesetzt. Aus Baden-Württemberg gibt es nun eine kleine Zusammenfassung, welche Möglichkeiten bestehen und was im Einzelfall zu beachten ist. Die Mitteilung kann hier aufgerufen werden.

Vor Erteilung der Auskunft ist auf eine eindeutige Identifizierung der betroffenen Person zu achten. Eine Auskunft an eine falsche Person ist eine klare Datenschutzverletzung und muss unter Umständen auch der Aufsichtsbehörde gemeldet werden.

Bei telefonischen Anfragen sollten zur Identifizierung in der Regel Daten wie das Geburtsdatum und die Anschrift abgefragt werden. In Einzelfällen kann auch die Übermittlung einer geschwärzten Ausweiskopie (nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer sind sichtbar) zulässig sein. Gerade bei sensiblen Daten kann dies auf dem elektronischen Wege nur mit einer Ende-zu-Ende-verschlüsselten E-Mail, über eine HTTPS-geschützte Website oder mithilfe eines verschlüsselten PDF-Dokuments erfolgen.

Weitere Möglichkeiten der Identifizierung können über die Online-Ausweisfunktion des Personalausweises, die DE-Mail-Adresse oder über ein Postident-Verfahren oder Video-Ident-Verfahren möglich sein. Verfügt die betroffene Person über ein Nutzerkonto beim Verantwortlichen, so dürfen ihr keine zusätzlichen Fragen zur Identifizierung gestellt werden.

Die Auswahl der Identifizierungsmethode oder Identitätsprüfung obliegt dem Verantwortlichen unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen und ist daher eine Einzelfallentscheidung. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte das Verfahren sein.

 

Rechtsanwalt und Datenschutzbeauftragter Robert Harzewski