Im Rahmen der Initiative „Meine Daten. Meine Freiheit.“ für mehr Achtsamkeit im Umgang mit personenbezogenen Daten, stellt die Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) seit kurzer Zeit mehrere Textgeneratoren zur Umsetzung der gängigsten Betroffenenrechte der Datenschutz-Grundverordnung bereit. Die sächsische Datenschutz-Aufsichtsbehörde möchte damit betroffenen Personen die Kommunikation mit den datenverarbeitenden Stellen erleichtern und so eine bessere Kontrolle über die eigenen personenbezogenen Daten ermöglichen.

Weiterführende Informationen zu Betroffenenrechte

Neben den eigentlichen Textgeneratoren für das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht werden Betroffenen und Interessierten zusätzliche Informationen bereitgestellt. Dazu zählen etwa Erläuterungen zum jeweiligen Zweck und Umfang, Hinweise auf mögliche Einschränkungen und Besonderheiten sowie Verweise auf einschlägige Veröffentlichungen der Datenschutzkonferenz.

Einfache Bedienung der Textgeneratoren

Das Herzstück der Initiative bilden jedoch die fünf Textgeneratoren selbst. Mit wenigen Klicks und Eingaben wird ein fertiges Musterschreiben erstellt: Angaben zum Verantwortlichen und zur eigenen Person, optionale Präzisierungen, die gewünschte Form der Auskunft – und schon liegt das fertige Auskunftsersuchen vor. Wer zusätzlich das Häkchen für eine Datenkopie setzt, berücksichtigt zugleich auch das Recht gemäß Art. 15 Abs. 3 DS-GVO. Alle Eingaben werden schließlich mit einem Klick zu einem übersichtlichen Musterschreiben – wahlweise als Text- oder PDF-Datei – zusammengefügt.

Die Generatoren für die weiteren Betroffenenrechte sind naturgemäß noch einfacher: Für das Recht auf Berichtigung wird eine kurze Begründung ergänzt, der konkrete Grund bezüglich des Rechts auf Löschung wird ausgewählt – und in Sekundenschnelle steht auch hier das fertige Schreiben bereit.

Insgesamt scheinen die Textgeneratoren auf den ersten Blick sehr intuitiv und bedienungsfreundlich. Datenschutzsensible Personen brauchen zudem nicht befürchten, dass die getroffenen Eingaben zu weiteren Zwecken aufbewahrt oder weiterverwendet werden. Nach der Generierung des Musterschreibens stehen die jeweiligen Dokumente für nur 15 Minuten zum Download zur Verfügung und werden sodann unverzüglich gelöscht

Fazit

Ob die Bereitstellung der Textgeneratoren tatsächlich zu einer vermehrten Wahrnehmung der Betroffenenrechte führt, bleibt abzuwarten. Fest steht jedoch: Sie erleichtern den Zugang erheblich und senken die Hemmschwelle zur Geltendmachung dieser Rechte sowie zur Kontaktaufnahme mit den datenverarbeitenden Stellen. Auch Verantwortliche können profitieren – etwa durch die klare Struktur und präzise Formulierung der Anliegen, die den Willen der betroffenen Person deutlicher hervortreten lassen können. Nun bleibt abzuwarten, wie die neuen Textgeneratoren von den Betroffenen angenommen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Vermutlich löst kaum eine andere Norm der Datenschutz-Grundverordnung bei der praktischen Umsetzung vergleichbar Unbehagen bei den verantwortlichen Stellen aus wie der Auskunftsanspruch nach Art. 15 DS-GVO. Man stelle sich nur vor, welche Gedanken den intern Verantwortlichen durch den Kopf gehen, wenn plötzlich ein – vielleicht sogar anwaltliches –Schreiben eingeht, in welchem vollständige Auskunft über die personenbezogenen Daten der betroffenen Person verlangt wird. Mit den möglichen Anforderungen an die Auskunftserteilung haben wir uns erst neulich bei einem Spaziergang durch die DS-GVO befasst.  Im heutigen Beitrag wollen wir den Blick ein stückweit auf die Rechtsfolgenseite richten und uns mit der Frag beschäftigten, was passiert, wenn die Auskunft zu spät erteilt wird.

… unverzüglich, in jedem Fall aber innerhalb eines Monats…

Grundsätzlich gilt auch für die Auskunftserteilung die Frist des Art. 12 Abs. 3 Satz 1 DS-GVO: „Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.“ Man könnte nun durchaus darüber diskutieren, ob mit „ergriffene Maßnahme“ im Falle von Art. 15 DS-GVO die vollständige Auskunftserteilung gemeint ist, aber dies wollen wir heute nicht betrachten, da es für unseren Fall auch nicht wirklich entscheidend ist (wir haben bereits über die Thematik berichtet).

Es bleibt also bei der in Datenschutzkreisen wohl bekannten Frist „unverzüglich, in jedem Fall aber innerhalb eines Monats„. Der „wunderbare“ unbestimmte Rechtsbegriff unverzüglich kann dabei wohl nach herrschender Meinung vergleichbar zu § 121 Bürgerliches Gesetzbuch also „ohne schuldhaftes Zögern“ verstanden werden. Hervorzuheben ist, dass „innerhalb eines Monats“ als Höchst- und nicht als Regelfrist zu verstehen ist. Nach Art. 12 Abs. 3 Satz 2 DS-GVO kann die Frist „[…] um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.“

Die Frage die sich nunmehr aufdrängt ist, wie weiter zu verfahren ist, wenn die erforderliche Auskunft nicht innerhalb der gesetzlichen Frist erfüllt wird und ob der jeweils betroffenen Person ein Schadenersatzanspruch gemäß Art. 82 DS-GVO zusteht.

Schadenersatz als Kontrollverlust?

Mit der geschildeten Situation hat sich jüngst das Bundesarbeitsgericht (BAG) in seinem Urteil vom 20. Februar 2025 (Az.: 8 AZR 61/24) auseinandergesetzt. In einer arbeitsrechtlichen Auseinandersetzung forderte der Kläger und ehemaliger Beschäftigter der Beklagten im Oktober 2022 Auskunft, nachdem er bereits 2020 Auskunft über die Ihn betreffenden personenbezogenen Daten erhalten hatte. Die Auskunft wurde ihm letztendlich nach mehreren fruchtlosen Fristsetzungen im Dezember 2022 erteilt. Nach Ansicht des Klägers allerdings unvollständig. Deshalb verlangte der Kläger Schadenersatz nach Art. 82 DS-GVO. In der Vorinstanz wurde ihm vom Arbeitsgericht Duisburg zunächst ein Anspruch in Höhe von 10.000€ zugesprochen (wir berichteten), bevor das Landesarbeitsgericht Düsseldorf das Urteil wiederrum aufhob und die Revision zum BAG zuließ.

Das BAG urteilte nun, dass allein eine verspätete Auskunft noch keinen Schadenersatzanspruch nach Art. 82 DS-GVO begründet. Vielmehr sei die Darlegung eines entsprechenden Schadens seitens des Klägers – dieser behauptete hier schlicht einen Kontrollverlust – erforderlich: „Die vom Kläger im vorliegenden Rechtsstreit geschilderte Gefühlslage begründet demnach keinen Schaden im Zusammenhang mit einem Kontrollverlust. Der Kläger hat – wovon das Landesarbeitsgericht zu Recht ausgegangen ist – keine konkreten Befürchtungen einer missbräuchlichen Verwendung seiner Daten dargelegt.“

Fast schon schulbuchartig prüft das BAG die durch den Europäischen Gerichtshof (EuGH) in verschiedenen Urteilen (wir berichteten hier, hier, hier und hier) statuierte Anwendung des Art. 82 DS-GVO. Zunächst stellt das BAG heraus, dass der Anspruch nach Art. 82 DS-GVO das Vorliegen eines Schadens, eines Verstoßes sowie eines Kausalzusammenhangs zwischen Schaden und Verstoß erfordert.

Hierfür wird herausgestellt: „Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist.“ Und weiter: „Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat […].“

Vorliegend aber konnte ein solcher Kontrollverlust durch den Kläger gerade nicht dargelegt werden: „Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen […]. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen […].“

Das BAG kommt daher zum Ergebnis: „Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus […] Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft.“

Oder doch aufgrund negativer Gefühle?

Anschließend befasst sich das BAG noch mit der Frage, ob der Schaden in Form von negativen Gefühlen wegen der verspäteten Erfüllung des Auskunftsanspruchs vorliegt und lehnt auch dies zu recht ab: „Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen […]. Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus […]. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos […].“

Ergänzt sei noch, dass das BAG hingegen die Frage offengelassen hat, ob eine potenzielle Verletzung von Art. 15 DS-GVO in Verbindung mit Art. 12 Abs. 3 DS-GVO überhaupt einen Verstoß im Sinne des Art. 82 Abs. 1 DS-GVO darstellen kann.

Fazit

Das BAG entschied in seinem Urteil, dass eine verspätete Auskunft allein keinen Schadenersatzanspruch begründet. Dies bedeutet für Betroffene jedoch nicht, dass mögliche Ansprüche nach Art. 82 DS-GVO in Gänze ausgeschlossen wären. In der Praxis wird entscheidend sein, das der gelten gemachte Schaden zum Beispiel in Form eines Kontrollverlustes zumindest nachvollziehbar dargelegt und eine missbräuchliche Verwendung bewiesen wird. Das bloße Abstellen auf die verspätete Auskunftserteilung ist hingegen nicht ausreichend.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mit dem Urteil vom Urteil vom 22. Juni 2023 in der Rs. C‑579/21 befasste sich der Europäische Gerichtshof (EuGH) mit der Reichweite von datenschutzrechtlichen Auskunftsansprüchen. Genauer ging es um die Frage, ob Betroffene das Recht haben, im Rahmen ihres Auskunftsanspruchs Kenntnis über die Identität der Beschäftigten zu erhalten, die auf die personenbezogenen Daten zugegriffen haben. Hintergrund war eine Klage eines ehemaligen Beschäftigten und zugleich Kunde einer finnischen Bank. Der Kläger fand heraus, dass auch nach seinem Ausscheiden Beschäftigte auf personenbezogene Daten von ihm zugegriffen haben. Daraufhin verlangt der Kläger detaillierte Auskunft nach Art 15 Abs. 1 DS-GVO und verlangte zudem die Nennung der Beschäftigten, welche auf seine Daten zugegriffen haben.

Zur Anwendbarkeit der DS-GVO

Da es sich in dem vorliegenden Sachverhalt um einen recht alten Fall handelt, in dem personenbezogene Daten betroffen sind, welche Jahre vor Inkrafttreten der DS-GVO erhoben wurden, befasste sich das Gericht zunächst mit der Frage, ob Betroffenenrechte auch bei Datenverarbeitungen geltend gemacht werden können, die vor Inkrafttreten der DS-GVO geschehen sind. Das Gericht kam (kurz gesagt) zu dem Ergebnis, dass Auskunftsansprüche auch personenbezogene Daten umfassen, die noch vor Inkrafttreten der DS-GVO erhoben wurden.

Darf ich wissen, wer Zugriff auf meine Daten hatte?

Gemäß Art. 15 Abs. 1 DS-GVO haben Betroffene das Recht, von dem Verantwortlichen informiert zu werden, ob sie personenbezogene Daten von dem Betroffenen verarbeiten. Wenn dem so ist, dürfen Betroffene Auskunft über die verarbeiteten personenbezogenen Daten verlangen. Das Auskunftsrecht erstreckt sich dabei unter anderem auf Informationen zu den Verarbeitungszwecken sowie zu den Empfängern oder Kategorien von Empfängern, gegenüber denen die Daten offengelegt wurden oder noch offengelegt werden.

Allerdings liegt der Schwerpunkt in dem Sachverhalt nicht darin, dem Betroffenen eine vollständige Auskunft nach Art. 15 DS-GVO auszustellen, sondern beruht auf der Tatsache, dass der Betroffene von dem Unternehmen verlangt hat, ihm die Identitäten der Personen, die Zugriff auf seine Daten hatten, mitzuteilen. In diesem Kontext rückt die Frage nach der Definition des Empfängers der personenbezogenen Daten in den Vordergrund. Insbesondere bedurfte es einer näheren Klärung, ob Beschäftigte der verantwortlichen Stelle als Empfänger im Sinne des Art. 4 Nr. 9 DS-GVO zu klassifizieren sind und somit im Rahmen der Auskunftserteilung konkret genannt werden müssen.

Zur Beantwortung der Frage verweist das Gericht auf die Legaldefinition des Empfängers gemäß Art. 4 Nr. 9 DS-GVO. Demnach handelt es sich bei einem Empfänger um „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“ Das Gericht verneinte nach eingehender Prüfung hierauf basierend, dass Beschäftigte des Verantwortlichen Empfänger darstellten – zumindest soweit diese personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen verarbeiten (vgl. Art. 29 DS-GVO).

Das Gericht kam somit zu dem Ergebnis, dass vom Auskunftsrecht lediglich nähere Informationen zur Verarbeitung der personenbezogenen Daten, wie zum Beispiel Zeitpunkt und Zweck jeweiliger Abfragen umfasst sind. Informationen über die Identität der Beschäftigten des Verantwortlichen, die personenbezogene Daten ausschließlich nach dessen Weisung verarbeiten, können dagegen im Wege eines geltendgemachten Auskunftsanspruchs nur unter bestimmten Voraussetzungen – keinesfall standardmäßig – offengelegt werden. Dies bedarf einer Prüfung im Einzelfall.

Tipp für die Praxis

Derartige Fallkonstellationen sind in der Praxis nicht selten. Sobald Betroffene herausfinden, dass eine Person womöglich unzulässigerweise auf die eigenen personenbezogenen Daten zugegriffen hat, liegt die Geltendmachung des Rechts auf Auskunft oftmals nahe. Aus diesem Grund sollten Verantwortliche stets die Reichweite von datenschutzrechtlichen Auskunftsansprüchen kennen, um so womöglich auch die Identität beschäftigter Personen zu schützen. Unternehmen sind gut beraten, bei der Beurteilung und Beantwortung von Betroffenenanfragen den Datenschutzbeauftragten zu konsultieren.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Sind die Datenverarbeitungen der SCHUFA Holding AG mit dem europäischen Datenschutzrecht vereinbar? Mit dieser Frage befasst sich derzeit der Europäische Gerichtshof (EuGH) im Rahmen mehrerer Vorabentscheidungsfragen (Rechtssache C-634/21 sowie in den verbundenen Rechtssachen C-26/22 und C-64/22). Am 16. März 2023 wurden nun die Schlussanträge des Generalanwalts veröffentlicht. Auch wenn der EuGH an diese nicht gebunden ist, geben sie jedoch Aufschluss darüber, in welche Richtung die Entscheidung des Gerichts letztendlich gehen könnte.

Hintergrund

Der Rechtssache C-634/21 liegt folgender Sachverhalt zugrunde: Eine Privatperson wandte sich nach der Ablehnung eines Kredits an die SCHUFA und verlangte Auskunft über die verarbeiteten Daten sowie Löschung eines entsprechenden Eintrags. Die SCHUFA kam dieser Aufforderung jedoch nur dahingehend nach, dass sie der betroffenen Person ausschließlich den Score-Wert und lediglich allgemeine Informationen zur Berechnung dieses Wertes mitteilte. Die betroffene Person wandte sich daraufhin mit einer Beschwerde an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), der jedoch mit Verweis auf § 31 Bundesdatenschutzgesetz (BDSG) keinen datenschutzrechtlichen Verstoß feststellen konnte. Die Regelung des § 31 BDSG regelt den Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften unter Berücksichtigung der Anforderungen der Datenschutz-Grundverordnung. Der Petent reichte daraufhin Klage beim Verwaltungsgericht Wiesbaden ein, welches wiederum den Fall dem EuGH vorlegte, um das Verhältnis zu den einschlägigen europäischen Normen klären zu lassen.

Gegenstand der Rechtssachen C-26/22 sowie C-64/22 ist hingegen die grundlegende Frage nach den seitens der SCHUFA praktizierten Löschfristen: Werden Informationen zu Restschuldbefreiungen nach einer Insolvenz durch die Insolvenzgerichte grundsätzlich nach einem halben Jahr gelöscht, erfolgt eine Löschung auf Seiten der SCHUFA erst nach bis zu drei Jahren.

Auffassungen des Generalanwaltes

Die Regelung des Art. 22 DS-GVO sieht vor, dass eine betroffene Person das Recht hat, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wobei grundsätzlich Ausnahmen nach Art. 22 Abs. 2 DS-GVO vorgesehen sind. Der Generalanwalt hält in diesem Zusammenhang fest, dass diese Anforderungen auf das Verfahren der SCHUFA Anwendung finden. Dies wiederum zieht im Rahmen des Auskunftsersuchens der betroffenen Person die Anwendbarkeit des Art. 15 Abs. 1 lit. h) DS-GVO nach sich.

Gemäß Art. 15 Abs. 1 lit. h) DS-GVO hat die betroffene Person das Recht Informationen über das Bestehen einer automatisierten Entscheidungsfindung i.S.d. Art. 21 Abs. 1 und 4 DS-GVO sowie aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person  zu erhalten. Der Generalanwalt führt in diesem Zusammenhang aus, „dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen ist, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die auch für die Anfechtung von „Entscheidungen“ im Sinne von Art. 22 Abs. 1 DSGVO seitens der betroffenen Person nützlich sind.“ Insofern würde dies für Wirtschaftsauskunfteien das Bestehen deutlich erhöhter Transparenzanforderungen bedeuten.

Weiterhin befasst sich der Generalanwalt mit der Frage, ob der nationale Gesetzgeber die Norm des § 31 BDSG in der vorliegenden Form europarechtskonform im nationalen Recht verankern konnte: „In den vorstehenden Nummern habe ich die Frage geprüft, ob die Art. 6 und 22 DSGVO als Rechtsgrundlage für den Erlass einer nationalen Bestimmung wie § 31 BDSG dienen können, um die Rechtmäßigkeit der Erstellung von Score-Werten im Rahmen der Tätigkeiten von Wirtschaftsauskunfteien zu rechtfertigen. […] Zusammenfassend bin ich der Ansicht, dass in Ermangelung von Öffnungsklauseln oder Ausnahmen, […] davon auszugehen ist, dass eine solche nationale Bestimmung nicht mit der DSGVO vereinbar ist.“ Folgt der EuGH dieser Auffassung des Generalanwaltes, kann dies dazu führen, dass die Norm des § 31 BDSG – vergleichbar zu § 4 BDSG bezüglich Videoüberwachungen – zukünftig nicht weiter als Rechtsgrundlage herangezogen werden darf.

Hinsichtlich der Frage der Aufbewahrung fällt die Einschätzung des Generalanwaltes ebenfalls zugunsten der betroffenen Personen aus: „In diesem Kontext ist hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen soll, sich erneut am Wirtschaftsleben zu beteiligen. […] Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht wurden.“ Im Ergebnis zweifelt der Generalanwalt die Legitimität der Datenverarbeitung auf Grundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO hinsichtlich der weiteren Speicherung der personenbezogenen Daten durch eine private Wirtschaftsauskunftei nach der Löschung aus öffentlichen Registern an.

Fazit

Die Praxis von Wirtschaftsauskunfteien wie der SCHUFA werden bereits seit vielen Jahren mit Verweis auf die einschlägigen datenschutzrechtlichen Normen kritisch betrachtet. Rechtsunsicherheiten bestanden darüber hinaus in der Anwendung des § 31 BDSG. Die Schlussanträge des Generalanwaltes lassen auf eine zukünftige klare Abgrenzung datenschutzkonformer Verarbeitungen sowie hinsichtlich der nationalen Regelungsbefugnis hoffen. Insofern darf mit Spannung die Entscheidung des EuGH erwartet werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In welchen Fällen muss ich eine Auskunft an Ermittlungsbehörden erteilen? Vor ziemlich genau zwei Jahren haben wir uns hier schon einmal mit dem diskussionswürdigen und interesseanten Thema befasst. Die Sache ist weiter praxisrelevant und lohnt einen zweiten Blick. Wiederholungen werden vermieden – also am besten den ersten Beitrag gern noch einmal nachlesen.

Eskalationsträchtig

Bei Nachfragen von Ermittlern (meist Polizeibehörden) liegt „Ärger in der Luft“. Für die Beschuldigten von Seiten der Ermittler, für die verantwortliche Stelle (datenschutzrechtlich), aber meist von Seiten der Beschuldigten: Gibt die verantwortliche Stelle Auskünfte ohne Rechtsgrundlage, wird das den Beschuldigten (datenschutzrechtlich „betroffenen Personen“) nicht gefallen. Datenschutzrechtlich gilt: Auskünfte ohne Rechtsgrundlage sind verboten, auch an Strafverfolgungsbehörden.

Ob am Ermittlungsvorwurf „was dran ist“, spielt dafür keine Rolle. Auch Straftäter haben – auch im Datenschutz – Rechte. Und gerade nach „erfolgreichen“ Ermittlungsverfahren gibt es nicht selten Beschwerden der Betroffenen, denen die Datenschutz-Aufsichtsbehörden dann nachzugehen haben. Also aufgepasst, damit es nicht heißt: Geldstrafe für den Straftäter und Geldbuße für den Auskunftgeber!

Einfaches zuerst

Gerade weil datenschutzrechtlich manchmal gar nicht einfach zu beurteilen ist, ob eine Auskunftspflicht oder ein Auskunftsrecht besteht, sollte zumindest ein klarer Ablauf geregelt sein: Wenn Ermittler von einer Behörde oder einem Unternehmen Auskünfte verlangen, müssen die dort Beschäftigten wissen, wie sie sich zu verhalten haben. Meist ist sinnvoll, eine konkrete Anlaufstelle zu benennen, an die solche Anfragen weitergeleitet werden. Je nach Größe und Struktur der verantwortlichen Stelle kann das die Behördens-/Unternehmensleitung sein oder die Rechtsabteilung oder z.B. die/der Datenschutzbeauftragte.

Gibt es solche Vorgaben nicht, werden Beschäftigte häufig (nachvollziehbar) nach der landläufigen Regel handeln: (1) Die Polizei wird schon wissen, ob sie fragen darf und (2) am Ende bekomme ich noch selbst Ärger, wenn ich nicht antworte.

Einzelfallprüfung

Ist die Anfrage dann (möglichst schnell) bei der vorgesehenen Stelle „gelandet“, wird geprüft:

(1) Ist die Anfrage „echt“, stammt sie tatsächlich von einer Ermittlungsbehörde?
Bei telefonischen Anfragen lässt sich dies im Telefonat kaum prüfen. Dann sollte man Namen, Dienststelle und Kontaktdaten abfragen, anschließend (z.B. via Internet) kontrollieren und nur über prüfbare (z.B. im Internet veröffentlichte) Kommunikationswege antworten. Ähnliches gilt bei Anfragen per E-Mail oder Fax: Die Regeln zur Erkennung von Phishing-E-Mails sind recht gut übertragbar. Man prüfe also, ob die Nachricht authentisch wirkt und vor allem, ob die verwendeten / angegebenen Kontaktdaten im Internet verifiziert werden können. Ein Rückruf unter der Telefonnummer, die in der E-Mail angegeben wurde, ist keine sinnvolle Absicherung. Stehen die Ermittler leibhaftig vor der Tür, dann ist das Mindeste und überhaupt nicht ungehörig oder unhöflich, den Dienstausweis zu prüfen und sich die Personalien zu notieren.

(2) Darf beauskunftet werden und gegebenenfalls in welchem Umfang?
Die verantwortliche Stelle muss nicht nach Rechtsgrundlagen suchen, sondern kann deren Benennung von der Ermittlungsbehörde verlangen. Leider sind die von den Ermittlern dann genannten Bestimmungen oft falsch, entweder weil sie im konkreten Fall nicht zutreffen oder weil sie keine Rechtsgrundlage für Auskünfte bieten.

Klassische Beispiele:

„Die DSGVO gilt bei Ermittlungen überhaupt nicht. Dafür gibt es die JI-Richtlinie (Richtlinie 2016/680, für „Justiz und Inneres“).“ Diese Richtlinie gilt zwar für die Ermittlungsbehörde selbst ergänzt und ausgefüllt durch nationales Recht, z.B. das Bundesdatenschutzgesetz, die Strafprozessordnung etc. Die Auskunft der verantwortlichen Stelle bemisst sich jedoch nicht nach der Richtlinie, sondern nach der DS-GVO. Bei der Auskunft handelt es sich um eine Datenverarbeitung der verantwortlichen Stelle (nämlich eine Datenübermittlung), nicht um eine Tätigkeit der Ermittler.

„Wir ermitteln für die Staatsanwaltschaft nach § 163 Strafprozessordnung.“ Daraus ergibt sich kein Auskunftsrecht für Verantwortliche. Ganz im Gegenteil regelt § 163 Abs. 3 StPO z.B. ausdrücklich, dass Zeugen zu einem polizeilichen Vernehmungstermin nicht einmal erscheinen (und auch nicht aussagen) müssen. Diese Pflichten bestehen erst bei entsprechender Anordnung der Staatsanwaltschaft. Eine solche Anordnung müssten die Ermittler dann also nachweisen. Außerdem ergibt sich aus § 163 Abs. 1 StPO noch eine Auskunftspflicht für Behörden (aber eben nur für Behörden) und zwar nur bei Gefahr im Verzug (!): Gemäß § 163 Abs. 1 Satz 2 StPO sind die Ermittler „befugt, alle Behörden um Auskunft zu ersuchen“, können aber nur „bei Gefahr im Verzug auch die Auskunft verlangen“. Berufen sich die Ermittler auf diese Norm, müssen sie den Eilbedarf darstellen. „Gefahr im Verzug“ ist nicht gegeben, wenn eine Entscheidung der Staatsanwaltschaft herbeigeführt werden kann. Für die Praxis heißt das: Hat die Sache 24 Stunden Zeit, gibt es keine Auskunftspflicht nach § 163 Abs. 1 StPO.

„Wir handeln nach dem Landespolizeigesetz (in Sachsen z.B. nach § 18 des Sächsischen Polizeigesetzes)“. Das Polizeirecht regelt nicht die Strafverfolgung, sondern die sogenannte „Gefahrenabwehr“ (also u.a. die Verhütung / Vermeidung von Straftaten). Dafür kann die Polizei meist (z.B. nach § 18 Abs. 3 des Sächsischen Polizeigesetzes) die Personalien ihrer Gesprächspartner erfragen. Weitergehende Auskünfte „zur Sache“ gibt es – wenn nicht andere Gesetze eingreifen – nur in besonders wichtigen Fällen (nach § 18 Abs. 6 Satz 1 i.V.m. Abs. 5 Nr. 1 des Sächsischen Polizeigesetzes z.B. bei „Gefahren für Leben, Gesundheit oder Freiheit einer Person oder für bedeutende fremde Sach- oder Vermögenswerte“). Wenn diese Voraussetzungen nicht vorliegen, dürfen Private (z.B. Nachbarn …) Fragen der Polizei beantworten, müssen es jedoch nicht. Verantwortliche Stellen (und alle Personen, die gemäß Art. 29 DS-GVO für die verantwortlichen Stellen handeln) sind durch die DS-GVO gebunden. Sie dürfen (anders als Private) nicht selbst über die Auskunftserteilung entscheiden (sondern müssen sie – mangels Rechtsgrundlage – verweigern.)

Auch Negativauskünfte sind Auskünfte

Datenschutzrechtlich – aber nicht allen Ermittlern und Befragten – ist klar: Auch die Mitteilung „Sie/er arbeitet hier nicht.“ hat Personenbezug und ist nach denselben Datenschutz-Regeln zu betrachten, wie die Positiv-Angabe.

Oft vergessen: Informationspflicht?

Die vom Ermittler angefragten Informationen waren bei der verantwortlichen Stelle ganz sicher nicht für den Zweck gespeichert, Ermittlungsanfragen zu beantworten. In dieser Verwendung (unterstellen wir einmal, die Auskunft war auf einer bestimmten Rechtsgrundlage zu erteilen) liegt also eine Zweckänderung. Wie steht es dann mit Art. 14 Abs. 4 DS-GVO? Muss der Verantwortliche vor der Auskunft an die Ermittlungsbehörde zuerst die betroffene Person informieren? „Das wäre ja noch schöner“ denkt und sagt die Ermittlungsbehörde. Auch hier gilt jedoch: Heimliche Datenverarbeitungen sind der verantwortlichen Stelle nach DS-GVO grundsätzlich nicht erlaubt. Von den Ermittlern darf (und muss gegebenenfalls) eine Rechtsgrundlage verlangt werden, die den Auskunftgebern das Schweigen vorschreibt (und datenschutzrechtlich erlaubt).

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie in unserem Beitrag der letzten Woche bereits angedroht, soll zumindest noch eine zweite Frage zu Art. 15 DS-GVO behandelt werden, die einige „Sprengkraft“ besitzt, trotzdem bisher in der Fachliteratur noch weitestgehend unberücksichtigt blieb:

Frage

Nachdem ein Verantwortlicher und eine betroffene Person lange über einen Auskunftsanspruch gestritten haben, hat man sich letztlich „glücklich“ geeinigt. Die betroffene Person erhält eine Auskunft sowie womöglich noch weitere Leistungen und verzichtet auf weitergehende Ansprüche. Ist ein solcher Verzicht überhaupt rechtswirksam oder kann die betroffene Person zwei Tage später einen neuen Auskunftsanspruch erheben?

Antwort: Bekanntlich erfreut sich das Auskunftsrecht nach Art. 15 DS-GVO momentan und schon seit einigen Jahren großer Beliebtheit, wenn Beschäftigte – meist nach Beendigung des Arbeitsverhältnisses – mit dem früheren Arbeitgeber, gleichgültig, ob Behörde oder Unternehmen, im Streit liegen und juristische Möglichkeiten suchen, die eigene Position zu verbessern. Der Auskunftsanspruch eignet sich dafür auf den ersten Blick sehr gut:

– Der Arbeitgeber ist zum Handeln gezwungen, ob er will oder nicht.
– Kosten dürfen dem Arbeitnehmer prinzipiell nicht berechnet werden.
– Für die Auskunftspflichten ist eine (Monats-)Frist gesetzt, die der Arbeitgeber zwar mit Begründung, aber nicht „unendlich“ verlängern kann.
– Bei Untätigkeit des Arbeitgebers ist die/der frühere Beschäftigte nicht auf ein Gerichtsverfahren angewiesen, das wiederum Kosten verursachen könnte, sondern kann auch für den Arbeitgeber unangenehme Beschwerde bei der Datenschutz-Aufsichtsbehörde führen.
– Der Arbeitgeber kann nicht „mit gleicher Münze“ antworten, weil ein Auskunftsanspruch zu seinen Gunsten nicht besteht.

Die arbeitsgerichtlichen Entscheidungen in erster und zweiter Instanz zu Art. 15 DS-GVO sind mittlerweile kaum noch überschaubar. Anfangs sorgte vor allem ein Urteil des LAG Baden-Württemberg für Furore (Urt. v. 20.12.2018, Az. 17 Sa 11/18). Der Arbeitgeber hatte dort ein in der Berufungsinstanz erhobenes Auskunftsbegehren des Arbeitnehmers nicht ausreichend ernst genommen und pauschal die Auskunft mit Verweis auf nötige Geheimhaltung abgelehnt. Das LAG verurteilte den Arbeitgeber umfassend zur Auskunft sowie Herausgabe einer entsprechenden Kopie. Das Revisionsverfahren beim Bundesarbeitsgericht endete durch Einigung zwischen den Parteien, also ohne Urteil des BAG. Diese sehr frühe Entscheidung zur DS-GVO (noch im Dezember 2018) hat den Blick vieler Arbeitsrechtler auf Art. 15 DS-GVO gelenkt und dafür gesorgt, dass die Auskunftsansprüche fortan häufiger z.B. in Kündigungsschutzverfahren auftauchten. Inzwischen geht die Tendenz der Arbeits- und Landesarbeitsgerichte (wenn man eine allgemeine Tendenz überhaupt feststellen kann) dahin, den Auskunftsanspruch mit verschiedensten Begründungen einzugrenzen. Juristisch sind diese Versuche oft wenig überzeugend und wirken gekünstelt, weil der (europarechtlich, also nationale Normen verdrängende) Art. 15 DS-GVO tatsächlich nach seinem Wortlaut sehr weitgehende Forderungen erlaubt.

Letztlich wird – wie immer bei der Auslegung von EU-Recht – der Europäische Gerichtshof entscheiden. Bisher hatte er dazu aber keine Gelegenheit, weil die deutschen Arbeitsgerichte Rechtsfragen zu Art. 15 DS-GVO nicht dem EuGH vorlegen, sondern selbst entscheiden.

Arbeitgeberseits liegt die Idee nahe, Rechtsunsicherheit durch Einigungen („Vergleichsabschlüsse“) zu beseitigen. Den Arbeitnehmern als „betroffenen Personen“ wird der Auskunftsanspruch gelegentlich „abgekauft“. Dabei stellt sich jedoch – bei etwas genauerem Hinsehen – die Frage: Funktioniert das? Und zwar rechtssicher? Beim Auskunftsanspruch nach Art. 15 DS-GVO handelt es sich um zwingendes Recht, also eine Rechtsposition, die die betroffene Person jedenfalls für die Zukunft nicht aufgeben kann. Wäre es anders, würden betroffene Personen landauf und landab von den Verantwortlichen gebeten, entsprechende Verzichtserklärungen zu unterschreiben.

In der Fachliteratur wird – soweit man das Thema erörtert – meist auf das Verbot missbräuchlichen und widersprüchlichen Verhaltens verwiesen. Diese Überlegung trägt aber nicht sicher: Wenn man wegen des zwingenden Charakters der Betroffenenrechte einen Rechtsverzicht ausschließt und für unwirksam hält, kann man betroffenen Personen kaum verweigern, dass sie sich auf diese Unwirksamkeit ihres Verzichts dann berufen und wieder Auskunft verlangen.

Eine Kontrollüberlegung führt in das nationale Mindestlohngesetz (MiLoG): Auch der Verzicht auf Mindestlohnansprüche ist gesetzlich ausgeschlossen. In § 3 Satz 2 MiLoG wird davon ausdrücklich nur der Verzicht auf entstandene Ansprüche und auch nur „durch gerichtlichen Vergleich“ ausgenommen. Mit anderen Worten: Auch wenn Arbeitnehmer ausdrücklich auf Mindestlohnansprüche verzichten, ist dies unwirksam, außer dies geschieht durch gerichtlichen Vergleich und bezogen auf Ansprüche der Vergangenheit. Nun mag man versucht sein, dies auf Art. 15 DS-GVO zu übertragen. Nur: Die Ausnahme (Wirksamkeit eines Verzichts in einem gerichtlichen Vergleich) findet sich nicht im Gesetzestext. Ob der EuGH sie in die DS-GVO „hineinliest““, bleibt abzuwarten.

FAZIT

Momentan könnte eine praktische Empfehlung lauten: Verzichtserklärungen sollten jedenfalls ausdrücklich auf die Vergangenheit, d.h. auf Datenverarbeitungen bis zum Tag der Einigung, begrenzt werden. Weitergehende Verzichte auch für die Zukunft haben keine Wirksamkeits-Chance. Außerdem sollte zusätzlich festgeschrieben werden, dass betroffene Person und verantwortliche Stelle (Arbeitnehmer und Arbeitgeber) einig darüber sind, dass alle rechtlich geschuldeten Auskünfte bis zum Tag der Einigung einwandfrei und vollständig erteilt wurden. Eine solche Verständigung darüber, dass Ansprüche für die Vergangenheit erfüllt sind, ist juristisch nicht dasselbe wie ein Verzicht. Man bestätigt ja nicht, dass man etwas nicht haben will, sondern dass man es ausreichender Art und Weise bereits erhalten hat. Ähnlich wird im Arbeitsrecht z.B. mit Urlaubsansprüchen verfahren, wenn anstelle des – gesetzlich unzulässigen – Urlaubsverzichts die Beteiligten gemeinsam festhalten, dass der Urlaub vollständig in Natur gewährt wurde. Auch das Steuerrecht kennt entsprechendes Vorgehen bei der sogenannten „tatsächlichen Verständigung“: Die Finanzämter dürfen sich mit Steuerpflichtigen nicht über Rechtsfragen „vergleichen“, sich aber bei strittigen Fragen mit ihnen über den Sachverhalt „verständigen“.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Auskunftsrecht der betroffenen Personen ist für den Datenschutz und das informationelle Selbstbestimmungsrecht unverzichtbar. Nur wenn Betroffene wissen oder zumindest erfahren können, wer ihre Daten verarbeitet und wie dies geschieht, können sie Entscheidungen treffen, Rechte geltend machen und durchsetzen. Die Ausgestaltung des Auskunftsanspruchs in der DS-GVO (und erst recht die enorme Erweiterung durch den Anspruch auf ungefragte „Information“ – aber dies ist einen eigenen Blog-Beitrag wert) schafft in der Praxis viele Fragen. Einige sollen hier näher betrachtet werden.

Frage:

Der Verantwortliche erhält eine Auskunftsanfrage, prüft seine Datenbestände und stellt fest, dass zur betroffenen Person tatsächlich noch Daten vorhanden sind, die längst hätten gelöscht werden müssen. Darf die Löschung jetzt erfolgen und der betroffenen Person anschließend eine Negativauskunft gegeben werden oder muss die Löschung „zwecks Mitteilung des Rechtsverstoßes an die betroffene Person“ unterbleiben?

Antwort: Es geht um den Umfang der geschuldeten Auskunft, in gewisser Hinsicht auch um den Bezugszeitpunkt: Müssen die bei Auskunftserteilung oder die bei Eingang des Auskunftsantrags laufenden Datenverarbeitungen mitgeteilt werden? Nach Sinn und Zweck der Vorschrift wird mindestens das zu beauskunften sein, was im Zeitpunkt der Auskunftserteilung beim Verantwortlichen vorhanden ist. Mit anderen Worten: Wenn nach Eingang des Auskunftsantrags neue Datenverarbeitungen zur betroffenen Person beginnen, sind auch diese Verarbeitungen in die Auskunft aufzunehmen. Andere Auffassungen scheint es auch in der Fachliteratur nicht zu geben. Hinweise und Gegenargumente sind aber unter der am Ende genannten E-Mail-Adresse hier und generell willkommen.

Weiter ist klar, dass der Verantwortliche über gelöschte Daten keine Auskunft mehr erteilen kann. Insoweit gilt „weg ist weg“. Oder spiegelbildlich formuliert: Was der Verantwortliche noch beauskunften kann, ist nicht wirklich gelöscht. Bleibt die Frage, ob Löschungen zwischen Auskunftsantrag und Auskunftserteilung erlaubt sind. Auch sie lässt sich noch in zwei Teilfragen zerlegen.

Teilfrage 1:

Bewirkt der Auskunftsantrag ein Einfrieren der Datenverarbeitungen beim Verantwortlichen? Darf also die verantwortliche Stelle nach Eingang eines Auskunftsantrags erst dann überhaupt wieder Daten löschen, wenn sie die auskunftsrelevanten Daten „beiseite gelegt“ hat?

Antwort: In der Fachliteratur wird teilweise vertreten, der Auskunftsanspruch betreffe „vollumfänglich […] alle bei Auskunftsersuchen vorliegenden Daten“ (z.B. Taeger/Gabel/Mester Art. 15 DSGVO Rn. 3 m.w.N.), ohne die Konsequenz eines kompletten „Löschverbots“ beim Verantwortlichen anzusprechen. Mit Blick auf „große“ verantwortliche Stellen (massenhafte Datenverarbeitungen, auch automatisierte und in kurzen Frequenzen für verschiedene Verarbeitungsprozesse stattfindende Löschungen) wird deutlich, was auch auf „kleine“ Verantwortliche übertragen werden muss: Die verantwortliche Stelle hat ihre Löschpflichten, die gegenüber anderen betroffenen Personen weiterhin bestehen, zu erfüllen; sie muss und darf Löschpflichten nicht verschieben. Niemand kann also durch eigene Auskunftsanträge bewirken, dass bei verantwortlichen Stellen Löschprozesse angehalten werden.

Teilfrage 2:

Darf oder muss der Verantwortliche Daten der Auskunft fordernden, betroffenen Person gezielt löschen und danach logisch zwingend: insoweit keine Auskunft mehr erteilen, wenn er bei Bearbeitung des Auskunftsantrags feststellt, dass die Daten nicht mehr gespeichert sein dürften?

Antwort: Dazu gehen die Meinungen auseinander. Beide Antworten sind juristisch vertretbar. Die DS-GVO gibt nichts Eindeutiges vor und der Europäische Gerichtshof hat sich noch nicht geäußert. Für ein insoweit bestehendes Löschverbot und komplette Auskunftspflicht könnte man hauptsächlich anführen, dass Verantwortliche ansonsten Datenschutzverstöße vertuschen und Sanktionen, z.B. Schadensersatzforderungen, und Bußgelder, vermeiden könnten. Gegen das Löschverbot und für die „Selbstkorrektur“ des Verantwortlichen lässt sich argumentieren, dass der Verantwortliche – wenn auch verspätet – seine Rechtspflichten erfüllt und bei datenschutzkonformer Löschung dadurch auch der Betroffene geschützt ist. Wenn man Löschungen nach Auskunftsantrag „im Rahmen regelmäßiger informationeller Verwaltung / Geschäftsführung“ erlaubt, jedoch „nicht etwa […] in Reaktion auf einen Löschungsantrag“ (v. Lewinski/Rüpke/Eckhardt, Datenschutzrecht, § 15 Rn. 21 in Fn. 34), bedeutet das: Der Verantwortliche darf nur die Daten des Auskunft fordernden Betroffenen nicht löschen und muss sie weiter speichern; alle bei selber Gelegenheit gefundenen Daten andererBetroffener müssen umgehend gelöscht werden.

Die Befürworter des „Löschverbots“ können wiederum darauf verweisen, dass in bestimmten Situationen für die betroffene Person gerade wichtig sein kann, eine rechtswidrige Datenspeicherung nachzuweisen. (Lebensfremdes Lehrbuch-Beispiel: Eine Bewerberin wird vom potentiellen Arbeitgeber abgelehnt mit Verweis auf ihr schlechtes Abiturzeugnis. Das Zeugnis hat sie selbst nicht vorgelegt; es befindet sich ihres Wissens noch bei der Schulbehörde und einem früheren Arbeitgeber. Sie stellt Auskunftsantrag nach Art. 15 DSGVO beim früheren Arbeitgeber.) Darauf entgegnen die Anhänger der Löschbefugnis vielleicht: Im Rechtsstaat gilt als Verfassungsprinzip, das niemand gezwungen werden darf, sich selbst zu belasten (Rechtslatein: „nemo tenetur se ipsum accusare“). Würde man den Auskunftsanspruch so verstehen, dass er den Verantwortlichen zwingt, selbst der betroffenen Person die Beweise für einen Rechtsverstoß und damit die „Waffen“ für Schadenersatzprozess und Bußgeldverfahren in die Hand zu geben, wäre dies eine klare Pflicht zur Selbstbelastung.

Gegen-Gegenargument: Der genannte Grundsatz gilt im EU-Recht nicht uneingeschränkt und ist auch in der DS-GVO teilweise klar durchbrochen, beispielsweise hinsichtlich der Verpflichtung zur Meldung der Verletzng des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemäß Art. 33 Abs. 1 DS-GVO. Befürworter der Löschbefugnis: Dann muss die Lösung aber doch zumindest in jenen Fällen erlaubt sein, in denen die Daten untrennbar auch Dritte betreffen und zu deren Schutz gelöscht werden müssen (Art. 15 Abs. 4 DSGVO). Erwiderung darauf: Es ist ja schon streitig, ob sich Art. 15 Abs. 4 überhaupt auf Abs. 1 anwenden lässt oder wie der Wortlaut nahelegt nur für den Kopie-Anspruch nach Abs. 3 gilt … .

Fazit

Und wo ist die versprochene Antwort? Längst gegeben und im Text gut versteckt: Beide Auffassungen sind juristisch mit anständigen Argumenten vertretbar – und für die Praxis verbindlich entschieden wird das Thema – vielleicht einmal – durch den EuGH. Persönlich neige ich (derzeit) eher zur „Löschbefugnis“. Und bei echtem Missbrauchsverdacht wäre Betroffenen natürlich wegen des tatsächlichen Löschrisikos alternativ zu empfehlen, die Möglichkeit der Beschwerde bei der Aufsichtsbehörde anstelle des Auskunftsantrags zu nutzen. Die Aufsichtsbehörde kann – muss nicht – ein größeres Instrumentarium einsetzen, um den Verdacht aufzuklären. Eine weitere Frage zum Thema Auskunftsrecht klären wir in der kommenden Woche.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

DIE RECHTLICHE ZULÄSSIGKEIT STELLT DOCH DIE ANFRAGENDE BEHÖRDE SICHER, ODER?

Nein! Zunächst einmal ist es wichtig, dass Sie sich vor Augen halten, dass die anfragende Behörde Fragen stellen darf, dies aber noch nicht zwingend heißt, dass Sie diese auch beantworten dürfen/müssen. Grundsätzlich ist nämlich die übermittelnde Stelle für die Datenverarbeitung verantwortlich, sodass erhebliche Bußgelder oder Klageverfahren drohen können. Gerade im Falle von Ermittlungsverfahren ist das Eskalationsrisiko hoch! Ausnahmen vom Verantwortlichkeitsgrundsatz können sich in bestimmten Fällen jedoch aus dem Landesrecht oder spezialgesetzlichen Vorschriften z.B. für Übermittlungen durch eine öffentliche Stelle des Landes an eine andere öffentliche Stelle, beispielsweise gemäß § 6 Abs. 1 Satz 2 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) ergeben.

Sowohl die übermittelnde als auch die empfangende Stelle benötigen auch in Straf- und Ermittlungsverfahren für die Datenverarbeitung eine Rechtsgrundlage („Verbot mit Erlaubnisvorbehalt“). In der Regel werden die Daten ursprünglich für einen anderen Zweck erhoben worden sein, sodass es sich um eine „Weiterverarbeitung zu einem anderen Zweck“ handelt. Die Datenschutz-Grundverordnung enthält keine spezielle Übermittlungsgrundlage zur Abwehr von Gefahren für die staatliche/öffentliche Sicherheit und die Verfolgung von Straftaten. Diese ergeben sich jedoch zum Teil aus dem Bundes- bzw. Landesrecht, beispielsweise § 24 Bundesdatenschutzgesetz (BDSG), § 4 Abs. 1 Nr. 3 SächsDSDG. Gemäß § 24 Abs. 1 Nr. 1 BDSG ist die Übermittlung zulässig, wenn die Daten zur Verfolgung von Straftaten (keine Ordnungswidrigkeiten!) erforderlich sind und die Interessen des Betroffenen an dem Ausschluss der Übermittlung nicht überwiegen. Für die empfangende Behörde wird sich die Erhebungs- bzw. Ermittlungsbefugnis i.d.R. aus den spezialgesetzlichen Regelungen ergeben (beispielsweise Strafprozessordnung, Polizeigesetze der Länder, Mindestlohngesetz, Schwarzarbeitsbekämpfungsgesetz).

DATENSCHUTZ IST KEIN TÄTERSCHUTZ

Immer wieder sieht sich der Datenschutz mit dem Vorwurf konfrontiert, dass er die Täter schützen würde. Dies ist jedoch nicht der Fall! Vielmehr sind generelle/großflächige Überwachungsmaßnahmen bereits mit Blick auf die – unserem Rechtssystem zu Recht zu Grunde liegende – Unschuldsvermutung problematisch, da man damit alle betroffenen Personen einem Generalverdacht aussetzt. Umgekehrt ist die Verarbeitung der Daten der Täter aber auf Basis konkreter Verdachtsmomente und im erforderlichen – das heißt insbesondere auch verhältnismäßigen – Umfang zulässig. Im Rahmen der Interessenabwägung spielt auch das Verhalten der betroffenen Person, also z.B. dessen Schuld oder der konkrete Vorwurf eine wesentliche Rolle. Das Interesse, einer Strafverfolgung zu entgehen, wird aber gerade nicht geschützt. Gleichzeitig sollen „Bagatellvorwürfe“ nicht zu einem unverhältnismäßigen Risiko für unsere Freiheitsrechte z.B. durch einen stetigen Überwachungsdruck führen.

Straf- und Ermittlungsbehörden wollen und sollen – zum Wohle der Allgemeinheit und im Rahmen ihrer gesetzlichen Aufgaben – Beweise sammeln bzw. Tatverdächtige finden. Hierfür müssen umfangreiche Daten erarbeitet werden und es ist verständlich, dass auch bestehende Datensammlungen von Unternehmen und sonstigen Einrichtungen genutzt werden (sollen). Dabei darf aber nicht übersehen werden, dass sich die angefragte Stelle in einer zum einen rechtlich angreifbaren Position befindet, zum anderen aber natürlich i.d.R. auch ein legitimes Interesse besteht, die eigenen Mitarbeiter, Kunden o.ä. zu schützen. Die Straf- und Ermittlungsbehörden sollten dies daher im Rahmen Ihrer Anfragen berücksichtigen und bei ihren Anfragen Sorgfalt und Verständnis zeigen.

AUCH WENN DRUCK AUFGEBAUT WIRD: BLEIBEN SIE RUHIG UND GELASSEN!

Verlangen Sie grundsätzlich ein schriftliches Auskunftsersuchen bzw. bei sensiblen Anfragen einen entsprechenden Bescheid der Staatsanwaltschaft. Telefonische Auskünfte sollten grundsätzlich nicht erteilt werden, da Sie in diesem Fall i.d.R. nicht sicherstellen können, dass die anfragende Person tatsächlich offiziell im Auftrag der Behörde anfragt. Lässt sich dies im Einzelfall aufgrund besonderer Eile nicht umgehen, prüfen Sie die Echtheit, indem Sie die Hauptnummer der Dienststelle recherchieren und sich verbinden lassen. Unterziehen Sie auch Anfragen per Mail und Fax einer bestmöglichen Echtheitskontrolle. Unabhängig davon fehlen bei mündlichen Anfragen im Zweifel wichtige Nachweise („Rechenschaftspflicht“).

Neben einem Ermittlungs- bzw. Aktenzeichen sollte sich aus der Anfrage immer ergeben, um welchen Tatvorwurf es sich handelt bzw. was der Zweck der Anfrage ist und auf welche Rechtsgrundlage die Ermittlungsbehörde sich stützt. Dies benötigen Sie, um zu prüfen, ob die Anfrage sich im Rahmen der Zuständigkeit der anfragenden Stelle bewegt und für die Aufgabenerfüllung erforderlich ist sowie gegebenenfalls im Rahmen einer erforderlichen Interessenabwägung.

Das Auskunftsersuchen sollte grundsätzlich auch beinhalten, inwieweit eine Pflicht zur Auskunft besteht. Ist dies nicht der Fall, sollte eine etwaige Verpflichtung erfragt werden. Eine datenschutzrechtliche Übermittlungsbefugnis beinhaltet grundsätzlich keine Verpflichtung. Eine solche kann sich aber aus der Strafprozessordnung (u.a. §§ 95, 98a 161a Abs. 1 oder 163 Abs. 3 StPO) oder spezialgesetzlichen Normen z.B. durch § 32 Bundesmeldegesetz, §§ 15 ff. Mindestlohngesetz ergeben. Die Abklärung einer Auskunftspflicht dient der zusätzlichen Absicherung der übermittelnden Stelle, da die Datenübermittlung in diesem Fall auch von Art. 6 Abs. 1 lit. c DS-GVO („rechtliche Verpflichtung“) gedeckt ist.

Es sollten immer nur die tatsächlich erforderlichen Daten übermittelt werden. Beispielsweise sollte eine Herausgabe vollständiger Personallisten der letzten Jahre hinsichtlich der Verhältnismäßigkeit hinterfragt werden. Sind Sie der Ansicht, dass abgefragte Daten keine Aussagen zu den fraglichen Punkten treffen, so besprechen Sie dies im Vorfeld mit der anfragenden Stelle. Lassen die von der anfragenden Stelle übermittelnden Daten keine eindeutige Zuordnung zu einer Person zu (z.B. Namensgleichheit), so bitten Sie um weitere Informationen bzw. versuchen Sie den Kreis im Gespräch mit der ermittelnden Stelle weiter einzuschränken.

Selbstverständlich sind bei der Datenübermittlung an Behörden entsprechende technische und organisatorische Maßnahmen (z.B. Artt. 32, 25 DS-GVO) zu gewährleisten, z.B. persönliche Übergabe, Verschlüsselung, Einschreiben.

Zu guter Letzt muss geprüft werden, inwieweit die Betroffenen über die Datenübermittlung informiert werden müssen (Art. 13 DS-GVO). Offizielle Auskunftsanfragen bzw. Bescheide der Staatsanwaltschaft untersagen dies i.d.R., um eine Gefährdung des Ermittlungsverfahrens auszuschließen. Unabhängig davon kann die Informationspflicht aber auch bereits gesetzliche ausgeschlossen sein (z.B. §§ 32, 33 BDSG, § 8 SächsDSDG oder spezialgesetzlich). Im Zweifel fragen Sie bitte im Vorfeld einer Information bei der anfragenden Stelle nach.

FAZIT

Der richtige Umgang mit Auskunftsanfragen von Straf- und Ermittlungsbehörden ist abhängig von den Umständen des Einzelfalls und birgt u.U. hohe Haftungsrisiken. Die Bearbeitung sollte entsprechend sorgfältig erfolgen und dokumentiert werden. Im Zweifel sollten Sie die Anfrage daher immer an Ihre/n Datenschutzbeauftragte/n weiterleiten und mit diesem/r das weitere Vorgehen besprechen.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.