Datenschutz

Betroffenenanfragen managen

Text: Regina Mühlich| Foto (Header): © Bojan – stock.adobe.com

Eine unzureichende Kontrolle der Identität des Betroffenen bei Betroffenenanfragen birgt hohes Risiko und ist bußgeldrelevant, wie zuletzt der Fall eines Telekommunikationsanbieters zeigte.

Auszug aus:

Datenschutz für Praktiker
Ausgabe Februar 2020
Jetzt Leser werden

Rechte der Betroffenen

Die Datenschutz-Grundverordnung (DSGVO) ist dazu da, personenbezogene Daten aller Bürger zu schützen. Mit Kapitel III der DSGVO werden die Rechte der betroffenen Person gestärkt und auch modernisiert. So normiert z. B. Art. 12 DSGVO die Anforderungen an die Transparenz der Informationen, an die Kommunikation und die Modalitäten für die Ausübung der Rechte der betroffenen Person. Die DSGVO hat die Betroffenenrechte erheblich gestärkt. Insbesondere gilt dies für die unter Art. 15 DSGVO gewährleisteten Rechte, vor allem das Recht auf Auskunft.

Das Auskunftsrecht: rechtliche Verankerung

Das Auskunftsrecht gehört zu einer der zahlreichen (wenn auch nicht neuen) Bestimmungen der DSGVO. Verbraucher und Bürger haben Anspruch darauf zu erfahren, welche personenbezogenen Daten Organisationen über sie speichern. Dabei kann es sich um alle möglichen Informationen von Chatprotokollen bis hin zur Kreditkartennummer handeln.
Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Person wie folgt:

„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: […]“

Artikel 15 Absatz 1 DSGVO regelt außerdem, über welche Daten die Organisation zu beauskunften hat (Ergänzung: § 57 BDSG; § 33 DSG (Österreich), […]), so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen
oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Ebenfalls regelt § 83 SGB X ein Auskunftsrecht der betroffenen Person:

(1) Das Recht auf Auskunft der betroffenen Person gemäß Art 15 DSGVO besteht nicht, soweit
1. die betroffene Person nach § 82a Absatz 1, 4 und 5 nicht zu informieren ist oder
2. die Sozialdaten
a) nur deshalb gespeichert sind, weil sie auf Grund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder
b) ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
(2) Die betroffene Person soll in dem Antrag auf Auskunft gemäß Artikel 15 der Verordnung (EU) 2016/679 die Art der Sozialdaten, über die Auskunft erteilt werden soll, näher bezeichnen. Sind die Sozialdaten nicht automatisiert oder nicht in nicht automatisierten Dateisystemen gespeichert, wird die Auskunft nur erteilt, soweit die betroffene Person […].

Auch Landesdatenschutzgesetze für den öffentlichen Bereich definieren Besonderheiten zu den Rechten der betroffenen Person, so z. B. Art. 10 BayDSG. Des Weiteren finden sich Regelungen im Bereich der Datenschutz-Richtlinie für Polizei und Strafjustiz (RLDSJ), in welcher die Auskunftsrechte eigenständig national geregelt sind. Einschlägige Bestimmungen enthalten außerdem die Strafprozessordnung, das Gesetz über Ordnungswidrigkeiten, das Polizeiaufgabengesetz sowie die Strafvollzugsgesetze der Bundesländer. Die Wichtigkeit der Betroffenenrechte macht an diversen Stellen eine weitergehende Differenzierung und Regelungen erforderlich.

Auskunftsrecht gem. Art. 15 Abs. 1 DSGVO

Das Auskunftsrecht gemäß Art. 15 Abs. 1 DSGVO besteht aus drei Teilrechten. So vermittelt es den Anspruchsberechtigten gegenüber dem Anspruchsverpflichtenden auf ein entsprechendes Verlangen Ansprüche

  • auf Bestätigung,
  • auf Auskunft über die eigenen personenbezogenen Daten sowie
  • auf Erteilung von Metainformationen.

Anspruchsinhalt und Anspruchsumfang sind bei den einzelnen Ansprüchen unterschiedlich (vgl. OH BayLfD, S. 17).

Das Auskunftsrecht ist für die betroffene Person unter mehreren Aspekten bedeutsam. Zunächst soll es sicherstellen, dass sie sich bewusst ist, ob überhaupt Daten, die sie betreffen, verarbeitet werden (Knyrim, R., Datenschutz-Grundverordnung, S. 350). Art. 15 DSGVO beschreibt ein Recht von betroffenen Personen auf Auskunft, dies gilt auch für Beschäftigte.
Für Unternehmen ist das zentrale Betroffenenrecht als Pflicht des Arbeitgebers zu betrachten. Das Auskunftsrecht von Arbeitnehmern ist als Recht proaktiv in der innerbetrieblichen Organisation auf Basis des Art. 24 Abs. 1 DSGVO als Routinemaßnahme mit stets aktualisiertem Datenbestand zu implizieren. Da die Arbeitnehmer Kenntnis ihrer eigenen Organisationen
haben, können sie auch leichter als Außenstehende verifizieren, ob das Auskunftsrecht durch den Arbeitgeber zutreffend erfüllt wird (Wächter, M., XII. Transparenzpflichten, S. 258).

Der Verantwortliche stellt der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung. Wird der Antrag elektronisch gestellt, muss der Verantwortliche auch die Informationen in einem gängigen elektronischen Format zur Verfügung stellen, soweit die betroffene Person nichts anderes angibt.

Identitätsprüfung bei Auskunftsersuchen

Der Verantwortliche hat sicherzustellen, dass die Auskunft nur der betroffenen oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.

Der Erwägungsgrund 64 gibt Hinweise zur Identitätsprüfung:
„Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen […].“

Eine Studie von James Pavur (britischer Doktorand in Oxford) belegt, dass Organisationen ohne die Identität von betroffenen Personen ausreichend zu prüfen und zu kontrollieren, umfangreich personenbezogene Daten herausgeben. Pavur verwendete gefälschte E-Mail-Adressen für diverse Auskunftsersuchen und hatte Erfolg. Laut Pavur antworteten 72 % der 150 angeschriebenen Unternehmen. Zwei Drittel der Antworten gaben Auskunft darüber, ob Daten der Testperson gespeichert waren, 24 % der antwortenden Unternehmen übermittelten die bei Ihnen gespeicherten personenbezogenen Daten ohne einen weiteren Identitätscheck. In mehreren Fällen wurden sogar höchstpersönliche Daten sowie Kontodaten übermittelt.

Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg (LfdI) hat bereits am 06.02.2019 hierzu einen Beitrag zur Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DSGVO auf seiner Webseite veröffentlicht. Darin wird erläutert, wie der Verantwortliche mit einem Auskunftsersuchen einer betroffenen Person im Hinblick auf die Identitätsprüfung umzugehen hat. Selbstverständlich gelten diese Erläuterungen auch für alle weiteren Betroffenenrechte.

Um missbräuchliche Auskunftsbegehren zu verhindern, sieht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Vorlage eines Personaldokuments zur Legitimation (in Einzelfällen) als zulässig an. Von der Ausweiskopie werden „regelmäßig nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer benötigt“ und alle anderen Daten können auf der Kopie grundsätzlich geschwärzt werden, wie der BfDI weiter ausführt. Selbstverständlich ist, dass die Daten auf der Ausweiskopie einer strengen Zweckbindung unterliegen
und ausschließlich zur Identitätsprüfung verwendet werden, nicht aber in den Datenbestand der verantwortlichen Stelle einfließen dürfen. Es bedarf nicht immer einer Ausweiskopie, um den Auskunftsersuchenden hinreichend zu identifizieren. Eine Rückfrage bei der betroffenen Person und Anforderung von zusätzlichen Informationen, wie z. B. einer Kunden-
Nr., Kfz-Kennzeichen oder Ähnliches, um eine eindeutige Identifizierung zu ermöglichen, ist jederzeit möglich.

Eine Offenlegung von personenbezogenen Daten durch die Beauskunftung gegenüber „dem falschen Betroffenen“, sprich einem Unberechtigten, stellt regelmäßig eine Datenschutzverletzung dar. In Abhängigkeit der dabei offengelegten Daten und Risiken für die betroffene Person, ist dies auch gegenüber der Datenschutzbehörde meldepflichtig.
Dabei gilt es, die eigenen Prozesse als Verantwortlicher sowie als Auftragsverarbeiter „sauber“ zu definieren, die Mitarbeiter entsprechend zu sensibilisieren und vor allem Zuständigkeiten zu benennen.

Der Verantwortliche wie z. B. Unternehmen, Organisationen, Vereine, Steuerberater, Arztpraxen, sollte sich in Zusammenarbeit mit seinem Datenschutzbeauftragten vor einem Auskunftsersuchen – wie auch für Recht auf Berichtigung, Löschung sowie Datenportabilität – Gedanken machen, wie eine eindeutige Identifizierung des Anfragenden gewährleistet werden kann.

Die Ursache einer nicht korrekten und/oder mangelhaften Beauskunftung liegt nicht an einer Schwachstelle der Gesetzgebung, sondern i. d. R. an mangelhaften Prozessen und Anweisungen innerhalb der Unternehmen und Betriebe. Und auch hier gilt: Der Datenschutzbeauftragte sollte rechtzeitig eingebunden werden, am besten von Anfang an.

Wenn keine Daten verarbeitet und gespeichert werden…

Sollte die Organisation keine personenbezogenen Daten von dem Auskunftsersuchenden verarbeitet und gespeichert haben, hat dennoch eine Antwort an die betroffene Person, in Form einer „Negativauskunft“ zu erfolgen.

Ein Muster Negativauskunft finden Kunden mit Online-Zugriff unter: desk.forum-verlag.com

Aufbewahrung von Auskunftsersuchen

Im Rahmen der Nachweis- und Rechenschaftspflicht empfiehlt es sich, das Auskunftsersuchen und dessen Antworten drei Jahre aufzubewahren (Art. 5 Abs. 2 DSGVO). Über diese Verarbeitung (Speicherung) ist die betroffene Person im Rahmen des Auskunftsersuchens ebenfalls zu informieren (Art. 15 Abs. 1 lit. d DSGVO).

Webtipps

BayLfD OH: Das Recht auf Auskunft nach der Datenschutzgrundverordnung
LfdI BW: Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DS-GVO
BfDI: Recht auf Auskunft
Studie James Pavur „GDPArrrrr: Using Privacy Laws to Steal Identities”

Zur Person

Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Als Expertin für Datenschutz, Datenschutzbeauftragte und Datenschutz-Auditorin sowie
Compliance Officer unterstützt sie mit ihrem Team Unternehmen im Bereich Datenschutz, Compliance und Qualitätsmanagement in Deutschland, Österreich sowie der Schweiz. Sie ist u. a. Lehrbeauftragte an der Hochschule Furtwangen und Vorstandsmitglied des Berufsverbands für Datenschutzbeauftragte Deutschland (BvD) e. V.

JETZT ABONNENT WERDEN UND KEINE AUSGABE VERPASSEN:

Infodienst Datenschutz für Praktiker

Infodienst Datenschutz für Praktiker