Welche Rechte haben die betroffenen Personen und wie müssen sich Unternehmen darauf vorbereiten?

Die Rechte der betroffenen Person wurden durch die Datenschutz-Grundverordnung (DS-GVO) deutlich gestärkt. Welche Rechte haben die betroffenen Personen und wie bereiten Unternehmen sich am besten auf Anfragen von betroffenen Personen vor?

Recht auf Auskunft

Der betroffenen Person ist auf Anfrage mitzuteilen, ob der Verantwortliche personenbezogene Daten von ihr verarbeitet. Sowohl der Begriff der personenbezogenen Daten als auch der Verarbeitung sind weit zu verstehen.

Praktisch keine Negativauskunft

Selbst wenn der Verantwortliche zuvor keine personenbezogene Daten zu der Person verarbeitet hat, werden spätestens die Anfrage und ihre Bearbeitung zur Verarbeitung personenbezogener Daten führen. Soll die Anfrage korrekt beantwortet werden, werden in der Regel per E-Mail intern Nachfragen gestellt. Zudem muss man die Daten nun speichern, um ein mögliches Verfahren der Aufsichtsbehörde nach einer Beschwerde der betroffenen Person oder einen Rechtsstreit über die korrekte Bearbeitung der Anfrage bestehen zu können. Eine echte negative Auskunft kommt daher in der Praxis nur selten in Betracht.

Gegenstand der Auskunft

Werden personenbezogene Daten verarbeitet, sind die in Art. 15 Abs. 1 S. 1 a) – h) DS-GVO genannten Informationen zu geben:

• Verarbeitungszwecke
• Kategorien der personenbezogenen Daten
• Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
• Speicherdauer bzw. Kriterien dafür
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
• Recht zur Beschwerde bei einer Aufsichtsbehörde
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
• bei Übermittlung der personenbezogenen Daten in ein Drittland – Information über die geeigneten Garantien gem. Art. 46
• Kopie der personenbezogenen Daten

Umfang der Auskunft

Auch dann, wenn die Anfrage nicht konkret diese einzelnen Punkte anspricht, sind alle Angaben zu machen. Die Antwort darf nur an die betroffene Person (oder einen von ihr Beauftragten) gegeben werden, damit personenbezogene Daten nicht in unbefugte Hände gelangen. Sofern Zweifel bestehen, muss der Verantwortliche ausreichende Informationen zur Identifizierung anfordern. Es wurde bereits versucht, auf diesem Weg an die juristischen Examensklausuren zu gelangen. Auf der Black Hat Conference berichtete James Pavur, Doktorand aus Oxford, wie leicht Mißbrauch möglich ist. Auf seine Testanfragen bei Unternehmen zu den personenbezogenen Daten seiner (eingeweihten und damit einverstanden) Verlobten ergab, dass Unternehmen ihm Kreditkarteninformationen, Reiseinformationen, Log-ins und Passwörter etc. seiner Verlobten übermittelten. Manche Unternehmen verlangen inzwischen Kopien von Personalausweis oder Reisepass vor Erteilung der Auskunft. Bei Anfragen von einer dem Unternehmen bekannten E-Mail-Adresse der betroffenen Person wird man allerdings nur geringere Anforderungen an die Identifizierung stellen können.

Recht auf Kopie der personenbezogenen Daten

Die betroffene Person kann nach Art. 15 Abs. 3 DS-GVO auch eine Kopie der gespeicherten personenbezogenen Daten verlangen. Dabei sind Daten so zu senden, wie sie bei dem Verantwortlichen vorhanden sind und genutzt werden, um der betroffenen Person eine bessere Einschätzung der Verarbeitung zu ermöglichen. Der genaue Inhalt dieses Anspruchs ist derzeit noch umstritten. Einem Mitarbeiter wurde bereits Einsicht in die Personalakte sowie zusätzliche interne Ermittlungsakten eingeräumt. Andere Gerichte waren restriktiver. Anwälte hoffen auf einen neuen Weg, an sensible Informationen zur Vorbereitung eines Rechtsstreits zu gelangen. Nach Art. 15 Abs. 4 DS-GVO darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Nach Erwägungsgrund 63 S. 5 werden hierbei etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software genannt, die nicht beeinträchtigt werden sollen. Dadurch soll umgekehrt aber das Auskunftsrecht nicht ausgeschlossen werden, es ist also eine Interessenabwägung erforderlich.

Ausnahme bei Berufsgeheimnissen

29 Abs. 1 S. 2 BDSG schließt das Auskunftsrecht nach Art. 15 DS-GVO insgesamt aus, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Insbesondere für Auskunftsersuchen gegenüber Rechtsanwälten wird dies bedeutsam, da Rechtsanwälte sich auf ihre berufliche Verschwiegenheitspflicht berufen können. Dies gilt allerdings nicht gegenüber dem eigenen Mandanten.

Anforderungen an die Formulierung der Auskunft

Die Informationen muss präzise und transparent sein, zudem in verständlicher Form gefasst und in einer klaren und einfachen Sprache formuliert sein. Präzise ist die Information, wenn sie ausreichend genau und detailreich ist und alle wesentlichen Aspekte erfasst. Transparent sind die Angaben, wenn klare und eindeutige Formulierungen verwendet werden. In gewissem Gegensatz dazu steht die Forderung nach verständlicher Form und klarer und einfacher Sprache. Verständlich bedeutet, dass der durchschnittliche Leser die Information ohne weiteres erfassen kann. Einfache Sprache ist durch kurze Sätze und allgemein gebräuchliche Worte gekennzeichnet, Fachvokabular und Schachtelsätze sind zu vermeiden. Besondere Sorgfalt ist für Informationen gefordert, die sich speziell an Kinder richten. Kinder sind dabei Menschen ab dem vollendeten zehnten bzw. zwölften Lebensjahr bis zum vollendeten 18. Lebensjahr. Der Gegensatz zwischen diesen Anforderungen fordert erhebliches Geschick bei der Formulierung.

Fristen für die Auskunft

Die Frist für die Übermittlung dieser Information beträgt einen Monat und kann einmalig um bis zu zwei Monate verlängert werden, wenn dies aus besonderen Gründen erforderlich ist. Im Einzelfall kann es im Unternehmen mit einem beträchtlichen Aufwand verbunden sein, eine solche Anfrage zu prüfen, die erforderlichen Informationen zu sammeln, die Antwort entsprechend den Vorgaben zu formulieren, intern abzustimmen und schließlich zu übersenden. Ein Verstoß gegen die Vorgaben der DS-GVO kann von den Aufsichtsbehörden mit empfindlichen Bußgeldern belegt werden. Unternehmen müssen daher frühzeitig festlegen, wie auf Anfragen von betroffenen Personen zu reagieren ist und wie insbesondere die Einhaltung der Frist gewährleistet werden kann.

Weitere Rechte der betroffenen Personen

Neben dem bereits beschriebenen Recht auf Auskunft haben die betroffenen Personen weitere Rechte:

Recht auf Berichtigung

Die betroffene Person kann von dem Verantwortlichen nach Art. 16 DS-GVO unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten verlangen. Sie muss den Nachweis führen, dass die zu Ihrer Person gespeicherten personenbezogenen Daten falsch sind. Sind die gespeicherten Daten unvollständig, kann die betroffene Person Vervollständigung verlangen, soweit dies für die Zwecke der Verarbeitung erheblich ist.

Recht auf Löschung – Verpflichtung zur Löschung – Löschkonzept – Aufbewahrungspflichten

Nach der DS-GVO sind personenbezogene Daten zu löschen, wenn es keine Rechtsgrundlage für die Verarbeitung mehr gibt. Dies ist eine eigenständige Pflicht des Verantwortlichen und auch ohne Initiative der betroffenen Person zu leisten. Alle Unternehmen müssen daher Löschkonzepte für ihre gespeicherten personenbezogenen Daten erarbeiten und umsetzen. Zudem kann die betroffene Person nach Artikel 17 Abs. 1 a) DS-GVO in diesem Fall die Löschung verlangen. Häufig verlangen betroffene Personen die Löschung bereits mit Ende der Geschäftsbeziehungen oder Widerruf einer erteilten Einwilligung. Unternehmen haben oft ein berechtigtes Interesse daran, die Daten bis zur vollständigen Bezahlung aller Ansprüche und bis zur Verjährung möglicher Gegenansprüche der betroffenen Person zu speichern und sind dazu nach Art. 6 Abs. 1 f) DS-GVO auch berechtigt. Außerdem dürfen personenbezogene Daten nach Art. 6 Abs. 1 c) DS-GVO gespeichert werden, soweit dies für die Erfüllung einer gesetzlichen Verpflichtung der Unternehmen erforderlich ist. Steuerrechtliche Buchführungspflichten führen in der Regel zu einer Aufbewahrung von ca. zehn Jahren. Rechtsanwälte sind berufsrechtlich verpflichtet, Handakten zu führen. Rechtsanwälte müssen außerdem sicherstellen, keine widerstreitenden Interessen zu vertreten. Bei einem Gesellschaftsvertrag, einem Ehevertrag, einem gewerblichen Mietvertrag etc. kann dies zu sehr langen Aufbewahrungsfristen führen. Art. 17 DS-GVO regelt weitere Fälle der Pflicht zur Löschung personenbezogener Daten, aber auch Einschränkungen – insbesondere zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen.

Art. 17 Abs. 2 DS-GVO sollte mit dem „Recht auf Vergessenwerden” ein wesentliches Rechte der betroffenen Personen begründen und ihnen das Verschwinden aus dem Internet gestatten. Dem wird die Regelung nicht gerecht.

Recht auf Einschränkung der Verarbeitung

Die betroffene Person kann nach Art. 18 DS-GVO unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen. Die personenbezogenen Daten dürfen nach Art. 18 Abs. 2 DS-GVO dann nur noch mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Organisation und Vorkehrungen im Unternehmen

Um die genannten Ansprüche korrekt und termingerecht erfüllen zu können, sollte im Unternehmen mindestens eine Person (plus Stellvertretung) für die Bearbeitung solcher Anfragen bestimmt werden. Allen Mitarbeitern sind für mögliche Anfragen betroffener Personen zu sensibilisieren. Die Mitarbeiter müssen lernen, jegliche Anfrage mit Bezug zu Datenschutz, DS-GVO oder Bundesdatenschutzgesetz (BDSG) und dem Wunsch nach Auskunft, Berichtigung etc. unabhängig vom Medium (Brief, E-Mail, WhatsApp etc.) unverzüglich dieser zuständigen Person zur weiteren Bearbeitung zu übermitteln. Weiterhin ist ein Verfahren zu definieren. Es ist festzulegen, wie die Identifizierung der betroffenen Person erfolgt, welche Daten von wem zusammengestellt und wie diese übermittelt werden. Die zuständige Person ist in die Voraussetzungen der Rechte der betroffenen Personen einzuweisen. Gegebenenfalls kann die Beantwortung derartiger Fragen dem internen oder externen Datenschutzbeauftragten überlassen werden. Für den Regelfall sollte ein genaue Ablauf definiert werden, beginnend mit der Identifizierung der betroffenen Person und der Prüfung der Voraussetzungen des Anspruchs. Außerdem muss die Frist notiert und überwacht werden.

Immer mal wieder werden im Alltag der Unternehmen Sonderfälle auftreten, für die dieses Standardverfahren nicht ausreicht. Nicht selten haben betroffene Personen auch besondere Wünsche. Dafür sollte vorab festgelegt werden, welche (externen oder internen) Experten eingeschaltet werden.

Datenpannen im Unternehmen

Panik kann auch nach Datenpannen im Unternehmen aufkommen.  Wenn auf eine Anfrage nach Art. 15 DS-GVO Informationen an eine andere als die betroffene Person gesendet werden, ist dies bereits eine Datenpanne. Auch die Übermittlung von E-Mails an die falsche Adresse stellt eine Datenpanne dar. Bei Datenpannen ist unter Umständen eine Meldung an die Aufsichtsbehörde nach Art. 33 DS-GVO erforderlich. Diese Meldung muss unverzüglich, spätestens innerhalb von 72 Stunden erfolgen. Die Meldung kann unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Zusätzlich sind nach Art. 34 DS-GVO in bestimmten Fällen die betroffenen Personen zu informieren. Diese Information kann von der betroffenen Person unmittelbar zur Formulierung einer Schadensersatzklage auf materiellen oder immateriellen Schaden verwendet werden.

Voreilige Meldung von Datenpannen als zweischneidiges Schwert

43 Abs. 4 BDSG bestimmt, dass Meldungen nach Art. 33 und Art. 34 DS-GVO nur mit Zustimmung des meldepflichtigen Unternehmens für ein Bußgeldverfahren verwendet werden dürfen. Dies hat dazu geführt, dass etliche Datenpannen gemeldet werden, auch wenn dies nach Art. 33 DS-GVO nicht erforderlich wäre. Damit möchte man ein Bußgeldverfahren vermeiden, indem man die Zustimmung verweigert. Allerdings ist die Vereinbarkeit von § 43 Abs. 4 BDSG mit Europarecht zweifelhaft. Zudem sind bei der Festlegung der Höhe eines Bußgeldes nach Art. 83 e) DS-GVO auch etwaige einschlägige frühere Verstöße zu berücksichtigen, , sodass die voreilige Meldung ein durchaus zweischneidiges Schwert ist und genau überlegt werden sollte.

Organisation im Unternehmen

Ist im Vorhinein ein Verfahren definiert, wer nach welchen Kriterien prüft und welche Maßnahmen, insbesondere Benachrichtigung der Aufsichtsbehörde und der betroffenen Personen, ergriffen werden, lassen sich auch Datenpannen professionell handhaben.

(Vortrag beim Japan Symposium 2019 der RAK Frankfurt am Main und der Dai-Ichi Tokyo Bar Association)

Folien zum Vortrag beim Expertenrat IT der IHK Offenbach zum Download:

Expertenrat IHK OF Datenschutz Anfragen 2019 Lapp