Im Rahmen der Initiative „Meine Daten. Meine Freiheit.“ für mehr Achtsamkeit im Umgang mit personenbezogenen Daten, stellt die Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) seit kurzer Zeit mehrere Textgeneratoren zur Umsetzung der gängigsten Betroffenenrechte der Datenschutz-Grundverordnung bereit. Die sächsische Datenschutz-Aufsichtsbehörde möchte damit betroffenen Personen die Kommunikation mit den datenverarbeitenden Stellen erleichtern und so eine bessere Kontrolle über die eigenen personenbezogenen Daten ermöglichen.

Weiterführende Informationen zu Betroffenenrechte

Neben den eigentlichen Textgeneratoren für das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht werden Betroffenen und Interessierten zusätzliche Informationen bereitgestellt. Dazu zählen etwa Erläuterungen zum jeweiligen Zweck und Umfang, Hinweise auf mögliche Einschränkungen und Besonderheiten sowie Verweise auf einschlägige Veröffentlichungen der Datenschutzkonferenz.

Einfache Bedienung der Textgeneratoren

Das Herzstück der Initiative bilden jedoch die fünf Textgeneratoren selbst. Mit wenigen Klicks und Eingaben wird ein fertiges Musterschreiben erstellt: Angaben zum Verantwortlichen und zur eigenen Person, optionale Präzisierungen, die gewünschte Form der Auskunft – und schon liegt das fertige Auskunftsersuchen vor. Wer zusätzlich das Häkchen für eine Datenkopie setzt, berücksichtigt zugleich auch das Recht gemäß Art. 15 Abs. 3 DS-GVO. Alle Eingaben werden schließlich mit einem Klick zu einem übersichtlichen Musterschreiben – wahlweise als Text- oder PDF-Datei – zusammengefügt.

Die Generatoren für die weiteren Betroffenenrechte sind naturgemäß noch einfacher: Für das Recht auf Berichtigung wird eine kurze Begründung ergänzt, der konkrete Grund bezüglich des Rechts auf Löschung wird ausgewählt – und in Sekundenschnelle steht auch hier das fertige Schreiben bereit.

Insgesamt scheinen die Textgeneratoren auf den ersten Blick sehr intuitiv und bedienungsfreundlich. Datenschutzsensible Personen brauchen zudem nicht befürchten, dass die getroffenen Eingaben zu weiteren Zwecken aufbewahrt oder weiterverwendet werden. Nach der Generierung des Musterschreibens stehen die jeweiligen Dokumente für nur 15 Minuten zum Download zur Verfügung und werden sodann unverzüglich gelöscht

Fazit

Ob die Bereitstellung der Textgeneratoren tatsächlich zu einer vermehrten Wahrnehmung der Betroffenenrechte führt, bleibt abzuwarten. Fest steht jedoch: Sie erleichtern den Zugang erheblich und senken die Hemmschwelle zur Geltendmachung dieser Rechte sowie zur Kontaktaufnahme mit den datenverarbeitenden Stellen. Auch Verantwortliche können profitieren – etwa durch die klare Struktur und präzise Formulierung der Anliegen, die den Willen der betroffenen Person deutlicher hervortreten lassen können. Nun bleibt abzuwarten, wie die neuen Textgeneratoren von den Betroffenen angenommen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Zivilrechtsrepetitorium meines Jurastudiums lernte ich den „Oma-Test“ kennen. Dabei fragt man sich am Ende einer juristischen Prüfung: Was würde meine Oma von diesem Ergebnis halten? Geprüft wird, ob das Ergebnis allgemeinverständlich und nachvollziehbar ist. Insbesondere für unkomplizierte Sachverhalte bietet der Test grundsätzlich sehr gute Ergebnisse, was in einer Demokratie ja auch erwartbar sein sollte. In diesem Artikel widmen wir uns der Informationspflicht im Rahmen der Betroffenenrechte, die wir zum einen Anhand des Gesetzes und den herrschenden (Literatur-)Meinungen, aber auch nach Maßgabe des „Oma-Tests“ prüfen. Konkret soll es um die Informationspflicht über das Beschwerderecht bei der Aufsichtsbehörde nach Art. 13 Abs. 2 lit. d) DS-GVO gehen.

Die Informationspflicht nach Art. 13 und 14 DS-GVO

Artikel 13 DS-GVO kodifiziert die Informationspflicht für den Fall, dass personenbezogene Daten beim Betroffenen erhoben werden, während Artikel 14 DS-GVO die Situation regelt, in der die Daten nicht bei der betroffenen Person (selbst) erhoben werden. Als betroffene Person einer Datenverarbeitung hat man das Recht sich bei der zuständigen Aufsichtsbehörde zu beschweren, worüber sie von dem Verantwortlichen in Kenntnis gesetzt werden muss, Art. 13 Abs. 2 lit. d), bzw. Art. 14 Abs. 2 lit. e) DS-GVO.

Der Hauptunterschied zwischen den Informationspflichten von Art. 13 und 14 DS-GVO liegt darin, dass (nur) nach Art. 14 Abs. 5 DS-GVO die Aufklärung unterbleiben kann, wenn sie einen unverhältnismäßigen Aufwand erfordert, oder wenn sie durch Rechtsvorschriften abbedungen wird. Diese Ausnahmen lässt Art. 13 DS-GVO nicht zu. Nach Art. 13 Abs. 4 DS-GVO darf die Aufklärung nur dann unterbleien, wenn die betroffene Person bereits Kenntnis von dem Aufklärungsinhalt hat. Der Ausnahmetatbestand (der in beiden Normen existiert) wirft für die Praxis zweierlei Fragen auf:

Welcher Betroffene hat tatsächlich Kenntnis über sein Beschwerderecht bei der zuständigen (!) Aufsichtsbehörde und welcher Verantwortliche weiß dann auch noch, dass der Betroffene diese Kenntnis hat? Aus Gründen der Rechtssicherheit bleibt dem Verantwortlichen daher stets nur die Möglichkeit eine Datenschutzinformation in alle Unternehmensprozesse zu implementieren, bei denen beim Betroffenen Daten verarbeitet werden.

Nur holzschnittartig soll aufgezeigt werden, was eine umfassende Information erfasst: Gemäß Art. 13 DS-GVO ist unter anderem (!) aufzuklären über  

• die Rechtsgrundlage der Verarbeitung,
• die Speicherdauer, oder dessen Kriterien,
• ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist.

Da beispielsweise die Rechtsgrundlage und der Speicherdauer bei ähnlichen Verarbeitungsvorgängen variieren können, ergibt sich schnell das Problem, dass Standardlösungen fehleranfällig werden.

Die Praxis

Braucht meine Oma einen Friseurtermin, ruft sie (initiativ) vorher beim Friseur an. Dieser notiert ihren Namen, ihre Telefonnummer und den Termin. Hierbei handelt es sich um eine Datenverarbeitung beim Betroffenen, da der Friseur ihre Daten gemäß Art. 4 Nr. 2 DS-GVO sowohl erfasst als auch im Kalender speichert. Dementsprechend löst die Datenverarbeitung Informationspflichten aus. Man kann weder davon ausgehen, dass meine Oma schon mal von der (zuständigen) Aufsichtsbehörde gehört hat, noch dass sie Kenntnis darüber hat, wie lange ihr Friseur seinen Kalender aufbewahrt. Das bizarre daran ist, dass der Friseur beides wohl auch nicht weiß. Dennoch muss er informieren.

Hierzu sei noch gesagt, dass sich dieses Problem nicht über einen Websitehinweis lösen lässt. Denn gemäß Art. 13 Abs. 1 DS-GVO muss die Information zum Zeitpunkt der Datenerhebung erfolgen und aus Sinn und Zweck der Vorschrift ergibt sich, dass die Information bereits vor der Datenverarbeitung und ohne Medienbruch erfolgen muss (Taeger/Gabel/Mester, 4. Aufl. 2022, DS-GVO Art. 13 Rn. 34-36).

In einem letzten Rettungsversuch könnte man daran denken, Art. 14 Abs. 5 lit. b) DS-DVO analog auf Art. 13 DS-GVO anzuwenden, um zu sagen, dass an dieser Stelle die Informationspflichten einen unverhältnismäßig hohen Aufwand bedeuteten. Dieser Rettungsversuch ist aber aus mehren Gründen zum Scheitern verurteilt: Zum einen besteht schon keine Regelunglücke, da man wohl davon ausgehen muss, dass der Gesetzgeber zwei unterschiedliche Informationspflichten für zwei unterschiedliche Situationen schaffen wollte. Aufgrund der systematischen und sprachlichen Ähnlichkeiten spricht daher alles für eine bewusste Andersformulierung und somit gegen eine Regelungslücke.

Ferner ergibt sich aus Art. 14 Abs. 5 lit. b) DS-DVO, sowie aus Erwägungsgrund 62, dass ein unverhältnismäßig hoher Aufwand vorliege, wenn „im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke, oder zu statistische Zwecke“, dies erforderten. Diese Gründe sind für unseren Fall allesamt nicht subsumtionsfähig und regeln deutlich abweichende Konstellationen. Folglich wäre ein Unterlassen der Information selbst dann nicht unverhältnismäßig, wenn man (zu Unrecht) eine Analogie bejahen würde.

Zuletzt sei nicht nur darauf hingewiesen, dass der Friseur hinsichtlich der erfolgten Aufklärung rechenschaftspflichtig (also nachweispflichtig) ist (Art. 5 Abs. 2 DS-GVO), sondern auch auf die Konsequenzen, welche die DS-GVO für das Unterbleiben der Aufklärung vorsieht. Nach Art. 83 Abs. 5 lit. b) DS-GVO können Unternehmen mit einer Geldbuße in Höhe von bis zu vier Prozent des weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres bestraft werden, wenn sie nicht – oder nicht richtig – informieren. Für Nicht-Unternehmen ist die Strafe auf 20 Millionen Euro gedeckelt.

Fazit

Der Alltagstest macht deutlich, dass die DS-GVO für die großen Player geschrieben wurde, aber schnell an ihre Grenzen stößt, wenn sie (beispielsweise) von kleinen Unternehmen angewendet werden soll. Das Ergebnis ist in zweierlei Hinsicht widersprüchlich: Der Datenschutz begegnet uns der ständig im Alltag –etwa auf Hinweisschildern von Überwachungskameras, oder wenn wir Softwareupdates erhalten. Somit werden wir auch über das Beschwerderecht bei der Aufsichtsbehörde alltäglich aufgeklärt – und trotzdem kennen es die wenigsten Betroffenen. 

Man kann daher wohl mir Recht sagen, dass es den Googles und Metas dieser Welt nicht gelingt die Betroffenen – und schon gar nicht meine Oma – adäquat zu informieren. Mit dieser Aufgabe faktisch überfordert, wird nun der Friseurbetrieb von nebenan vor dieselbe Aufgabe gestellt – und scheitert (selbstverständlich) ebenfalls. Dabei sei gesagt, dass es sich hier nicht um ein exklusives „Friseurproblem“ handelt. Auch das Abspeichern von Handynummern im Berufshandy, stellt Datenverarbeitung dar – und das ganz abgesehen von jeder Problematik um eine datenschutzkonforme WhatsApp-Nutzung. Wer einen Kontakt via Mail weiterleitet, oder eine Anrufnotiz erstellt, muss den Anrufer ebenfalls DS-GVO konform informieren. Ein Ergebnis, das wohl nicht nur für meine Oma schwer nachzuvollziehen wäre.

Ausblick

Kern des Problems ist, dass die durch die DS-GVO verpflichteten Akteure zu unterschiedlich sind, um gleich behandelt zu werden. Lösung kann nur sein, dass ein Friseursalon hinsichtlich der Informationspflicht anders als ein millionenschweres Unternehmen reguliert werden muss. Eine denkbare Lösung wäre eine Erweiterung des Art. 23 Abs. 1 DS-GVO. Dieser lässt gesetzliche Beschränkungen der Betroffenenrechte zu, wenn es beispielsweise durch Belange der öffentlichen Sicherheit erforderlich ist. Eine Öffnung der Norm für Alltagsprobleme könnte Abhilfe schaffen, um individuell auf die Bedürfnisse der Betroffenen eingehen zu können. Die aktuelle Lösung führt jedenfalls zu erheblichen Rechtsunsicherheiten – sowohl in der Praxis, als auch bei meiner Großmutter.

Über den Autor: Felix Lückert ist Volljurist (Ass. Jur.) und beim Dresdener Institut für Datenschutz als externer Datenschutzbeauftragter tätig. Der Fokus seiner Tätigkeiten liegt in der Beratung von Hochschulen und Gemeinden. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In diesem Blog-Beitrag soll der sich eher im Verborgenen bewegende Art. 20 DS-GVO durchleuchtet werden. Von den zahlreichen Betroffenenrechten, die die DS-GVO zu bieten hat, ist die Datenübertragbarkeit das wohl am wenigsten bekannte – obwohl in der Literatur stark diskutierte Betroffenenrecht. Auch die Anwendung dieser Norm ist in der Praxis mit Unsicherheiten verbunden.

Begriff der Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit erlaubt es betroffenen Personen die Herausgabe ihrer Daten zu verlangen, um die Daten an einen anderen Verantwortlichen weiterzugeben. Hierdurch sollen Betroffene bezüglich der Nutzung ihrer personenbezogenen Daten mehr Flexibilität bekommen. Der Wechsel von Online-Dienstanbietern soll dann durch eine automatisierte Datenübertragung deutlich erleichtert werden.

Zweck der Datenübertragbarkeit

Erwägungsgrund 68 Satz 1 zur DS-GVO nennt als Ziel die bessere Kontrolle Betroffener „im Fall der Verarbeitung personenbezogener Daten mit automatisierten Mitteln“. Primär, so das Verständnis von Literatur und Praxis, fungiert die Norm als Werkzeug, um wettbewerbspolitische Belange zu verfolgen, wohingegen der Schutz personenbezogener Daten an sekundärer Stelle steht. Genau gesagt, sollen durch die Datenübertragbarkeit sogenannte „Lock-in-Effekte“ verhindert werden. Unter Lock-in-Effekten versteht man die „Mühe“ oder den Aufwand (Switching Costs) den Nutzer zum Wechseln zu einem anderen Anbieter in Kauf nehmen müssen. Dieser Aufwand kann Nutzer effektiv an jenem Wechsel hindern. Durch das Recht der Datenübertragbarkeit und Kompatibilität personenbezogener Daten soll den Lock-in-Effekten entgegengewirkt und der Wechsel erleichtert werden. Das Ziel ist die Stärkung der Positionen von kleineren und neuen Anbietern.

Recht auf Datenübertragbarkeit in der Praxis

In der Literatur wird diskutiert, was die konkreten praktischen Anwendungsgebiete des Art. 20 DS-GVO sein können. Eine eindeutige Antwort gibt es bisher jedoch nicht. Erwägungsgrund 55 des Kommissionsentwurfs nannte ursprünglich soziale Netzwerke als das Hauptanwendungsgebiet. Dies erscheint jedoch angesichts der Tatsache, dass soziale Netzwerke hauptsächlich dem Austausch zwischen mehreren Personen dienen, wodurch regelmäßig auch personenbezogene Daten Dritter betroffen sind, fragwürdig. Der Grund liegt darin, dass nach Art. 20 Abs. 4 DS-GVO die Datenübertragbarkeit die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Es ist jedoch festzuhalten, dass die Übertragung von Profildaten grundsätzlich von Art. 20 Abs. 1 erfasst sein kann. Der Anwendungsbereich der Norm ist jedoch weit und beschränkt sich nicht auf die im Kommissionsentwurf vorgesehenen sozialen Medien. Die Anwendbarkeit des Art. 20 umfasst unter anderem auch Cloud-Dienste oder Playlists auf Streaming-Plattformen.

In der betrieblichen Praxis stellen Arbeitgeber und Betriebsräte die Frage, ob sie die Regelungen des Art. 20 DS-GVO im gleichen Maße treffen, wie die vom Kommissionsentwurf umfassten Anbieter von sozialen Netzwerken. Grundsätzlich kann jeder Verantwortliche Adressat dieser Norm sein. In der Literatur herrscht Einigkeit darüber, dass die Norm auch bei einem Wechsel der Arbeitgeber anwendbar ist. Fraglich bleibt allerdings, ob Art. 20 DS-GVO auch den Betriebsrat tangiert.

Gemäß § 79a Betriebsverfassungsgesetz (BetrVG) hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften des Datenschutzes einzuhalten. Art. 20 DS-GVO dürfte also auch bei Anträgen, die sich an Betriebsräte richten, anwendbar sein. Zu beachten ist jedoch, dass nach § 79a Satz 2 BetrVG der Arbeitgeber der Verantwortliche im datenschutzrechtlichen Sinne ist. Anträge sind also an den Arbeitgeber zu richten und nicht an den Betriebsrat, da letztendlich der Arbeitgeber als Verantwortlicher dafür zuständig ist, die personenbezogenen Daten zu übertragen.

Doch damit nicht genug. Art. 20 DS-GVO grenzt den Kreis, gegen die man als Betroffener seine Rechte geltend machen kann, nicht ein. Das bedeutet, dass Betroffene Ihr Recht auf Datenübertragbarkeit grundsätzlich auch gegen kleine Unternehmen geltend machen können, solange die Voraussetzungen des Art. 20 Abs. 1 lit. a) (Einwilligung) und lit. b) (automatisierte Verfahren) erfüllt sind, was beispielsweise bei Handwerkern eher die Ausnahme sein dürfte. Aus dieser mangelnden Abgrenzung kann somit auch davon ausgegangen werden, dass es keine Unterschiede in den Kriterien der Umsetzung des Rechts gibt. Verantwortliche haben die vom Betroffenen bereitgestellten Informationen in einem strukturierten, gängigen maschinenlesbaren Format zu übergeben. Diese Regelung gilt für Handwerker und Arbeitgeber in gleichem Maße wie für Anbieter von sozialen Netzwerken.

Strukturiertes, gängiges und maschinenlesbares Format

Die Idee hinter dieser Anforderung ist es, den Wechsel zu einer möglichst breiten Auswahl an Anbietern zu ermöglichen. Die Praxis zeigt jedoch, dass eine vollständige Kompatibilität bzw. Interoperabilität nicht möglich ist. Erfasste Formate sind einerseits digitale, aber auch gedruckte Formate, die eingescannt werden können und die eine computergesteuerte Verarbeitung ermöglichen.

Ob ein Format gängig ist, ist nach dem allgemeinen Sprachgebrauch orientiert. Gängig steht allgemein für beispielsweise gebräuchlich, weit verbreitet oder allgemein üblich. Die Strukturiertheit bezieht sich auf die Art der Strukturierung der Daten. Das bedeutet, dass die zu übertragenden personenbezogenen Daten nach bestimmten Kriterien geordnet sein müssen. Art. 20 geht hier jedoch nicht auf eine logische oder leicht verständliche Strukturierung ein. Unter strukturierten Formaten herrscht in der Literatur soweit Einigkeit. Formate wie XML, SQLite und Excel-Dateien können geeignet sein.

Fazit

Aufgrund der Tatsache, dass das Recht auf Datenübertragbarkeit, wie bereits erwähnt, wohl das am wenigsten in Anspruch genommene Betroffenenrecht ist, ist auch die Rechtsprechung hierzu mehr als überschaubar. Die Zukunft wird zeigen, ob sich die Rechtsprechung den oben genannten Aussagen anschließt, oder gänzlich andere Vorgaben entwickeln wird.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie in unserem Beitrag der letzten Woche bereits angedroht, soll zumindest noch eine zweite Frage zu Art. 15 DS-GVO behandelt werden, die einige „Sprengkraft“ besitzt, trotzdem bisher in der Fachliteratur noch weitestgehend unberücksichtigt blieb:

Frage

Nachdem ein Verantwortlicher und eine betroffene Person lange über einen Auskunftsanspruch gestritten haben, hat man sich letztlich „glücklich“ geeinigt. Die betroffene Person erhält eine Auskunft sowie womöglich noch weitere Leistungen und verzichtet auf weitergehende Ansprüche. Ist ein solcher Verzicht überhaupt rechtswirksam oder kann die betroffene Person zwei Tage später einen neuen Auskunftsanspruch erheben?

Antwort: Bekanntlich erfreut sich das Auskunftsrecht nach Art. 15 DS-GVO momentan und schon seit einigen Jahren großer Beliebtheit, wenn Beschäftigte – meist nach Beendigung des Arbeitsverhältnisses – mit dem früheren Arbeitgeber, gleichgültig, ob Behörde oder Unternehmen, im Streit liegen und juristische Möglichkeiten suchen, die eigene Position zu verbessern. Der Auskunftsanspruch eignet sich dafür auf den ersten Blick sehr gut:

– Der Arbeitgeber ist zum Handeln gezwungen, ob er will oder nicht.
– Kosten dürfen dem Arbeitnehmer prinzipiell nicht berechnet werden.
– Für die Auskunftspflichten ist eine (Monats-)Frist gesetzt, die der Arbeitgeber zwar mit Begründung, aber nicht „unendlich“ verlängern kann.
– Bei Untätigkeit des Arbeitgebers ist die/der frühere Beschäftigte nicht auf ein Gerichtsverfahren angewiesen, das wiederum Kosten verursachen könnte, sondern kann auch für den Arbeitgeber unangenehme Beschwerde bei der Datenschutz-Aufsichtsbehörde führen.
– Der Arbeitgeber kann nicht „mit gleicher Münze“ antworten, weil ein Auskunftsanspruch zu seinen Gunsten nicht besteht.

Die arbeitsgerichtlichen Entscheidungen in erster und zweiter Instanz zu Art. 15 DS-GVO sind mittlerweile kaum noch überschaubar. Anfangs sorgte vor allem ein Urteil des LAG Baden-Württemberg für Furore (Urt. v. 20.12.2018, Az. 17 Sa 11/18). Der Arbeitgeber hatte dort ein in der Berufungsinstanz erhobenes Auskunftsbegehren des Arbeitnehmers nicht ausreichend ernst genommen und pauschal die Auskunft mit Verweis auf nötige Geheimhaltung abgelehnt. Das LAG verurteilte den Arbeitgeber umfassend zur Auskunft sowie Herausgabe einer entsprechenden Kopie. Das Revisionsverfahren beim Bundesarbeitsgericht endete durch Einigung zwischen den Parteien, also ohne Urteil des BAG. Diese sehr frühe Entscheidung zur DS-GVO (noch im Dezember 2018) hat den Blick vieler Arbeitsrechtler auf Art. 15 DS-GVO gelenkt und dafür gesorgt, dass die Auskunftsansprüche fortan häufiger z.B. in Kündigungsschutzverfahren auftauchten. Inzwischen geht die Tendenz der Arbeits- und Landesarbeitsgerichte (wenn man eine allgemeine Tendenz überhaupt feststellen kann) dahin, den Auskunftsanspruch mit verschiedensten Begründungen einzugrenzen. Juristisch sind diese Versuche oft wenig überzeugend und wirken gekünstelt, weil der (europarechtlich, also nationale Normen verdrängende) Art. 15 DS-GVO tatsächlich nach seinem Wortlaut sehr weitgehende Forderungen erlaubt.

Letztlich wird – wie immer bei der Auslegung von EU-Recht – der Europäische Gerichtshof entscheiden. Bisher hatte er dazu aber keine Gelegenheit, weil die deutschen Arbeitsgerichte Rechtsfragen zu Art. 15 DS-GVO nicht dem EuGH vorlegen, sondern selbst entscheiden.

Arbeitgeberseits liegt die Idee nahe, Rechtsunsicherheit durch Einigungen („Vergleichsabschlüsse“) zu beseitigen. Den Arbeitnehmern als „betroffenen Personen“ wird der Auskunftsanspruch gelegentlich „abgekauft“. Dabei stellt sich jedoch – bei etwas genauerem Hinsehen – die Frage: Funktioniert das? Und zwar rechtssicher? Beim Auskunftsanspruch nach Art. 15 DS-GVO handelt es sich um zwingendes Recht, also eine Rechtsposition, die die betroffene Person jedenfalls für die Zukunft nicht aufgeben kann. Wäre es anders, würden betroffene Personen landauf und landab von den Verantwortlichen gebeten, entsprechende Verzichtserklärungen zu unterschreiben.

In der Fachliteratur wird – soweit man das Thema erörtert – meist auf das Verbot missbräuchlichen und widersprüchlichen Verhaltens verwiesen. Diese Überlegung trägt aber nicht sicher: Wenn man wegen des zwingenden Charakters der Betroffenenrechte einen Rechtsverzicht ausschließt und für unwirksam hält, kann man betroffenen Personen kaum verweigern, dass sie sich auf diese Unwirksamkeit ihres Verzichts dann berufen und wieder Auskunft verlangen.

Eine Kontrollüberlegung führt in das nationale Mindestlohngesetz (MiLoG): Auch der Verzicht auf Mindestlohnansprüche ist gesetzlich ausgeschlossen. In § 3 Satz 2 MiLoG wird davon ausdrücklich nur der Verzicht auf entstandene Ansprüche und auch nur „durch gerichtlichen Vergleich“ ausgenommen. Mit anderen Worten: Auch wenn Arbeitnehmer ausdrücklich auf Mindestlohnansprüche verzichten, ist dies unwirksam, außer dies geschieht durch gerichtlichen Vergleich und bezogen auf Ansprüche der Vergangenheit. Nun mag man versucht sein, dies auf Art. 15 DS-GVO zu übertragen. Nur: Die Ausnahme (Wirksamkeit eines Verzichts in einem gerichtlichen Vergleich) findet sich nicht im Gesetzestext. Ob der EuGH sie in die DS-GVO „hineinliest““, bleibt abzuwarten.

FAZIT

Momentan könnte eine praktische Empfehlung lauten: Verzichtserklärungen sollten jedenfalls ausdrücklich auf die Vergangenheit, d.h. auf Datenverarbeitungen bis zum Tag der Einigung, begrenzt werden. Weitergehende Verzichte auch für die Zukunft haben keine Wirksamkeits-Chance. Außerdem sollte zusätzlich festgeschrieben werden, dass betroffene Person und verantwortliche Stelle (Arbeitnehmer und Arbeitgeber) einig darüber sind, dass alle rechtlich geschuldeten Auskünfte bis zum Tag der Einigung einwandfrei und vollständig erteilt wurden. Eine solche Verständigung darüber, dass Ansprüche für die Vergangenheit erfüllt sind, ist juristisch nicht dasselbe wie ein Verzicht. Man bestätigt ja nicht, dass man etwas nicht haben will, sondern dass man es ausreichender Art und Weise bereits erhalten hat. Ähnlich wird im Arbeitsrecht z.B. mit Urlaubsansprüchen verfahren, wenn anstelle des – gesetzlich unzulässigen – Urlaubsverzichts die Beteiligten gemeinsam festhalten, dass der Urlaub vollständig in Natur gewährt wurde. Auch das Steuerrecht kennt entsprechendes Vorgehen bei der sogenannten „tatsächlichen Verständigung“: Die Finanzämter dürfen sich mit Steuerpflichtigen nicht über Rechtsfragen „vergleichen“, sich aber bei strittigen Fragen mit ihnen über den Sachverhalt „verständigen“.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Auskunftsrecht der betroffenen Personen ist für den Datenschutz und das informationelle Selbstbestimmungsrecht unverzichtbar. Nur wenn Betroffene wissen oder zumindest erfahren können, wer ihre Daten verarbeitet und wie dies geschieht, können sie Entscheidungen treffen, Rechte geltend machen und durchsetzen. Die Ausgestaltung des Auskunftsanspruchs in der DS-GVO (und erst recht die enorme Erweiterung durch den Anspruch auf ungefragte „Information“ – aber dies ist einen eigenen Blog-Beitrag wert) schafft in der Praxis viele Fragen. Einige sollen hier näher betrachtet werden.

Frage:

Der Verantwortliche erhält eine Auskunftsanfrage, prüft seine Datenbestände und stellt fest, dass zur betroffenen Person tatsächlich noch Daten vorhanden sind, die längst hätten gelöscht werden müssen. Darf die Löschung jetzt erfolgen und der betroffenen Person anschließend eine Negativauskunft gegeben werden oder muss die Löschung „zwecks Mitteilung des Rechtsverstoßes an die betroffene Person“ unterbleiben?

Antwort: Es geht um den Umfang der geschuldeten Auskunft, in gewisser Hinsicht auch um den Bezugszeitpunkt: Müssen die bei Auskunftserteilung oder die bei Eingang des Auskunftsantrags laufenden Datenverarbeitungen mitgeteilt werden? Nach Sinn und Zweck der Vorschrift wird mindestens das zu beauskunften sein, was im Zeitpunkt der Auskunftserteilung beim Verantwortlichen vorhanden ist. Mit anderen Worten: Wenn nach Eingang des Auskunftsantrags neue Datenverarbeitungen zur betroffenen Person beginnen, sind auch diese Verarbeitungen in die Auskunft aufzunehmen. Andere Auffassungen scheint es auch in der Fachliteratur nicht zu geben. Hinweise und Gegenargumente sind aber unter der am Ende genannten E-Mail-Adresse hier und generell willkommen.

Weiter ist klar, dass der Verantwortliche über gelöschte Daten keine Auskunft mehr erteilen kann. Insoweit gilt „weg ist weg“. Oder spiegelbildlich formuliert: Was der Verantwortliche noch beauskunften kann, ist nicht wirklich gelöscht. Bleibt die Frage, ob Löschungen zwischen Auskunftsantrag und Auskunftserteilung erlaubt sind. Auch sie lässt sich noch in zwei Teilfragen zerlegen.

Teilfrage 1:

Bewirkt der Auskunftsantrag ein Einfrieren der Datenverarbeitungen beim Verantwortlichen? Darf also die verantwortliche Stelle nach Eingang eines Auskunftsantrags erst dann überhaupt wieder Daten löschen, wenn sie die auskunftsrelevanten Daten „beiseite gelegt“ hat?

Antwort: In der Fachliteratur wird teilweise vertreten, der Auskunftsanspruch betreffe „vollumfänglich […] alle bei Auskunftsersuchen vorliegenden Daten“ (z.B. Taeger/Gabel/Mester Art. 15 DSGVO Rn. 3 m.w.N.), ohne die Konsequenz eines kompletten „Löschverbots“ beim Verantwortlichen anzusprechen. Mit Blick auf „große“ verantwortliche Stellen (massenhafte Datenverarbeitungen, auch automatisierte und in kurzen Frequenzen für verschiedene Verarbeitungsprozesse stattfindende Löschungen) wird deutlich, was auch auf „kleine“ Verantwortliche übertragen werden muss: Die verantwortliche Stelle hat ihre Löschpflichten, die gegenüber anderen betroffenen Personen weiterhin bestehen, zu erfüllen; sie muss und darf Löschpflichten nicht verschieben. Niemand kann also durch eigene Auskunftsanträge bewirken, dass bei verantwortlichen Stellen Löschprozesse angehalten werden.

Teilfrage 2:

Darf oder muss der Verantwortliche Daten der Auskunft fordernden, betroffenen Person gezielt löschen und danach logisch zwingend: insoweit keine Auskunft mehr erteilen, wenn er bei Bearbeitung des Auskunftsantrags feststellt, dass die Daten nicht mehr gespeichert sein dürften?

Antwort: Dazu gehen die Meinungen auseinander. Beide Antworten sind juristisch vertretbar. Die DS-GVO gibt nichts Eindeutiges vor und der Europäische Gerichtshof hat sich noch nicht geäußert. Für ein insoweit bestehendes Löschverbot und komplette Auskunftspflicht könnte man hauptsächlich anführen, dass Verantwortliche ansonsten Datenschutzverstöße vertuschen und Sanktionen, z.B. Schadensersatzforderungen, und Bußgelder, vermeiden könnten. Gegen das Löschverbot und für die „Selbstkorrektur“ des Verantwortlichen lässt sich argumentieren, dass der Verantwortliche – wenn auch verspätet – seine Rechtspflichten erfüllt und bei datenschutzkonformer Löschung dadurch auch der Betroffene geschützt ist. Wenn man Löschungen nach Auskunftsantrag „im Rahmen regelmäßiger informationeller Verwaltung / Geschäftsführung“ erlaubt, jedoch „nicht etwa […] in Reaktion auf einen Löschungsantrag“ (v. Lewinski/Rüpke/Eckhardt, Datenschutzrecht, § 15 Rn. 21 in Fn. 34), bedeutet das: Der Verantwortliche darf nur die Daten des Auskunft fordernden Betroffenen nicht löschen und muss sie weiter speichern; alle bei selber Gelegenheit gefundenen Daten andererBetroffener müssen umgehend gelöscht werden.

Die Befürworter des „Löschverbots“ können wiederum darauf verweisen, dass in bestimmten Situationen für die betroffene Person gerade wichtig sein kann, eine rechtswidrige Datenspeicherung nachzuweisen. (Lebensfremdes Lehrbuch-Beispiel: Eine Bewerberin wird vom potentiellen Arbeitgeber abgelehnt mit Verweis auf ihr schlechtes Abiturzeugnis. Das Zeugnis hat sie selbst nicht vorgelegt; es befindet sich ihres Wissens noch bei der Schulbehörde und einem früheren Arbeitgeber. Sie stellt Auskunftsantrag nach Art. 15 DSGVO beim früheren Arbeitgeber.) Darauf entgegnen die Anhänger der Löschbefugnis vielleicht: Im Rechtsstaat gilt als Verfassungsprinzip, das niemand gezwungen werden darf, sich selbst zu belasten (Rechtslatein: „nemo tenetur se ipsum accusare“). Würde man den Auskunftsanspruch so verstehen, dass er den Verantwortlichen zwingt, selbst der betroffenen Person die Beweise für einen Rechtsverstoß und damit die „Waffen“ für Schadenersatzprozess und Bußgeldverfahren in die Hand zu geben, wäre dies eine klare Pflicht zur Selbstbelastung.

Gegen-Gegenargument: Der genannte Grundsatz gilt im EU-Recht nicht uneingeschränkt und ist auch in der DS-GVO teilweise klar durchbrochen, beispielsweise hinsichtlich der Verpflichtung zur Meldung der Verletzng des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemäß Art. 33 Abs. 1 DS-GVO. Befürworter der Löschbefugnis: Dann muss die Lösung aber doch zumindest in jenen Fällen erlaubt sein, in denen die Daten untrennbar auch Dritte betreffen und zu deren Schutz gelöscht werden müssen (Art. 15 Abs. 4 DSGVO). Erwiderung darauf: Es ist ja schon streitig, ob sich Art. 15 Abs. 4 überhaupt auf Abs. 1 anwenden lässt oder wie der Wortlaut nahelegt nur für den Kopie-Anspruch nach Abs. 3 gilt … .

Fazit

Und wo ist die versprochene Antwort? Längst gegeben und im Text gut versteckt: Beide Auffassungen sind juristisch mit anständigen Argumenten vertretbar – und für die Praxis verbindlich entschieden wird das Thema – vielleicht einmal – durch den EuGH. Persönlich neige ich (derzeit) eher zur „Löschbefugnis“. Und bei echtem Missbrauchsverdacht wäre Betroffenen natürlich wegen des tatsächlichen Löschrisikos alternativ zu empfehlen, die Möglichkeit der Beschwerde bei der Aufsichtsbehörde anstelle des Auskunftsantrags zu nutzen. Die Aufsichtsbehörde kann – muss nicht – ein größeres Instrumentarium einsetzen, um den Verdacht aufzuklären. Eine weitere Frage zum Thema Auskunftsrecht klären wir in der kommenden Woche.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WORUM GEHT ES IN DEM URTEIL?

Ursprünglich wurde die Rechtsanwaltskanzlei für die Mandantin in einer Verkehrsunfallsstreitigkeit sowie einer Schadenssache tätig. Nachdem das Mandat gekündigt wurde, forderte die Mandantin die Kanzlei zur Erteilung einer vollständigen Datenauskunft einschließlich einer Kopie der Handakte auf. Durch den neuen Prozessbevollmächtigten wurden schließlich gerichtlich u.a. Ansprüche auf Auskunft und Kopie sowie Schmerzensgeld geltend gemacht. Ihr diesbezüglicher Anspruch sei bisher nicht vollständig erfüllt worden, weil Angaben zum „Mandatskonto“ und zur bisher erfolgten Kommunikation mittels E-Mail und WhatsApp fehlten. Zudem fehlten Angaben zum Bürorechner und zu der Frage, ob Daten an den mit dem Anwalt in Bürogemeinschaft gemeinsam tätigen Kollegen weitergegeben worden seien, weil dieser die gleiche Telefaxnummer nutze.

WAS WURDE KONKRET ENTSCHIEDEN?

Das Gericht führt aus, dass nach Art. 15 DS-GVO jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht hat, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u.a. ein Recht auf Auskunft über diese personenbezogenen Daten. Der Begriff der „personenbezogenen Daten“ ist weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Das Landgericht Bonn folgt insoweit der Rechtsprechung des OLG Köln (Urt. v. 26.7.2019 – Az.: 20 U 75/18), die den Umfang der Datenauskunft grundsätzlich weit fast. Hierunter fallen demnach u.a. auch die Angaben aus dem Mandatskonto und die betreffende elektronische Kommunikation.

Das Urteil des LG Bonn steht insoweit im Einklang mit der Entscheidung des Bundesgerichtshofes (BGH) (Urt. v.  15.6.2021 – Az.: VI ZR 576/19). Auch der BGH geht im Einklang mit der Rechtsprechung des Europäischen Gerichtshof (EuGH) von einem sehr weiten Verständnis des Begriffes der personenbezogenen Daten aus und lässt insoweit auf der Tatbestandsebene des Art. 15 DS-GVO keine teleologische Reduktion des Anwendungsbereiches zu. Konkret sieht der BGH vom Auskunftsanspruch u.a. Korrespondenz zwischen den Parteien, interne (Akten-)Vermerke und Kommunikation umfasst. Außerdem sei der Auskunftsanspruch nicht bereits deshalb ausgeschlossen, weil die Daten dem Vertragspartner bereits bekannt sein.

IST DIE VERSPÄTETE AUSKUNFT DANN SCHADENERSATZPFLICHTIG?

Dieser Frage erteilt das Landgericht Bonn eine Absage. Es konstatiert, dass der Klägerin aufgrund der nach acht Monaten ersteilten Datenauskunft kein Anspruch auf Schadenersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO zusteht. Zu Begründung führt das Gericht an:

„Gemäß Art. 82 Absatz 2 DSGVO haften die Verantwortlichen – insoweit konkretisierend – für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung entstanden ist. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Aufgrund von anderen Verstößen, die nicht durch eine der DSGVO zuwiderlaufende Verarbeitung verursacht worden sind, kommt eine Haftung nach Artikel 82 Absatz 1 DSGVO nicht in Betracht […]“

Daher führt nach Ansicht des Gerichtes eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 daher nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Dementsprechend löst die nach Art. 12 Abs. 3 Satz 1 DS-GVO verspätete Erfüllung von (Auskunfts-)Ansprüchen grundsätzlich keinen Schadensersatzanspruch gemäß Art. 82 DS-GVO aus. Das Landgericht Bonn bezieht hier klar Stellung zu einer umstrittenen Fragestellung im Rahmen des Art. 82 DS-GVO.

Unabhängig davon scheitert der Anspruch auch daran, dass ein Schaden nicht dargelegt wurde. Allein dass die Betroffene auf die Datenauskunft „warten“ musste, kann nach Ansicht des Gerichtes auch nach dem Schadensmaßstab der DS-GVO keinen ersatzfähigen Schaden begründen. Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Andernfalls scheidet ein „Schaden“ begrifflich schon aus. Eine solche Spürbarkeit wurde im gegenständlichen Verfahren jedoch nicht dargelegt.

WELCHE AUSWIRKUNGEN FÜR DIE PRAXIS SIND ZU ERWARTEN?

Vorab ist anzumerken, dass keine Klärung der Frage nach dem Verhältnis der datenschutzrechtlichen Vorschriften der Art. 15 ff. DS-GVO zu den berufsrechtlichen Vorschriften, insbesondere dem § 50 Bundesrechtsanwaltsordnung (BRAO) erfolgte. So kennt § 50 Abs. 2 BRAO einen eigenständigen Herausgabeanspruch des Auftraggebers gegenüber dem Rechtsanwalt, wobei letzterer gemäß § 50 Abs. 3 BRAO die Herausgabe so lange verweigern darf, bis er wegen der ihm vom Auftraggeber geschuldeten Gebühren und Auslagen befriedigt ist. Klärungsbedürftig ist in diesem Zusammenhang insbesondere das Verhältnis zwischen § 50 Abs. 2 und 3 BRAO zu Art. 15 Abs. 3 DS-GVO und Art. 20 DS-GVO.

So ist die Annahme eines weiten Umfangs des Auskunftsanspruchs in jedem Fall zu begrüßen, da ein Ablehnen bestimmter Datenarten bereits auf Tatbestandebene des Art. 15 DS-GVO wohl nicht mit der Schutzwirkung der DS-GVO in Einklang zu bringen ist. Dies ist jedoch nicht gelichbedeutend mit der Annahme, dass keine Ausnahmen möglich wären. In Betracht kommen können hier insbesondere Art. 12 Abs. 5 Satz 2 DS-GVO (offenkundig unbegründeten oder exzessiven Anträgen), Art. 15 Abs. 4 DS-GVO (Beeinträchtigung der Rechte und Freiheiten anderer Personen) sowie Art. 23 Abs. 1 DS-GVO i.V.m. § 29 Bundesdatenschutzgesetz (BDSG) (Geheimhaltungspflichten) oder i.V.m. § 34 BDSG (u.a. Aufbewahrungspflichten und Datensicherung).

Hinsichtlich der Ausführungen zum Schadenersatzanspruch wird mit Spannung zu erwarten sein, wie der EuGH diesbezüglich entscheiden wird, da der Oberste Gerichtshof in Österreich (OGH, Entsch. v. 15.4.2021 – Az.: 6 Ob 35/21) entsprechend vorgelegt hat. Geklärt werden soll u.a., ob der Zuspruch von Schadenersatz nach Art. 82 DS-GVO neben einer Verletzung von Bestimmungen der DS-GVO auch erfordert, dass der Kläger bzw. Betroffene einen Schaden erlitten hat oder ob bereits die Verletzung von Bestimmungen der DS-GVO als solche für die Zuerkennung von Schadenersatz ausreicht.

FAZIT

Es bleibt festzuhalten, dass Auskunfts- sowie Kopieanspruch des Art. 15 DS-GVO einerseits und der Schadenersatzanspruch des Art. 82 DS-GVO andererseits regelmäßig Gegenstand von Gerichtsentscheidungen sind und auch bleiben werden. Trotz zahlreicher Entscheidungen verbleiben viele offene Fragestellungen. Gleichwohl führen die höchstrichterlichen Entscheidungen Stück für Stück zu Rechtssicherheit. Für Verantwortliche empfiehlt es sich entsprechende Vorkehrungen zu treffen, um Auskunftsersuchen unverzüglich und vollständig beantworten zu können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

EINSCHRÄNKUNG DER VERARBEITUNG

Unter der Begrifflichkeit der Einschränkung der Verarbeitung ist gemäß Art. 4 Nr. 3 DS-GVO „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“, zu verstehen. Der zugehörige Erwägungsgrund 67 zur DS-GVO führt hierzu ergänzend aus, dass zur Beschränkung der Verarbeitung personenbezogene Daten auf ein anderes Verarbeitungssystem übertragen, für Nutzer gesperrt oder auch von Internetseiten entfernt werden können. Insbesondere ist jedoch sicherzustellen, dass eine weitere Verarbeitung der personenbezogenen Daten bereits technisch unterbunden und innerhalb von Systemen unmissverständlich auf die Einschränkung der Verarbeitung hingewiesen wird („Sperrvermerk“). Hieraus wird deutlich, dass das Recht auf Einschränkung der Verarbeitung insbesondere auf eine temporäre Beschränkung zur ausschließlichen Speicherung der personenbezogenen Daten abzielt.

Auch wenn in Art. 18 DS-GVO von Einschränkung und in Erwägungsgrund 67 von Beschränkung die Rede ist, meinen beide Begriffe das Identische. Dies geht insbesondere aus der englischsprachigen Originalfassung der DS-GVO hervor, innerhalb derer in beiden Fällen der Begriff restriction verwendet wird.

VORAUSSETZUNGEN DES RECHTS AUF EINSCHRÄNKUNG DER VERARBEITUNG

Mit Blick auf Art. 18 DS-GVO wird deutlich, dass die Geltendmachung des Rechts auf Einschränkung der Verarbeitung stets von bestimmten Erklärungen der betroffenen Person abhängig ist. Das Vorliegen der einzelnen Voraussetzungen ist dabei von der betroffenen Person qualifiziert nachzuweisen. Im Einzelnen:

Bestreiten der Richtigkeit personenbezogener Daten (lit. a):  Bestreitet die betroffene Person die Richtigkeit der sie betreffenden personenbezogenen Daten muss sie gegenüber der verantwortlichen Stelle hinreichend darlegen, inwiefern eine Unrichtigkeit der Daten vorliegt. Ein allgemeines Bestreiten der Richtigkeit der personenbezogenen Daten, ohne hierfür stichhaltige Anhaltspunkte vorzulegen, ist für die Geltendmachung des Betroffenenrechts nicht ausreichend. Das Recht auf Einschränkung der Verarbeitung kann in diesem Fall als ein zu Art. 16 DS-GVO (Recht auf Berichtigung) vorgelagertes Betroffenenrecht verstanden werden. Zeitlich gilt die Einschränkung ab dem Antrag der betroffenen Person und bis zur abschließenden Prüfung der verantwortlichen Stelle hinsichtlich der (Un-)Richtigkeit der personenbezogenen Daten. Gemäß Art. 12 Abs. 3 Satz 1 DS-GVO hat dies auch bei allen Fällen des Art. 18 DS-GVO unverzüglich, spätestens jedoch innerhalb eines Monats zu erfolgen.

Unrechtmäßigkeit der Verarbeitung (lit. b): Bestreitet die betroffene Person begründet die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten, steht ihr nach dem Wortlaut des Art. 18 Abs. 1 lit. b DS-GVO grundsätzlich ein Wahlrecht zwischen der Löschung ihrer personenbezogenen Daten nach Art. 17 DS-GVO oder der Einschränkung der Verarbeitung zu. Voraussetzung des Art. 18 Abs. 1 lit. b DS-GVO ist demnach zwingend, dass die betroffene Person einerseits die objektive Unrechtmäßigkeit der Verarbeitung darlegen kann und andererseits explizit die Einschränkung der Verarbeitung verlangt. Eine Einschränkung aufgrund der Unrechtmäßigkeit der Verarbeitung umfasst den gesamten Zeitraum vom Antrag der betroffenen Person bis diese gegebenenfalls zu einem späteren Zeitpunkt die Löschung ihrer personenbezogenen Daten verlangt.

Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen (lit. c): Die Einschränkung der Verarbeitung zu Zwecken der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen durch die betroffene Person stellt einen Sonderfall dar. Im Gegensatz zu den übrigen Voraussetzungen setzt diese ausschließlich ein Interesse der betroffenen Person an der weiteren Verarbeitung – in Form einer Speicherung – voraus. Zwingend ist jedoch, dass die einzuschränkenden personenbezogenen Daten für die Verfolgung von Rechtansprüchen erforderlich sind. Die alleinige Möglichkeit zur Erforderlichkeit für künftige gerichtliche Verfahren ist nicht ausreichend. Das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 Abs. 1 lit. c DS-GVO gilt für den Zeitraum, in dem die personenbezogenen Daten für die Rechtsverfolgung zwingend benötigt werden.

Widerspruch (lit. d): Die Einschränkung der Verarbeitung im Falle eines Widerspruchs umfasst ausschließlich das allgemeine Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO und demnach nicht Widersprüche gegen eine Verarbeitung personenbezogener Daten zu Zwecken der Direktwerbung (Art. 21 Abs. 2 DS-GVO) und wissenschaftlichen oder historischen Forschungszwecken (Art. 21 Abs. 6 DS-GVO). Zeitlich umfasst das Recht auf Einschränkung der Verarbeitung hierbei den Zeitraum von der Geltendmachung des Widerspruchsrechts bis zum Vorliegen des Ergebnisses, ob die berechtigten Interessen der verantwortlichen Stelle die Interessen und Rechte der betroffenen Person überwiegen.

ANFORDERUNGEN AN DIE GELTENDMACHUNG UND BEANTWORTUNG

Art. 18 DS-GVO enthält keine spezifischen Regelungen hinsichtlich (formaler) Anforderungen an die Geltendmachung oder Beantwortung des Rechts auf Einschränkung der Verarbeitung. Insofern kann auf die allgemeinen Anforderungen des Art. 12 DS-GVO verwiesen werden: Die verantwortliche Stelle erleichtert der betroffenen Person die Ausübung des Betroffenenrechts (Art. 12 Abs. 2 DS-GVO), stellt der betroffenen Person alle Informationen hinsichtlich der getroffenen Maßnahmen unverzüglich, spätestens jedoch innerhalb eines Monats (Art. 12 Abs. 3 DS-GVO) und grundsätzlich entgeltfrei (Art. 12 Abs. 5 DS-GVO) zur Verfügung. Weiterhin besteht für die verantwortliche Stelle die Möglichkeit zur Identitätsfeststellung in Zweifelsfällen (Art. 12 Abs. 6 DS-GVO).

Ebenso wie bei der Löschung und Berichtigung personenbezogener Daten ist die verantwortliche Stelle auch in Fällen der Einschränkung der Verarbeitung nach Art. 19 DS-GVO dazu verpflichtet, allen Empfängern, denen personenbezogene Daten der betroffenen Person offengelegt wurden, über die Geltendmachung des Betroffenenrechts zu informieren. Eine Ausnahme hiervon besteht nur dann, soweit sich die Mitteilung gegenüber den Empfängern als unmöglich erweist oder mit einem unverhältnismäßig hohen Aufwand einhergeht.

RECHTSFOLGEN UND AUSNAHMEN

Ist mindestens eine der in Art. 18 Abs. 1 lit. a – d DS-GVO aufgeführten Voraussetzungen erfüllt, besteht für die betroffene Person ein Anspruch auf Einschränkung der Verarbeitung ihrer personenbezogenen Daten. Für die verantwortliche Stelle entsteht nach dem Wortlaut des Art. 18 Abs. 2 DS-GVO – abgesehen von der reinen Speicherung – ein weitreichendes Verarbeitungsverbot.

Ausnahmen von dem Verarbeitungsverbot bestehen allein im Rahmen der ebenfalls in Art. 18 Abs. 2 DS-GVO abschließend aufgeführten Ausnahmetatbestände: Demnach ist im Falle einer Einschränkung der Verarbeitung personenbezogener Daten eine Verarbeitung über die alleinige Speicherung möglich, sofern (1) die betroffene Person in die Verarbeitung eingewilligt hat, (2) diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, (3) dem Schutz der Rechte einer anderen natürlichen oder juristischen Person dient oder (4) aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedsstaates erforderlich ist.

AUFHEBUNG DER EINSCHRÄNKUNG

Wie bereits zuvor dargestellt, handelt es sich bei dem Recht auf Einschränkung der Verarbeitung um ein zeitlich beschränktes Betroffenenrecht. Wurde beispielsweise durch die verantwortliche Stelle die Richtigkeit der verarbeiteten personenbezogenen Daten festgestellt, endet zu diesem Zeitpunkt die Einschränkung der Verarbeitung. Gemäß Art. 18 Abs. 3 DS-GVO hat die verantwortliche Stelle die betroffene Person über die Aufhebung der Einschränkung der Verarbeitung zu unterrichten.

FAZIT

Das Recht auf Einschränkung der Verarbeitung umfasst einige Besonderheiten, die es im Falle einer Geltendmachung des Betroffenenrechts zu beachten und überprüfen gilt. Die formalen Umstände entsprechen jedoch denen der weiteren Betroffenenrechte des Kapitels III der DS-GVO, sodass auch hierbei ein standardisierter Prozess bei der datenschutzkonformen Umsetzung innerhalb der verantwortlichen Stelle helfen kann. Der Datenschutzbeauftragte kann unterstützend bei der rechtlichen Überprüfung der Voraussetzungen, der gegebenenfalls einschlägigen Ausnahmeregelungen sowie der abschließenden Beantwortung der Betroffenenanfrage tätig werden und sollte hierzu zu einem frühestmöglichen Zeitpunkt eingebunden werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

VORAUSSETZUNGEN FÜR EINEN LÖSCHANSPRUCH

Art. 17 Abs. 1 DS-GVO sieht das Recht der betroffenen Person vor, die Löschung von personenbezogenen Daten bei Vorliegen bestimmter Löschgründe verlangen zu können. Dieses Recht entbindet den Verantwortlichen allerdings nicht davon, auch ohne Verlangen der betroffenen Person regelmäßig zu überprüfen, ob die von ihm verarbeiteten Daten zu löschen sind. Als Löschgründe sind in Art. 17 Abs. 1 DS-GVO vorgesehen:
– die personenbezogenen Daten sind für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig (lit. a);
– Widerruf der Einwilligung und es besteht keine anderweitige Rechtsgrundlage für die Verarbeitung (lit. b);
– erfolgreicher Widerspruch gemäß Art. 21 Abs. 1 (lit. c);
– Unrechtmäßigkeit der Verarbeitung (Generalklausel, lit. d);
– rechtliche Verpflichtung zur Löschung (lit. e);
– Datenerhebung bei Kindern (lit. f).

Für verantwortliche Stellen werden die Tatbestände des Art. 17 Abs. 1 lit. a, b und d DS-GVO überwiegend eine Rolle spielen.

Der Tatbestand von Art. 17 Abs. 1 lit. a DS-GVO räumt der betroffenen Person ein Recht auf Löschung personenbezogener Daten dann ein, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dementsprechend entscheidet der konkrete Zweck einer Datenverarbeitung maßgeblich über die maximal zulässige Speicherdauer personenbezogener Daten. Unter Zugrundelegung des Zwecks ist nach dem Grundsatz der Speicherbegrenzung des Art. 5 Abs. 1 lit. e DS-GVO eine Löschung zum frühestmöglichen Zeitpunkt vorzunehmen. Dabei darf keine Möglichkeit mehr existieren, auf die Daten ohne unverhältnismäßigen Aufwand zuzugreifen oder diese wiederherzustellen. Als Orientierung dient hierbei beispielsweise DIN 66399.

Wenn die betroffene Person Ihre Einwilligung widerruft, Art. 17 Abs. 1 lit. b, so entfällt die Rechtsgrundlage für Verarbeitungen gemäß Art. 6 Abs. 1 S. 1 lit. a DS-GVO. Daraus resultiert aber nur dann ein Löschanspruch, wenn sich die Rechtmäßigkeit der Verarbeitung auf keine andere Rechtsgrundlage als die der Einwilligung stützen kann. Diesbezüglich kommen vor allem Art. 6 Abs. 1 lit. b (Vertragserfüllung), lit. c (rechtliche Verpflichtungen) und e (Aufgabenerfüllung im öffentlichen Interesse) und lit. f (berechtigtes Interesse) DS-GVO in Betracht. Der Widerruf der Einwilligung resultiert also nur dann in einer absoluten Verpflichtung zur Löschung, sofern die Einwilligung die einzige Rechtsgrundlage der Verarbeitung darstellte.

Nach Art. 17 Abs. 1 lit. d DS-GVO bestehen die Löschrechte auch, wenn personenbezogene Daten unrechtmäßig verarbeitet wurden. Die Regelung erfasst alle Konstellationen der unzulässigen Verarbeitung, insbesondere die Fälle, bei denen von vornherein keine Rechtsgrundlage für die Erhebung oder Speicherung personenbezogener Daten vorlag.

KEINE REGEL OHNE AUSNAHMEN

Ausnahmen bestehen dann, wenn der Löschpflicht gesetzliche Aufbewahrungsfristen entgegenstehen. So ergeben sich beispielsweise aus § 147 AO oder § 257 HGB Aufbewahrungsfristen für Geschäftsunterlagen von sechs bzw. zehn Jahren. Weitere spezialgesetzliche Ausnahmen lassen sich unter anderem im Banken- und Versicherungsgesetz, Aktiengesetz, Produkthaftungsgesetz oder auch im Bürgerlichen Gesetzbuch finden. Grundsätzlich gilt hierbei: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor. Dementsprechend dürfen personenbezogene Daten nicht gelöscht werden, sofern derartige Aufbewahrungsfristen bestehen. Bei der Aufbewahrung sind die datenschutzrechtlichen Grundsätze, insbesondere durch die Festlegung von Zutritts- und Zugriffsberechtigungen, einzuhalten.

Von einer Löschung kann ebenfalls – zumindest vorübergehend – abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Weitere Ausnahmen bestehen, sofern die Löschung personenbezogener Daten die Verwirklichung im öffentlichen Interesse liegender Archivzwecke, wissenschaftlicher oder historischer Forschungszwecke sowie statistischer Zwecke ernsthaft beeinträchtigen oder unmöglich machen würde. Bei öffentlichen Stellen ist zudem eine Anbietungspflicht an die Landesarchive zu prüfen.

VORGEHENSWEISE BEI EINEM ANTRAG AUF LÖSCHUNG

Im Rahmen der Bearbeitung eines Löschantrages bietet sich folgende Vorgehensweise an: Ein Löschantrag kann von jeder betroffenen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch erfolgen. Im Rahmen eines konkreten Antrags auf Löschung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Es muss geprüft werden, ob der Antragsteller einen Anspruch auf Löschung hat bzw. keine Gründe vorliegen, die eine Speicherung der Daten weiterhin rechtfertigen. Der Löschungsanspruch umfasst dann sämtliche Datenbestände, in denen die personenbezogenen Daten des Antragstellers gespeichert sind. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. dem Löschvorgang zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.

SANKTIONEN UND SCHADENSERSATZ

Kommt der Verantwortliche der Löschpflicht / dem Löschanspruch der betroffenen Person nicht nach, kann die betroffene Person Beschwerde bei der zuständigen Aufsichtsbehörde einlegen. Eine Verletzung des Rechts auf Löschung wird mit hohen Geldbußen geahndet. Zudem kann die betroffene Person im Wege der Klage gegen den Verantwortlichen vorgehen. Es besteht die Möglichkeit Schadensersatz einzufordern.

FAZIT

Verantwortliche Stellen zeichnet ein professioneller Umgang mit der Löschpflicht aus, wenn bereits frühzeitig entsprechende interne Prozesse implementiert werden. Nutzen Sie hierbei Synergien! Oftmals knüpft die Löschung an ein Auskunftsbegehren an. Dieser Prozess sollte daher ganzheitlich etabliert werden. Verarbeitet ein Verantwortlicher personenbezogene Daten nur in gesetzlich zulässiger Weise, besteht keine darüberhinausgehende Verpflichtung zur Löschung. Eine organisierte Übersicht über die Art der verarbeiteten Daten, den Zweck der Verarbeitung sowie die gesetzlichen Aufbewahrungsfristen bietet das Verzeichnis über die Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Darüber hinaus empfiehlt sich ein eigenes Löschkonzept für alle innerhalb der verantwortlichen Stelle durchgeführten Verarbeitungszwecke an, woraus sich eine dokumentierte Löschroutine ablesen lässt.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

BERICHTIGUNG

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen, Art. 16 S. 1 DS-GVO. Unrichtig sind solche Daten, die objektiv nicht mit der Wirklichkeit übereinstimmen. Beispiele sind etwa unzutreffende Angaben zu Name, Adresse oder Geburtsdatum. Der Anspruch bezieht sich grundsätzlich auf Tatsachenangaben und nicht auf Meinungen oder Werturteile. Unerheblich für die Geltendmachung des Anspruchs ist, ob die Daten von Anfang an falsch abgespeichert wurden oder sich die Daten der Person geändert haben.  Der Berichtigungsanspruch des Betroffenen ist ein Interventionsrecht, mit dem er die Rechtslage gestalten kann.

VERVOLLSTÄNDIGUNG

Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, Art. 16 S. 2 DS-GVO. Unvollständig sind Daten, wenn das Fehlen von Angaben im konkreten Informationszusammenhang zu einer Irreführung oder Missverständnissen führt. Letzteres wäre der Fall, wenn Fehlzeiten eines Arbeitnehmers festgehalten werden, ohne dass nach den Gründen wie Fortbildung, Urlaub oder Krankheit usw. differenziert wird. Vervollständigung kann dem Wortlaut nach nur „unter Berücksichtigung der Zwecke der Verarbeitung“ verlangt werden, wobei der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DS-GVO maßgeblich zu berücksichtigen ist. Personenbezogene Daten dürfen nur insoweit erhoben werden, als sie zwingend für den jeweiligen Zweck erforderlich sind.

BESCHRÄNKUNG DES RECHTS AUF BERICHTIGUNG

Ausnahmen von der Berichtigungspflicht werden in Art. 16 DS-GVO nicht direkt generiert. Allerdings wird der Union und den nationalen Gesetzgebern durch die Art. 23 sowie Art. 89 Abs. 2 und 3 DS-GVO („Öffnungsklauseln“), die Möglichkeit eröffnet den Berichtigungsanspruch zu beschränken. Von einer solchen Beschränkung hat der deutsche Gesetzgeber zum Beispiel in den §§ 27 Abs. 2 und 28 Abs. 3 Bundesdatenschutzgesetz (BDSG) für Forschungs-, Statistik- und Archivzwecke gebrauch gemacht. Danach kann ein Betroffener seinen Berichtigungsanspruch nicht geltend machen, wenn dadurch die zur Verarbeitung festgelegten Zwecke beeinträchtigt werden.

DER ABLAUF EINES BERICHTIGUNGSPROZESSES

Das Recht der betroffenen Person auf Berichtigung hängt eng mit den Transparenzrechten, insbesondere mit dem Auskunftsrecht nach Art. 15 DS-GVO zusammen. Ohne das Recht auf Auskunft könnte der Betroffene von seinem Berichtigungsrecht nicht Gebrauch machen, denn er wüsste nicht von den falschen Informationen, die über ihn verarbeitet werden.

Grundsätzlich kann ein Berichtigungsantrag von jeder natürlichen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch gestellt werden. Im Rahmen eines konkreten Antrags auf Berichtigung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Der Berichtigungsanspruch umfasst sämtliche Datenbestände, in denen die unrichtigen personenbezogenen Daten des Antragstellers gespeichert sind. Die Berichtigung der Daten ist unverzüglich durch eine entsprechende Maßnahme durchzuführen. Bezogen auf den Einzelfall, kann dies durch Veränderung, teilweise oder vollständige Löschung oder Speicherung ergänzender oder neu erhobener Daten erfolgen. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. Maßnahmen des Berichtigungsantrages zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.

Hat der Verantwortliche die gespeicherten personenbezogenen Daten des Antragstellers an Dritte übermittelt, müssen auch diese über die Berichtigung der Daten informiert werden, sofern dies vernünftigerweise möglich ist. Alle zur Berichtigung ergriffenen Maßnahmen, sind unentgeltlich zu erbringen.

VERSTOß GEGEN DAS RECHT AUF BERICHTIGUNG

Verstöße gegen Betroffenenrechte sind keine Kavaliersdelikte. Ein Verstoß gegen das Recht auf Berichtigung, kann mit Geldbußen entsprechend des Art. 83 Abs. 5 lit. b DS-GVO geahndet werden. Daneben steht der betroffenen Person ein Schadensersatzanspruch gemäß Art. 82 DS-GVO zu, soweit ihr durch die Verarbeitung sie betreffender unrichtiger Daten ein materieller oder immaterieller Schaden entstanden ist.

FAZIT

Auf den ersten Blick handelt es sich um eine klare und einfache Regelung, die sich bei näherer Betrachtung als sehr Komplex erweist. Für den Verantwortlichen besteht die Herausforderung vor allem darin, die unterschiedlichen Betroffenenrechte auseinanderzuhalten und die jeweiligen Voraussetzungen zu kennen. Der Berichtigungsanspruch ist zügig, kontrolliert und dokumentiert durchzuführen. Es lohnt sich auch diesen Prozess zu standardisieren und in einem Datenschutzkonzept in einfach umsetzbaren Routinen zu berücksichtigen. 

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

WORUM GEHT ES BEI EINEM AUSKUNFTSANSPRUCH?

Die gesetzgeberische Intention hinter der Stärkung der Betroffenenrechte im Kapitel III der DS-GVO ist klar: Schaffung von Transparenz und mithin die Wahrung des Grundsatzes gemäß Art. 5 Abs. 1 lit. a) DS-GVO. Der Auskunftsanspruch ist – soweit auch unstreitig – dem Grunde nach dazu angelegt, die Überprüfung der Rechtmäßigkeit einer Datenverarbeitung durchzuführen und somit letztlich auch der Ausübung des Rechts auf informationelle Selbstbestimmung nachzukommen. In Der Praxis wird der Auskunftsanspruch – insbesondere im arbeitsrechtlichen Prozess – als taktisches Mittel verwendet, um „Druck“ auf die Gegenseite auszuüben und/oder einen Überblick über vorhandene Datenbestände zu erlangen, um unter Umständen Folgeansprüche vorzubereiten.

Neben dem „reinen“ Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO, wohnt dem Art. 15 Abs. 3 DS-GVO zudem das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, inne. Darüber hinaus kann das Recht auf Auskunft zur Vorbereitung der Geltendmachung weiterer Betroffenenrechte, beispielsweise des Rechtes auf Berichtigung gemäß Art. 16 DS-GVO oder des Rechtes auf Löschung gemäß Art. 17 DS-GVO dienen.

Allerdings ergeben sich abseits zahlreicher juristischer Streitigkeiten rund um die Reichweite des Anspruchs für Verantwortliche bei der Umsetzung in der Praxis einige inhaltliche sowie prozessuale Herausforderungen, welche im Folgenden näher beleuchtet werden sollen.

WELCHE SCHWIERIGKEITEN BESTEHEN IM RAHMEN EINES AUFKUNFTERSUCHENS?

Bei der Betrachtung des Art. 15 DS-GVO entsteht regelmäßig Diskussionsbedarf, insbesondere in Bezug auf die Fragen:
– Müssen dem Antragsteller auch Daten zur Verfügung gestellt werden, welche ihm bereits vorliegen?
– Muss der Anspruch auf Erhalt einer Kopie gesondert geltend gemacht werden?
– Welchen Umfang entfaltet das Recht auf Erhalt einer Kopie?
– Wann kann der Anspruch auf Erhalt der Kopie beschränkt werden?
– Wann gilt ein Auskunftsbegehren als unverhältnismäßig?

Das Hauptaugenmerk soll nun auf die praktische Umsetzung gelegt werden. Für die Bearbeitung von Auskunftsersuchen genügt insoweit nicht, wenn sich der Blick des Anwenders nur auf Art. 15 DS-GVO richtet. Vielmehr ist eine Gesamtschau mit den Normen aus Art. 4, Art. 11 und Art. 12 DS-GVO notwendig. Außerdem finden sich weitere Bestimmungen – insbesondere zu Ausnahmetatbeständen – im Bundesdatenschutzgesetz (BDSG).

WIE LÄUFT EIN AUSKUNFTSPROZESS AB?

Den Stein des Anstoßes bei einem Auskunftsprozess bildet der Antrag des Betroffenen, vgl. Art. 12 Abs. 2 Satz 1 DS-GVO. Der Verantwortliche ist gemäß Art. 12 Abs. 1 DS-GVO dazu angehalten die Betroffenen bei der Wahrnehmung ihrer Rechte zu unterstützen. Eingehen können Betroffenenanfragen auf allen denkbaren Kommunikationskanälen der verantwortlichen Stelle. Unter Umständen ist eine Auslegung der Anfrage notwendig, insbesondere wenn der Betroffene sich nicht ausdrücklich auf Art. 15 DS-GVO beruft – was er selbstverständlich nicht muss. Es genügt insoweit ein formloser Antrag, welcher keiner Begründung bedarf. Damit Verantwortliche weiterführende Datenschutzverstöße vermeiden können, empfiehlt sich strengstens die Identität des Antragstellers zu überprüfen. Über das exakte Vorgehen haben wir bereits berichtet. Es ist dem Antragsteller ebenfalls unbenommen in zwei Stufen vorzugehen:
– zunächst kann die betroffene Person eine Bestätigung verlangen, ob bei dem Verantwortlichen sie betreffende personenbezogene Daten verarbeitet werden;
– um bejahendenfalls auf einer zweiten Stufe um Auskunft über diese personenbezogenen Daten sowie die Informationen des Art. 15 Abs. 1 lit. a) bis h) DS-GVO zu verlangen.

Verarbeitet der Verantwortliche große Mengen an Informationen, besteht nach Erwägungsgrund (ErwG) 63 S. 7 DS-GVO die Möglichkeit, dass er vom Betroffenen verlangen kann, dass dieser seine Anfrage derart präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht.

Um auf Auskunftsersuchen beziehungsweise allgemein Betroffenenanfragen fristgerecht (unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags gemäß Art. 12 Abs. 3 DS-GVO) empfiehlt sich die Implementierung eines Melde- und Bearbeitungsprozesses, beispielsweise durch eine interne Anweisung, Richtlinie oder Policy zum Umgang mit Betroffenenanfragen.  Ein solche Prozess kann folgende Etappen umfassen:
– Antragseingang und gegebenenfalls Auslegung des Betroffenenbegehren,
– Eingang dokumentieren und Frist für die Beantwortung notieren,
– Eingangsbestätigung an den Antragsteller senden (vgl. Art. 5 Abs. 2 DS-GVO),
– Identitätsprüfung durchführen,
– Vorliegen von Beschränkungen prüfen (vgl. Art. 15 Abs. 4 DS-GVO, §§ 29, 34 BDSG etc.),
– Datenbestände prüfen,
– gegebenenfalls Fristverlängerung begründen (vgl. Art. 12 Abs. 3 Satz 2 DS-GVO),
– Form der Beantwortung einhalten (schriftlich/elektronisch, jedenfalls identischer Kommunikationsweg),
– Auskunft oder Negativauskunft erteilen (aufgrund fehlenden Identitätsnachweises, dem Vorliegen von Beschränkungen, kein Vorliegen von Datenbeständen etc.),
– Kopie der personenbezogenen Daten zur Verfügung stellen,
– Ausgang der Antwort dokumentieren und Frist streichen,
– gesetzliche Aufbewahrungsfrist von Betroffenenanfragen einhalten (Art. 83 und Art. 5 DS-GVO, § 41 BDSG, § 31 Gesetz über Ordnungswidrigkeiten (OWiG)).

Nicht nur aus Gründen zur Erfüllung der Rechenschaftspflicht und im Sinne eines funktionierenden Managementsystems empfiehlt sich die Initiierung und Fortschreibung eines solchen Prozesses. Vielmehr kann ein vorgeschriebener Ablauf bei den Anwendern – also den Beschäftigten der verantwortlichen Stelle – für Sicherheit im Umgang mit Betroffenenanfragen sorgen.

WELCHE KONSEQUENZEN DROHEN BEI FEHLERHAFTEN AUSKUNFTSPROZESSEN?

Die Folgen von unterbliebenen beziehungsweise verspätet erteilten Auskünften liegen auf der Hand: Es besteht das Risiko eines Gesetzesverstoßes, welcher durch eine Aufsichtsbehörde geahndet werden kann, beispielsweise im Rahmen der Sanktionierung von Art. 83 DS-GVO. Daneben steht den Betroffenen die Möglichkeit der Geltendmachung eines Schadenersatzanspruches gemäß Art. 82 DS-GVO zu, wobei es hier aber zentral auf die Nachweisbarkeit eines konkreten Schadens ankommen wird.

FAZIT

Unabdingbar für die (fristgerechte) Bearbeitung von Betroffenenanfragen ist die Etablierung entsprechender Prozesse mitsamt Dokumentation der konkreten Einzelfälle. Hilfestellungen zum Umgang mit Anfragen Betroffener in der Praxis finden sich unter anderem beim Bayrischen Landesamt für Datenschutzaufsicht sowie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.