Bei Auskunftsanfragen betroffener Personen zu beachten

Bei Auskunftsanfragen betroffener Personen zu beachten

Durch die mit Spannung erwarteten Leitlinien 01/2022 des Europäischen Datenschutzausschusses (EDSA) – Zusammenschluss der Datenschutzaufsichtsbehörden der EU-Mitgliedsländer – zu den Rechten von betroffenen Personen mit Blick auf datenschutzrechtliche Auskunftsanfragen ist nun mehr Klarheit geschaffen worden. Klarheit dahingehend, dass Verantwortliche wissen, was in einer bestimmten Situation zu unternehmen ist und wie sie eine Antwort umsetzen sollten. In diesem Beitrag gehen wir näher darauf an, was bei Auskunftsanfragen betroffener Personen nach den Vorstellungen des EDSA zu beachten ist.

(Hinweis: Es handelt sich hierbei nicht um eine vollständige Übersetzung, sondern um eine subjektive Zusammenfassung der Leitlinien des EDSA. Bei der am 18.01.2022 vorgestellten Fassung der Leitlinie handelt es sich nicht um ein finales Dokument, sondern um eine Version zur öffentlichen Konsultation.)

Ziel der Leitlinie zu Auskunftsansprüchen

Das Ziel der Leitlinie besteht darin, betroffene Personen über ihre Rechte bei der Ausübung ihrer Auskunftsansprüche gem. Art. 15 DSGVO zu informieren. Nebenher bekommen Verantwortliche aber auch einen klärenden Überblick darüber, was in bestimmten Situation zu unternehmen und wie zu reagieren ist.

Grund der Leitlinie

In der Vergangenheit kam es oft zu Missverständnissen oder unterschiedlicher Auslegung des Auskunftsrechts seitens mancher Verantwortlicher, ob und in welchem Umfang eine Auskunftsanfrage einer betroffenen Person zu beantworten ist. Zum einen nahmen manche Einrichtungen fälschlicherweise an, sie müssten nicht weiter auf solch eine Anfrage reagieren, wenn sie keine personenbezogenen Daten der betroffenen Person verarbeiteten. Andere Unternehmen dachten, sie könnten für die Bereitstellung der personenbezogenen Daten ein Entgelt verlangen. Dann wiederum gab es Verantwortliche mit der Ansicht, es gäbe keinen Zeitraum, innerhalb dessen sie auf Anfragen Betroffener antworten müssten.

Auswahl einiger Beispielfälle

Betrachten wir also ein paar mögliche Fallbeispiele. Bei diesen Szenarien tritt eine betroffene Person mit einer Auskunftsanfrage an einen Verantwortlichen heran.

Information zur Frage, ob personenbezogene Daten verarbeitet werden (Art. 15 Abs. 1 DSGVO)

Wenn eine betroffene Person die Frage stellt, ob ein Verantwortlicher von ihr personenbezogene Daten verarbeitet, gibt es drei Antwortmöglichen:

1)     Ein Verantwortlicher informiert die Person darüber, dass er keine personenbezogenen Daten von ihr verarbeitet. Hierbei ist dann allerdings auch noch zu erwähnen, dass er die betroffene Person, darüber aufklären muss, dass er allerdings ihre personenbezogenen Daten im Zusammenhang mit ihrer Anfrage verarbeitet.

2)    Der Verantwortliche antwortet, dass er aufgrund unzureichender Daten bei der Anfrage nicht eindeutig feststellen könne, ob er Daten von ihr verarbeitet und dass er weitere Informationen zur Identifikation der Person benötige oder

3)    er bestätigt, dass er personenbezogene Daten von ihr verarbeitet, gibt entsprechende Informationen dazu und bietet eine weitere Beantwortung möglicher offener oder aufkommender Fragen an.

Identifikation der betroffenen Person (ErwG 64)

Wenn eine betroffene Person eine Auskunftsanfrage stellt, kann sich die Notwendigkeit ergeben, dass ein Verantwortlicher weitere Informationen benötigt, um sicherzugehen, dass es sich bei der anfragenden Person auch tatsächlich um die betroffene Person handelt. Ein Grund hierfür kann sein, dass die betroffene Person mit einer anderen als der bekannten E-Mail-Adresse anfragt. Möglicherweise geschieht die Anfrage telefonisch, wo aufgrund von Betrugsmöglichkeiten Maßnahmen zur Identifikation Gang und Gebe sein sollten.

Gibt es bei einem Verantwortlichen Maßnahmen zur Identifikation einer Person, ist es eine Möglichkeit Artt. 5 Abs. 1 lit. f) DSGVO (Integrität und Vertraulichkeit) und 32 DSGVO (Implementation geeigneter technischer und organisatorischer Maßnahmen) zu erfüllen. Hintergrund ist, dass die Erteilung von Auskünften an andere als die betroffene Person selbst eine rechtswidrige Datenübermittlung darstellen kann. Dies kann zu erheblichen Bußgeldern führen. So musste die 1&1 Telecom GmbH für unzureichende Authentifizierungsmaßnahmen der Anrufer ein Bußgeld von EUR 900.000 zahlen (Urteil des LG Bonn vom 11.11.2020, Az.: 29 OWi 1/20).

Angemessenheit der Maßnahme zur Identifikation

Bei der Identifikation der betroffenen Person sollte ein Verantwortlicher die Angemessenheit der jeweiligen Maßnahme beachten. Stellt eine Person beispielsweise bei dem Lieblings-Online-Shop für kreative Handarbeit eine Auskunftsanfrage, ist es unangemessen, dass der Verantwortliche, der Online-Shop-Betreiber, nach einer Kopie des Personalausweises fragt. In solch einem Fall gibt es andere, weniger eingreifende Möglichkeiten zur Identifikation der Person, wie beispielsweise die Bestätigung der Kundennummer durch den Kunden. Auch sollten der betroffenen Personen bei der Identifikation keine zusätzlichen Kosten entstehen. Dies gilt insbesondere, wenn die Folge sein könnte, dass die Person entscheidet, von einer Auskunftsanfrage abzusehen.

Form der Kopie personenbezogener Daten (Art. 15 Abs. 3 DSGVO)

Zunächst besteht die Pflicht, Auskunft darüber zu erteilen, ob Daten zu der betroffenen Person verarbeitet werden. Wenn ja, um welche Art von Daten es sich handelt. Darüber hinaus hat die betroffene Person Anspruch auf eine kostenfreie Kopie der Daten. Der Prozess, der betroffenen Person eine Kopie ihrer personenbezogenen Daten bereitzustellen, zielt darauf ab, dieser Person den Zugang zu ihren Daten zu ermöglichen. Dies soll idealerweise in der Form geschehen, in der die betroffene Person die Anfrage gestellt hat, sofern sie keinen anderen Wunsch geäußert hat. Wird die Anfrage also elektronisch gestellt, kann die Kopie auch elektronisch, beispielsweise in Form einer PDF-Datei bereitgestellt werden. Geht das Auskunftsbegehren postalisch ein, ist es auf selbigem Weg zu beantworten.

Des Weiteren ist die erste Kopie kostenfrei zur Verfügung zu stellen. Verlangt die Person eine weitere Kopie davon, kann ein Verantwortlicher einen nachvollziehbaren Kostenvoranschlag vorlegen. Das heißt, er sollte dabei die administrativ benötigte Zeit berechnen, die Daten zusammenzutragen und zu übermitteln. Ein Profit daraus schlagen sollte er nicht. Bei der elektronischen Übermittlung ist darauf zu achten, dass die Daten sicher übermittelt werden. Das heißt sie sind verschlüsselt zu übermitteln bzw. zum Abruft bereitzustellen. Das Passwort ist auf einem gesonderten Kommunikationskanal mitzuteilen.

Häufigkeit der Anfrage und daraus folgende Pflichten zur Antwort

Nun mag so mancher Verantwortlicher der Annahme sein, er würde weitere Anfragen einer betroffenen Person in Rechnung stellen können. Vielleicht denkt er auch, er müsse sie gar nicht beantworten. Dabei sollte er allerdings auch beachten, wie oft sich ein Datensatz eventuell ändern kann. Je nach Häufigkeit der Änderung können sogar mehrere Anfragen in einem Jahr gerechtfertigt sein. Wenn eine betroffene Person bei einem Handwerker ein Produkt maßgeschneidert herstellen lässt und es bei diesem einzelnen Auftrag bleibt, ist davon auszugehen, dass sich danach die Daten nicht zwangsläufig mehr ändern werden. Demnach ist anzunehmen, dass eine einzelne Anfrage gerechtfertigt ist, darauffolgende – beispielsweise ein paar Monate später – könnten eine Rechnungsstellung (Ersatz der tatsächlichen Aufwendungen) für die Bereitstellung der Daten rechtfertigen. Bei Personen, die soziale Medien oder Messenger nutzen, wäre eine häufigere Anfrage eventuell gerechtfertigt. Der Grund ist die meist stetige Änderung der Daten.

Daten Dritter (Art. 15 Abs. 4 DSGVO i. V. m. ErwG 63) oder Geschäftsgeheimnisse (ErwG 63)

Stellt ein Verantwortlicher fest, dass bei Beantwortung einer Auskunftsanfrage eventuell Daten Dritter oder Geschäftsgeheimnisse (siehe Geschäftsgeheimnisgesetz) preisgegeben werden könnten, bedeutet es nicht, dass er beispielsweise keine Kopie der Daten des Betroffenen übermitteln kann. Gegebenenfalls muss ein Verantwortlicher hierbei abwägen, inwiefern die Bereitstellung von Daten ein Risiko für die Rechte und Freiheiten des Dritten beeinflussen könnte.

Personenbezogene Daten Dritter

Bei dem Beispiel einer Telefon-Hotline kann es sein, dass u. U. die Stimme des Telefon-Hotline-Mitarbeiters zu hören wäre, was ein personenbezogenes Datum ist. Da es sich bei dem Telefonat aber um eines berufliches Telefonat handelt, kann es durchaus vertretbar sein, die Telefonaufnahme dennoch zur Verfügung zu stellen. Voraussetzung ist die Zulässigkeit der Aufzeichnung des Telefonanrufes. Dies kann wegen der Vertraulichkeit des Wortes und der Strafbarkeit einer Verletzung gemäß § 201 StGB grundsätzlich nur mit Einwilligung erfolgen.

Geschäftsgeheimnisse

Der EDSA hat das Beispiel des Online-Spiel-Anbieters angeführt. Demnach kann der Online-Spiel-Anbieter Mechanismen implementiert haben, um Betrug feststellen zu können. Eine betroffene Person kann nun eine Anfrage in Bezug auf eine eventuelle Einschränkung des Spielerkontos stellen. Dieser Anfrage hat der Verantwortliche dennoch nachzukommen, kann aber besagte Informationen zu Mechanismen schützen.

Missbräuchliche Auskunftsanfragen

Die Leitlinie zu datenschutzrechtlichen Auskunftsanfragen stellt auch klar, dass Auskunftsanfragen missbräuchlich gestellt sein können. Dies etwa, um dem Verantwortlichen nur Schaden zuzufügen, um dann zurückgewiesen werden zu können. Die Leitlinie führt Beispiele an, wann eine Auskunftsanfrage in der Regel als missbräuchlich angesehen werden kann (z. B. wenn für eine Gegenleistung auf die Anfrage verzichtet wird) und wann nicht (wenn kein Grund angegeben wird oder die Anfrage unhöflich erfolgt).

Fazit

Auch Art. 15 DSGVO stellt für Verantwortliche so manches Mal eine Bußgeldgefahr dar. Zum einen kann dies daraus resultieren, dass ein Verantwortlicher nicht die zeitlichen Ressourcen hat, sich mit den Einzelheiten der DSGVO zu beschäftigen und das obwohl Auskunftsanfragen grundsätzlich binnen Monatsfrist zu beantworten sind. Als Folge handhabt er eine Anfrage eventuell unzureichend oder gar nicht. – Wir unterstützen Sie bei der Bearbeitung und Beantwortung von Auskunftsanfragen gern. – Möglicherweise sind in einer Einrichtung auch (noch) nicht die notwendigen Arbeitsanweisungen, Vorgehensweisen und Maßnahmen definiert und implementiert worden. Demzufolge besteht die Möglichkeit, dass eine Anfrage einer betroffenen Person unbeachtet bleibt oder zu spät beantwortet wird. Auch hier können wir Sie beraten und helfen, ein Datenschutz-Management-System in Ihrer Einrichtung einzurichten. Im Großen und Ganzen können Sie so die Gefahr von Bußgeldern, Schadenersatzansprüchen und Abmahnungen im Zusammenhang mit dem Datenschutz möglichst verringern. Kontaktieren Sie uns gern noch heute dazu.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.