Schlagwort: Betroffenenrechte

DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL III

27/12/2021

In unserem Datenschutz-Jahresrückblick Teil I und Teil II haben wir uns bereits die Monate Januar bis August unter datenschutzrechtlichen Gesichtspunkten betrachtet. In unserem heutigen und letzten Teil des Jahresrückblickes widmen wir uns den Monaten September und Dezember und greifen insbesondere die Themen TTDSG, Verarbeitung von Immunisierungs- und Testdaten von Beschäftigten sowie die jüngst aufgetretene Log4j-Sicherheitslücke auf:


SEPTEMBER 2021

Der September begann sogleich mit der Verhängung eines enormen Bußgeldes der irischen Aufsichtsbehörde in Höhe von 225 Millionen Euro gegenüber WhatsApp. Bemängelt wurde seitens der Aufsichtsbehörde insbesondere die intransparente Datenverarbeitung von WhatsApp, einschließlich der  Übermittlung von personenbezogenen Daten von Nutzenden an Facebook. Das Unternehmen WhatsApp Ireland Ltd. hat bereits angekündigt, gegen den Bußgeldbescheid vorzugehen. Zwar mag die Verhängung eines solchen Bußgeld als ein erster Erfolg gegen die zum Teil datenschutzrechtlich fragwürdigen Verarbeitungspraktiken großer Konzerne gewertet werden. Jedoch stellen die benannten 225 Millionen Euro lediglich einen geringen Bruchteil eines Prozentes des weltweit erzielten Jahresumsatzes des Unternehmens dar. Die Datenschutz-Grundverordnung (DS-GVO) sieht im Rahmen des Art. 82 Abs. 5 lit. a) und b) DS-GVO in Fällen von Verstößen gegen die Rechtmäßigkeit und Transparenz von Datenverarbeitungen ein Bußgeld von bis zu vier Prozent des weltweit erzielten Vorjahresumsatzes vor. Demnach hätte das Bußgeld auch 50-mal höher ausfallen können.

Weiterhin ist auch die Entscheidung des OLG Brandenburg (Beschl. v. 11.08.2021 – Az.: 1 U 69/20) als wesentliches Ereignis zu betrachten. Das Gericht stellte im Rahmen seines Beschlusses klar, dass es für einen Schadensersatzanspruch nach Art. 82 DS-GVO einer konkreten Schädigung der betroffenen Person bedarf. Die Richter verwiesen diesbezüglich auf die Regelung des Art. 82 Abs. 3 DS-GVO in Verbindung mit Erwägungsgrund 146 Satz 2 zur DS-GVO, wonach es des Nachweises eines konkreten Schadens bedarf. Der einfache Verweis auf die Rechtswidrigkeit einer Datenverarbeitung und daraus lediglich potenziell entstehender Nachteile für die betroffene Person reiche demnach nicht aus, um einen Schadenersatzanspruch zu begründen. Der benannte Beschluss steht damit im Einklang mit der Entscheidung des OLG Düsseldorf in einem ähnlich gelagerten Fall (Beschl. v. 16.02.2021 – Az.: 16 U 269/20).


OKTOBER 2021

Im Laufe des Jahres berichteten wir im Rahmen unseres Blogs über verschiedene Betroffenenrechte. So unter anderem über das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung sowie das Recht auf Einschränkung der Verarbeitung. Im datenschutzrechtlichen Alltag der verantwortlichen Stellen und der Entscheidungspraxis der Gerichte kommt neben dem Recht auf Löschung dem Auskunftsrecht jedoch mit Abstand die wohl größte Bedeutung zu. Dies zeigt auch umso mehr die Entscheidung des OLG München (Urt. v. 04.10.2021 – Az.: 3 U 2906/20). Das Gericht entschied in dem benannten Prozess, dass von einem Auskunftsanspruch nach Art. 15 Abs. 3 DS-GVO grundsätzlich sämtliche personenbezogene Daten, also auch Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe umfasst sind. Es stellte in diesem Zusammenhang klar, dass sich das Auskunftsrecht nicht ausschließlich auf besonders sensible oder private Informationen beschränkt, sondern grundsätzlich alle Informationen betrifft, die aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind. Das Gericht folgt damit dem Verständnis einer besonders weiten Auslegung des Auskunftsrechts nach Art. 15 DS-GVO.

Auch direkt die Tätigkeit der Datenschutzbeauftragten betreffend bot der Oktober 2021 Interessantes in Bezug auf die Rechtsprechung. Das OLG München befand in seinem Urteil (Urt. v. 27.10.2021 – Az.: 20 U 7051/20), dass ein externer Datenschutzbeauftragter nicht für die datenschutzrechtlichen Verstöße seines Auftraggebers haften kann. Das Gericht begründete diese Entscheidung damit, dass sich die datenschutzrechtlichen Verpflichtungen grundsätzlich gegen den Verantwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO richten, von welchem der Datenschutzbeauftragte klar zu unterscheiden sei. Art. 39 Abs. 1 DS-GVO sieht für den Datenschutzbeauftragten insbesondere die Aufgaben der Unterrichtung und Beratung des Verantwortlichen sowie die Überwachung der Einhaltung der Datenschutzvorschriften vor.


NOVEMBER 2021

Nachdem wir uns bereits im September und Oktober 2021 mit dem datenschutzrechtlichen Hintergrund der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber befasst hatten, traten nun im November 2021 einige wesentliche Änderungen des Infektionsschutzgesetzes (IfSG) in Kraft. Das Hauptaugenmerk war und ist dabei auf die Regelung des § 28b Abs. 3 IfSG zu legen. Demnach sind alle Arbeitgeber sowie die Leitungen der in § 28b Absatz 1 Satz 1 und Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen dazu verpflichtet, die Einhaltung des Infektionsschutzes durch Nachweiskontrollen des Impf-, Test- und Genesenenstatus täglich zu überwachen und regelmäßig zu kontrollieren. Die hierfür verarbeiteten personenbezogenen Daten sind nach § 28b Abs. 3 IfSG spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen. Mit dieser Regelung schuf der Gesetzgeber eine ausdrückliche rechtliche Grundlage zur Verarbeitung der jeweiligen Gesundheitsdaten. Aus datenschutzrechtlichen Gesichtspunkten wurde die hinsichtlich der konkreten Umsetzung jedoch sehr unspezifische Gestaltung der Norm teilweise auch kritisiert.


DEZEMBER 2021

Mit Beginn des Dezembers trat auch das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel dieses Gesetzes ist die Anpassung der datenschutzrelevanten Bestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung sowie Umsetzung der ePrivacy-Richtlinie. Das TTDSG sieht unter anderem Regelungen zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation, zum digitalen Erbe, hinsichtlich Cookies sowie zu Diensten zur Einwilligungsverwaltung vor. Im Rahmen unserer Beiträge in diesem Jahr betrachteten wir darüber hinaus die (potenziellen) Auswirkungen des TTDSG auf Videokonferenzdienste sowie hinsichtlich der Privatnutzung betrieblicher Informations- und Kommunikationstechnik.

Zur Monatsmitte und dementsprechend nur noch wenige Tage von Weihnachten entfernt, sorgt(e) die Cyber-Sicherheitswarnung der Warnstufe Rot des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Aufsehen und eine Menge Arbeit. Eine kritische sowie zwei weitere Schwachstellen in der Java-Protokollierungsbibliothek „Log4j“ führen auch gegenwärtig nach der Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Aufgrund der Vielzahl vonProdukten, die „Log4j“ verwenden, besteht eine unüberschaubare Vielfalt von verwundbaren Anwendungen. Hierunter können grundsätzlich zum Beispiel Client-Anwendungen, Internetseiten und automatisierte Schnittstellen fallen. Das BSI hat in diesem Zusammenhang das „Arbeitspapier Detektion und Reaktion“ zum Umgang mit der kritischen Schwachstelle veröffentlicht. Weiterhin trägt das BSI sämtliche relevanten Informationen auf einer eigens eingerichteten Unterseite zusammen und aktualisiert fortlaufend die darauf enthaltenen Einträge. Darüber hinaus lassen sich dort ebenfalls weiterführende Informationen für Verbraucherinnen und Verbraucher finden.

Zum Ende des letzten Teils unseres Jahresrückblickes werden wir nun noch etwas regionaler: Zum 31. Dezember 2021 endet die knapp 18-jährige Amtszeit des derzeitigen Sächsischen Datenschutzbeauftragten Andreas Schurig. Am 21. Dezember 2021 wählte der Sächsische Landtag Dr. Juliane Hundert zur neuen Sächsischen Datenschutzbeauftragten. Dr. Juliane Hundert ist Juristin und arbeitete bereits seit über zehn Jahren als Parlamentarische Beraterin bei der Fraktion Bündnis 90/Die Grünen des Sächsischen Landtags. Die Dauer der Amtszeit ihres Vorgängers wird sie voraussichtlich jedoch nicht erreichen können: Das Sächsische Datenschutzdurchführungsgesetz (SächsDSDG) sieht seit Mai 2018 in § 16 Abs. 3 SächsDSDG lediglich eine Amtszeit von sechs Jahren sowie eine einmalige Wiederwahl vor.

Damit beenden wir nun unseren Datenschutz-Jahresrückblick für das Jahr 2021. Insgesamt lässt sich zusammenfassen, dass die vergangenen zwölf Monate auch datenschutzrechtlich einige Herausforderungen boten. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leser unseres Datenschutz-Blogs auch in diesem Jahr begleitet haben und sind mit Ihnen gemeinsam gespannt, welche Aufgaben auf uns im neuen Jahr warten. In diesem Sinne wünschen wir Ihnen einen guten und vor allem gesunden Start in das Jahr 2022!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betroffenenrechte
  • Infektionsschutzgesetz
  • Jahresrückblick
  • Log4j
  • TTDSG
Lesen

AUSKUNFTS- UND SCHADENERSATZANSPRUCH NACH BEENDIGUNG EINES ANWALTSVERTRAGES

01/11/2021

In seinem Urteil vom 1.7.2021 (Az.: 15 O 372/20 – Urteil ist bisher noch nicht frei zugänglich) hat sich das Landgericht (LG) Bonn mit dem für Berufsgeheimnisträger praxisrelevanten Auskunftsanspruch samt Herausgabe einer Kopie der Handakte gemäß Art. 15 DS-GVO befasst. Der nachfolgende Beitrag beschäftigt sich mit dem konkreten Sachverhalt des Urteils sowie der Entscheidung des Gerichts und die damit verbundene Auswirkung für die Praxis.


WORUM GEHT ES IN DEM URTEIL?

Ursprünglich wurde die Rechtsanwaltskanzlei für die Mandantin in einer Verkehrsunfallsstreitigkeit sowie einer Schadenssache tätig. Nachdem das Mandat gekündigt wurde, forderte die Mandantin die Kanzlei zur Erteilung einer vollständigen Datenauskunft einschließlich einer Kopie der Handakte auf. Durch den neuen Prozessbevollmächtigten wurden schließlich gerichtlich u.a. Ansprüche auf Auskunft und Kopie sowie Schmerzensgeld geltend gemacht. Ihr diesbezüglicher Anspruch sei bisher nicht vollständig erfüllt worden, weil Angaben zum „Mandatskonto“ und zur bisher erfolgten Kommunikation mittels E-Mail und WhatsApp fehlten. Zudem fehlten Angaben zum Bürorechner und zu der Frage, ob Daten an den mit dem Anwalt in Bürogemeinschaft gemeinsam tätigen Kollegen weitergegeben worden seien, weil dieser die gleiche Telefaxnummer nutze.


WAS WURDE KONKRET ENTSCHIEDEN?

Das Gericht führt aus, dass nach Art. 15 DS-GVO jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht hat, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u.a. ein Recht auf Auskunft über diese personenbezogenen Daten. Der Begriff der „personenbezogenen Daten“ ist weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Das Landgericht Bonn folgt insoweit der Rechtsprechung des OLG Köln (Urt. v. 26.7.2019 – Az.: 20 U 75/18), die den Umfang der Datenauskunft grundsätzlich weit fast. Hierunter fallen demnach u.a. auch die Angaben aus dem Mandatskonto und die betreffende elektronische Kommunikation.

Das Urteil des LG Bonn steht insoweit im Einklang mit der Entscheidung des Bundesgerichtshofes (BGH) (Urt. v.  15.6.2021 – Az.: VI ZR 576/19). Auch der BGH geht im Einklang mit der Rechtsprechung des Europäischen Gerichtshof (EuGH) von einem sehr weiten Verständnis des Begriffes der personenbezogenen Daten aus und lässt insoweit auf der Tatbestandsebene des Art. 15 DS-GVO keine teleologische Reduktion des Anwendungsbereiches zu. Konkret sieht der BGH vom Auskunftsanspruch u.a. Korrespondenz zwischen den Parteien, interne (Akten-)Vermerke und Kommunikation umfasst. Außerdem sei der Auskunftsanspruch nicht bereits deshalb ausgeschlossen, weil die Daten dem Vertragspartner bereits bekannt sein.


IST DIE VERSPÄTETE AUSKUNFT DANN SCHADENERSATZPFLICHTIG?

Dieser Frage erteilt das Landgericht Bonn eine Absage. Es konstatiert, dass der Klägerin aufgrund der nach acht Monaten ersteilten Datenauskunft kein Anspruch auf Schadenersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO zusteht. Zu Begründung führt das Gericht an:

„Gemäß Art. 82 Absatz 2 DSGVO haften die Verantwortlichen – insoweit konkretisierend – für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung entstanden ist. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Aufgrund von anderen Verstößen, die nicht durch eine der DSGVO zuwiderlaufende Verarbeitung verursacht worden sind, kommt eine Haftung nach Artikel 82 Absatz 1 DSGVO nicht in Betracht […]“

Daher führt nach Ansicht des Gerichtes eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 daher nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Dementsprechend löst die nach Art. 12 Abs. 3 Satz 1 DS-GVO verspätete Erfüllung von (Auskunfts-)Ansprüchen grundsätzlich keinen Schadensersatzanspruch gemäß Art. 82 DS-GVO aus. Das Landgericht Bonn bezieht hier klar Stellung zu einer umstrittenen Fragestellung im Rahmen des Art. 82 DS-GVO.

Unabhängig davon scheitert der Anspruch auch daran, dass ein Schaden nicht dargelegt wurde. Allein dass die Betroffene auf die Datenauskunft „warten“ musste, kann nach Ansicht des Gerichtes auch nach dem Schadensmaßstab der DS-GVO keinen ersatzfähigen Schaden begründen. Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Andernfalls scheidet ein „Schaden“ begrifflich schon aus. Eine solche Spürbarkeit wurde im gegenständlichen Verfahren jedoch nicht dargelegt.


WELCHE AUSWIRKUNGEN FÜR DIE PRAXIS SIND ZU ERWARTEN?

Vorab ist anzumerken, dass keine Klärung der Frage nach dem Verhältnis der datenschutzrechtlichen Vorschriften der Art. 15 ff. DS-GVO zu den berufsrechtlichen Vorschriften, insbesondere dem § 50 Bundesrechtsanwaltsordnung (BRAO) erfolgte. So kennt § 50 Abs. 2 BRAO einen eigenständigen Herausgabeanspruch des Auftraggebers gegenüber dem Rechtsanwalt, wobei letzterer gemäß § 50 Abs. 3 BRAO die Herausgabe so lange verweigern darf, bis er wegen der ihm vom Auftraggeber geschuldeten Gebühren und Auslagen befriedigt ist. Klärungsbedürftig ist in diesem Zusammenhang insbesondere das Verhältnis zwischen § 50 Abs. 2 und 3 BRAO zu Art. 15 Abs. 3 DS-GVO und Art. 20 DS-GVO.

So ist die Annahme eines weiten Umfangs des Auskunftsanspruchs in jedem Fall zu begrüßen, da ein Ablehnen bestimmter Datenarten bereits auf Tatbestandebene des Art. 15 DS-GVO wohl nicht mit der Schutzwirkung der DS-GVO in Einklang zu bringen ist. Dies ist jedoch nicht gelichbedeutend mit der Annahme, dass keine Ausnahmen möglich wären. In Betracht kommen können hier insbesondere Art. 12 Abs. 5 Satz 2 DS-GVO (offenkundig unbegründeten oder exzessiven Anträgen), Art. 15 Abs. 4 DS-GVO (Beeinträchtigung der Rechte und Freiheiten anderer Personen) sowie Art. 23 Abs. 1 DS-GVO i.V.m. § 29 Bundesdatenschutzgesetz (BDSG) (Geheimhaltungspflichten) oder i.V.m. § 34 BDSG (u.a. Aufbewahrungspflichten und Datensicherung).

Hinsichtlich der Ausführungen zum Schadenersatzanspruch wird mit Spannung zu erwarten sein, wie der EuGH diesbezüglich entscheiden wird, da der Oberste Gerichtshof in Österreich (OGH, Entsch. v. 15.4.2021 – Az.: 6 Ob 35/21) entsprechend vorgelegt hat. Geklärt werden soll u.a., ob der Zuspruch von Schadenersatz nach Art. 82 DS-GVO neben einer Verletzung von Bestimmungen der DS-GVO auch erfordert, dass der Kläger bzw. Betroffene einen Schaden erlitten hat oder ob bereits die Verletzung von Bestimmungen der DS-GVO als solche für die Zuerkennung von Schadenersatz ausreicht.


FAZIT

Es bleibt festzuhalten, dass Auskunfts- sowie Kopieanspruch des Art. 15 DS-GVO einerseits und der Schadenersatzanspruch des Art. 82 DS-GVO andererseits regelmäßig Gegenstand von Gerichtsentscheidungen sind und auch bleiben werden. Trotz zahlreicher Entscheidungen verbleiben viele offene Fragestellungen. Gleichwohl führen die höchstrichterlichen Entscheidungen Stück für Stück zu Rechtssicherheit. Für Verantwortliche empfiehlt es sich entsprechende Vorkehrungen zu treffen, um Auskunftsersuchen unverzüglich und vollständig beantworten zu können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Auskunftsanspruch
  • Berufsgeheimnisträger
  • Betroffenenrechte
  • Schadenersatz
  • Urteil
Lesen

RECHT AUF EINSCHRÄNKUNG DER VERARBEITUNG – ARTIKEL 18 DS-GVO

16/08/2021

Das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO (Datenschutz-Grundverordnung) bietet der betroffenen Person in bestimmten Fällen die Möglichkeit auf Antrag die Verarbeitung der sie betreffenden personenbezogenen Daten auf eine (gesonderte) Speicherung zu begrenzen. Die Möglichkeit zur Geltendmachung dieses besonderen Betroffenenrechts ist jedoch nicht nur an bestimmte und abschließend geregelte Voraussetzungen geknüpft, das Betroffenenrecht gilt zudem nur zeitlich begrenzt. Der Beitrag stellt die Voraussetzungen, Anforderungen und Rechtsfolgen des Rechts auf Einschränkungen dar.


EINSCHRÄNKUNG DER VERARBEITUNG

Unter der Begrifflichkeit der Einschränkung der Verarbeitung ist gemäß Art. 4 Nr. 3 DS-GVO „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“, zu verstehen. Der zugehörige Erwägungsgrund 67 zur DS-GVO führt hierzu ergänzend aus, dass zur Beschränkung der Verarbeitung personenbezogene Daten auf ein anderes Verarbeitungssystem übertragen, für Nutzer gesperrt oder auch von Internetseiten entfernt werden können. Insbesondere ist jedoch sicherzustellen, dass eine weitere Verarbeitung der personenbezogenen Daten bereits technisch unterbunden und innerhalb von Systemen unmissverständlich auf die Einschränkung der Verarbeitung hingewiesen wird („Sperrvermerk“). Hieraus wird deutlich, dass das Recht auf Einschränkung der Verarbeitung insbesondere auf eine temporäre Beschränkung zur ausschließlichen Speicherung der personenbezogenen Daten abzielt.

Auch wenn in Art. 18 DS-GVO von Einschränkung und in Erwägungsgrund 67 von Beschränkung die Rede ist, meinen beide Begriffe das Identische. Dies geht insbesondere aus der englischsprachigen Originalfassung der DS-GVO hervor, innerhalb derer in beiden Fällen der Begriff restriction verwendet wird.


VORAUSSETZUNGEN DES RECHTS AUF EINSCHRÄNKUNG DER VERARBEITUNG

Mit Blick auf Art. 18 DS-GVO wird deutlich, dass die Geltendmachung des Rechts auf Einschränkung der Verarbeitung stets von bestimmten Erklärungen der betroffenen Person abhängig ist. Das Vorliegen der einzelnen Voraussetzungen ist dabei von der betroffenen Person qualifiziert nachzuweisen. Im Einzelnen:

Bestreiten der Richtigkeit personenbezogener Daten (lit. a):  Bestreitet die betroffene Person die Richtigkeit der sie betreffenden personenbezogenen Daten muss sie gegenüber der verantwortlichen Stelle hinreichend darlegen, inwiefern eine Unrichtigkeit der Daten vorliegt. Ein allgemeines Bestreiten der Richtigkeit der personenbezogenen Daten, ohne hierfür stichhaltige Anhaltspunkte vorzulegen, ist für die Geltendmachung des Betroffenenrechts nicht ausreichend. Das Recht auf Einschränkung der Verarbeitung kann in diesem Fall als ein zu Art. 16 DS-GVO (Recht auf Berichtigung) vorgelagertes Betroffenenrecht verstanden werden. Zeitlich gilt die Einschränkung ab dem Antrag der betroffenen Person und bis zur abschließenden Prüfung der verantwortlichen Stelle hinsichtlich der (Un-)Richtigkeit der personenbezogenen Daten. Gemäß Art. 12 Abs. 3 Satz 1 DS-GVO hat dies auch bei allen Fällen des Art. 18 DS-GVO unverzüglich, spätestens jedoch innerhalb eines Monats zu erfolgen.

Unrechtmäßigkeit der Verarbeitung (lit. b): Bestreitet die betroffene Person begründet die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten, steht ihr nach dem Wortlaut des Art. 18 Abs. 1 lit. b DS-GVO grundsätzlich ein Wahlrecht zwischen der Löschung ihrer personenbezogenen Daten nach Art. 17 DS-GVO oder der Einschränkung der Verarbeitung zu. Voraussetzung des Art. 18 Abs. 1 lit. b DS-GVO ist demnach zwingend, dass die betroffene Person einerseits die objektive Unrechtmäßigkeit der Verarbeitung darlegen kann und andererseits explizit die Einschränkung der Verarbeitung verlangt. Eine Einschränkung aufgrund der Unrechtmäßigkeit der Verarbeitung umfasst den gesamten Zeitraum vom Antrag der betroffenen Person bis diese gegebenenfalls zu einem späteren Zeitpunkt die Löschung ihrer personenbezogenen Daten verlangt.

Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen (lit. c): Die Einschränkung der Verarbeitung zu Zwecken der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen durch die betroffene Person stellt einen Sonderfall dar. Im Gegensatz zu den übrigen Voraussetzungen setzt diese ausschließlich ein Interesse der betroffenen Person an der weiteren Verarbeitung – in Form einer Speicherung – voraus. Zwingend ist jedoch, dass die einzuschränkenden personenbezogenen Daten für die Verfolgung von Rechtansprüchen erforderlich sind. Die alleinige Möglichkeit zur Erforderlichkeit für künftige gerichtliche Verfahren ist nicht ausreichend. Das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 Abs. 1 lit. c DS-GVO gilt für den Zeitraum, in dem die personenbezogenen Daten für die Rechtsverfolgung zwingend benötigt werden.

Widerspruch (lit. d): Die Einschränkung der Verarbeitung im Falle eines Widerspruchs umfasst ausschließlich das allgemeine Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO und demnach nicht Widersprüche gegen eine Verarbeitung personenbezogener Daten zu Zwecken der Direktwerbung (Art. 21 Abs. 2 DS-GVO) und wissenschaftlichen oder historischen Forschungszwecken (Art. 21 Abs. 6 DS-GVO). Zeitlich umfasst das Recht auf Einschränkung der Verarbeitung hierbei den Zeitraum von der Geltendmachung des Widerspruchsrechts bis zum Vorliegen des Ergebnisses, ob die berechtigten Interessen der verantwortlichen Stelle die Interessen und Rechte der betroffenen Person überwiegen.


ANFORDERUNGEN AN DIE GELTENDMACHUNG UND BEANTWORTUNG

Art. 18 DS-GVO enthält keine spezifischen Regelungen hinsichtlich (formaler) Anforderungen an die Geltendmachung oder Beantwortung des Rechts auf Einschränkung der Verarbeitung. Insofern kann auf die allgemeinen Anforderungen des Art. 12 DS-GVO verwiesen werden: Die verantwortliche Stelle erleichtert der betroffenen Person die Ausübung des Betroffenenrechts (Art. 12 Abs. 2 DS-GVO), stellt der betroffenen Person alle Informationen hinsichtlich der getroffenen Maßnahmen unverzüglich, spätestens jedoch innerhalb eines Monats (Art. 12 Abs. 3 DS-GVO) und grundsätzlich entgeltfrei (Art. 12 Abs. 5 DS-GVO) zur Verfügung. Weiterhin besteht für die verantwortliche Stelle die Möglichkeit zur Identitätsfeststellung in Zweifelsfällen (Art. 12 Abs. 6 DS-GVO).

Ebenso wie bei der Löschung und Berichtigung personenbezogener Daten ist die verantwortliche Stelle auch in Fällen der Einschränkung der Verarbeitung nach Art. 19 DS-GVO dazu verpflichtet, allen Empfängern, denen personenbezogene Daten der betroffenen Person offengelegt wurden, über die Geltendmachung des Betroffenenrechts zu informieren. Eine Ausnahme hiervon besteht nur dann, soweit sich die Mitteilung gegenüber den Empfängern als unmöglich erweist oder mit einem unverhältnismäßig hohen Aufwand einhergeht.


RECHTSFOLGEN UND AUSNAHMEN

Ist mindestens eine der in Art. 18 Abs. 1 lit. a – d DS-GVO aufgeführten Voraussetzungen erfüllt, besteht für die betroffene Person ein Anspruch auf Einschränkung der Verarbeitung ihrer personenbezogenen Daten. Für die verantwortliche Stelle entsteht nach dem Wortlaut des Art. 18 Abs. 2 DS-GVO – abgesehen von der reinen Speicherung – ein weitreichendes Verarbeitungsverbot.

Ausnahmen von dem Verarbeitungsverbot bestehen allein im Rahmen der ebenfalls in Art. 18 Abs. 2 DS-GVO abschließend aufgeführten Ausnahmetatbestände: Demnach ist im Falle einer Einschränkung der Verarbeitung personenbezogener Daten eine Verarbeitung über die alleinige Speicherung möglich, sofern (1) die betroffene Person in die Verarbeitung eingewilligt hat, (2) diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, (3) dem Schutz der Rechte einer anderen natürlichen oder juristischen Person dient oder (4) aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedsstaates erforderlich ist.


AUFHEBUNG DER EINSCHRÄNKUNG

Wie bereits zuvor dargestellt, handelt es sich bei dem Recht auf Einschränkung der Verarbeitung um ein zeitlich beschränktes Betroffenenrecht. Wurde beispielsweise durch die verantwortliche Stelle die Richtigkeit der verarbeiteten personenbezogenen Daten festgestellt, endet zu diesem Zeitpunkt die Einschränkung der Verarbeitung. Gemäß Art. 18 Abs. 3 DS-GVO hat die verantwortliche Stelle die betroffene Person über die Aufhebung der Einschränkung der Verarbeitung zu unterrichten.


FAZIT

Das Recht auf Einschränkung der Verarbeitung umfasst einige Besonderheiten, die es im Falle einer Geltendmachung des Betroffenenrechts zu beachten und überprüfen gilt. Die formalen Umstände entsprechen jedoch denen der weiteren Betroffenenrechte des Kapitels III der DS-GVO, sodass auch hierbei ein standardisierter Prozess bei der datenschutzkonformen Umsetzung innerhalb der verantwortlichen Stelle helfen kann. Der Datenschutzbeauftragte kann unterstützend bei der rechtlichen Überprüfung der Voraussetzungen, der gegebenenfalls einschlägigen Ausnahmeregelungen sowie der abschließenden Beantwortung der Betroffenenanfrage tätig werden und sollte hierzu zu einem frühestmöglichen Zeitpunkt eingebunden werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Art. 18 DS-GVO
  • Betroffenenrechte
  • Einschränkung der Verarbeitung
  • Richtigkeit
  • Unrechtmäßigkeit
Lesen

RECHT AUF LÖSCHUNG – „RECHT AUF VERGESSENWERDEN“ – ARTIKEL 17 DS-GVO

03/05/2021

Mit dem Recht auf Löschung personenbezogener Daten gemäß Art. 17 DS-GVO lenken wir den Blick auf ein weiteres Betroffenenrecht, welches neben dem Auskunftsanspruch wohl jeder verantwortlichen Stelle früher oder später begegnen wird. Die Kernbotschaft lautet demnach auch beim Recht auf Löschung: Wenn es um Betroffenenanfragen geht, bedarf es innerhalb der verantwortlichen Stelle eines professionellen Umfangs hiermit und es ist geboten den Prozess zu standardisieren und in einem Löschkonzept in einfach umsetzbaren Routinen zu berücksichtigen. 


VORAUSSETZUNGEN FÜR EINEN LÖSCHANSPRUCH

Art. 17 Abs. 1 DS-GVO sieht das Recht der betroffenen Person vor, die Löschung von personenbezogenen Daten bei Vorliegen bestimmter Löschgründe verlangen zu können. Dieses Recht entbindet den Verantwortlichen allerdings nicht davon, auch ohne Verlangen der betroffenen Person regelmäßig zu überprüfen, ob die von ihm verarbeiteten Daten zu löschen sind. Als Löschgründe sind in Art. 17 Abs. 1 DS-GVO vorgesehen:
– die personenbezogenen Daten sind für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig (lit. a);
– Widerruf der Einwilligung und es besteht keine anderweitige Rechtsgrundlage für die Verarbeitung (lit. b);
– erfolgreicher Widerspruch gemäß Art. 21 Abs. 1 (lit. c);
– Unrechtmäßigkeit der Verarbeitung (Generalklausel, lit. d);
– rechtliche Verpflichtung zur Löschung (lit. e);
– Datenerhebung bei Kindern (lit. f).

Für verantwortliche Stellen werden die Tatbestände des Art. 17 Abs. 1 lit. a, b und d DS-GVO überwiegend eine Rolle spielen.

Der Tatbestand von Art. 17 Abs. 1 lit. a DS-GVO räumt der betroffenen Person ein Recht auf Löschung personenbezogener Daten dann ein, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dementsprechend entscheidet der konkrete Zweck einer Datenverarbeitung maßgeblich über die maximal zulässige Speicherdauer personenbezogener Daten. Unter Zugrundelegung des Zwecks ist nach dem Grundsatz der Speicherbegrenzung des Art. 5 Abs. 1 lit. e DS-GVO eine Löschung zum frühestmöglichen Zeitpunkt vorzunehmen. Dabei darf keine Möglichkeit mehr existieren, auf die Daten ohne unverhältnismäßigen Aufwand zuzugreifen oder diese wiederherzustellen. Als Orientierung dient hierbei beispielsweise DIN 66399.

Wenn die betroffene Person Ihre Einwilligung widerruft, Art. 17 Abs. 1 lit. b, so entfällt die Rechtsgrundlage für Verarbeitungen gemäß Art. 6 Abs. 1 S. 1 lit. a DS-GVO. Daraus resultiert aber nur dann ein Löschanspruch, wenn sich die Rechtmäßigkeit der Verarbeitung auf keine andere Rechtsgrundlage als die der Einwilligung stützen kann. Diesbezüglich kommen vor allem Art. 6 Abs. 1 lit. b (Vertragserfüllung), lit. c (rechtliche Verpflichtungen) und e (Aufgabenerfüllung im öffentlichen Interesse) und lit. f (berechtigtes Interesse) DS-GVO in Betracht. Der Widerruf der Einwilligung resultiert also nur dann in einer absoluten Verpflichtung zur Löschung, sofern die Einwilligung die einzige Rechtsgrundlage der Verarbeitung darstellte.

Nach Art. 17 Abs. 1 lit. d DS-GVO bestehen die Löschrechte auch, wenn personenbezogene Daten unrechtmäßig verarbeitet wurden. Die Regelung erfasst alle Konstellationen der unzulässigen Verarbeitung, insbesondere die Fälle, bei denen von vornherein keine Rechtsgrundlage für die Erhebung oder Speicherung personenbezogener Daten vorlag.


KEINE REGEL OHNE AUSNAHMEN

Ausnahmen bestehen dann, wenn der Löschpflicht gesetzliche Aufbewahrungsfristen entgegenstehen. So ergeben sich beispielsweise aus § 147 AO oder § 257 HGB Aufbewahrungsfristen für Geschäftsunterlagen von sechs bzw. zehn Jahren. Weitere spezialgesetzliche Ausnahmen lassen sich unter anderem im Banken- und Versicherungsgesetz, Aktiengesetz, Produkthaftungsgesetz oder auch im Bürgerlichen Gesetzbuch finden. Grundsätzlich gilt hierbei: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor. Dementsprechend dürfen personenbezogene Daten nicht gelöscht werden, sofern derartige Aufbewahrungsfristen bestehen. Bei der Aufbewahrung sind die datenschutzrechtlichen Grundsätze, insbesondere durch die Festlegung von Zutritts- und Zugriffsberechtigungen, einzuhalten.

Von einer Löschung kann ebenfalls – zumindest vorübergehend – abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Weitere Ausnahmen bestehen, sofern die Löschung personenbezogener Daten die Verwirklichung im öffentlichen Interesse liegender Archivzwecke, wissenschaftlicher oder historischer Forschungszwecke sowie statistischer Zwecke ernsthaft beeinträchtigen oder unmöglich machen würde. Bei öffentlichen Stellen ist zudem eine Anbietungspflicht an die Landesarchive zu prüfen.


VORGEHENSWEISE BEI EINEM ANTRAG AUF LÖSCHUNG

Im Rahmen der Bearbeitung eines Löschantrages bietet sich folgende Vorgehensweise an: Ein Löschantrag kann von jeder betroffenen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch erfolgen. Im Rahmen eines konkreten Antrags auf Löschung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Es muss geprüft werden, ob der Antragsteller einen Anspruch auf Löschung hat bzw. keine Gründe vorliegen, die eine Speicherung der Daten weiterhin rechtfertigen. Der Löschungsanspruch umfasst dann sämtliche Datenbestände, in denen die personenbezogenen Daten des Antragstellers gespeichert sind. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. dem Löschvorgang zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.


SANKTIONEN UND SCHADENSERSATZ

Kommt der Verantwortliche der Löschpflicht / dem Löschanspruch der betroffenen Person nicht nach, kann die betroffene Person Beschwerde bei der zuständigen Aufsichtsbehörde einlegen. Eine Verletzung des Rechts auf Löschung wird mit hohen Geldbußen geahndet. Zudem kann die betroffene Person im Wege der Klage gegen den Verantwortlichen vorgehen. Es besteht die Möglichkeit Schadensersatz einzufordern.


FAZIT

Verantwortliche Stellen zeichnet ein professioneller Umgang mit der Löschpflicht aus, wenn bereits frühzeitig entsprechende interne Prozesse implementiert werden. Nutzen Sie hierbei Synergien! Oftmals knüpft die Löschung an ein Auskunftsbegehren an. Dieser Prozess sollte daher ganzheitlich etabliert werden. Verarbeitet ein Verantwortlicher personenbezogene Daten nur in gesetzlich zulässiger Weise, besteht keine darüberhinausgehende Verpflichtung zur Löschung. Eine organisierte Übersicht über die Art der verarbeiteten Daten, den Zweck der Verarbeitung sowie die gesetzlichen Aufbewahrungsfristen bietet das Verzeichnis über die Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Darüber hinaus empfiehlt sich ein eigenes Löschkonzept für alle innerhalb der verantwortlichen Stelle durchgeführten Verarbeitungszwecke an, woraus sich eine dokumentierte Löschroutine ablesen lässt.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

    Tags:
  • Aufbewahrungsfrist
  • Bearbeitungsprozess
  • Betroffenenrechte
  • Löschpflicht
  • Löschung
Lesen

DAS RECHT AUF BERICHTIGUNG NACH ART. 16 DS-GVO

12/04/2021

In der Kürze liegt die Würze und der Teufel im Detail. Selten in der Datenschutz-Grundverordnung (DS-GVO) gibt es eine Norm, die so knapp gehalten ist und für beide Seiten – Verantwortlicher und Betroffener – gleichermaßen Bedeutung genießt. Als Bestandteil der Betroffenenrechte des Kapitel III der DS-GVO, gewährleistet Art. 16 in zwei Sätzen dem Betroffenen die Berichtigung unrichtiger (S. 1) und die Vervollständigung unvollständiger (S. 2) personenbezogener Daten. Nicht nur aus dem Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DS-GVO trägt der Verantwortliche dafür Sorge, dass verarbeitete personenbezogene Daten richtig sind. Das Recht auf Berichtigung ergänzt und unterstützt den Verantwortlichen, seine Verpflichtung unrichtige Daten zu berichtigen. Richtige Daten sind für die Datenschutz-Compliance beim Verantwortlichen essenziell. Unvollständige Daten generieren unrichtige Ergebnisse. Die Richtigkeit vorhandener Daten der betroffenen Person verhindert negative Auswirkungen auf interne Verarbeitungsprozesse. Das Recht und die Pflicht im Detail:


BERICHTIGUNG

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen, Art. 16 S. 1 DS-GVO. Unrichtig sind solche Daten, die objektiv nicht mit der Wirklichkeit übereinstimmen. Beispiele sind etwa unzutreffende Angaben zu Name, Adresse oder Geburtsdatum. Der Anspruch bezieht sich grundsätzlich auf Tatsachenangaben und nicht auf Meinungen oder Werturteile. Unerheblich für die Geltendmachung des Anspruchs ist, ob die Daten von Anfang an falsch abgespeichert wurden oder sich die Daten der Person geändert haben.  Der Berichtigungsanspruch des Betroffenen ist ein Interventionsrecht, mit dem er die Rechtslage gestalten kann.


VERVOLLSTÄNDIGUNG

Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, Art. 16 S. 2 DS-GVO. Unvollständig sind Daten, wenn das Fehlen von Angaben im konkreten Informationszusammenhang zu einer Irreführung oder Missverständnissen führt. Letzteres wäre der Fall, wenn Fehlzeiten eines Arbeitnehmers festgehalten werden, ohne dass nach den Gründen wie Fortbildung, Urlaub oder Krankheit usw. differenziert wird. Vervollständigung kann dem Wortlaut nach nur „unter Berücksichtigung der Zwecke der Verarbeitung“ verlangt werden, wobei der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DS-GVO maßgeblich zu berücksichtigen ist. Personenbezogene Daten dürfen nur insoweit erhoben werden, als sie zwingend für den jeweiligen Zweck erforderlich sind.


BESCHRÄNKUNG DES RECHTS AUF BERICHTIGUNG

Ausnahmen von der Berichtigungspflicht werden in Art. 16 DS-GVO nicht direkt generiert. Allerdings wird der Union und den nationalen Gesetzgebern durch die Art. 23 sowie Art. 89 Abs. 2 und 3 DS-GVO („Öffnungsklauseln“), die Möglichkeit eröffnet den Berichtigungsanspruch zu beschränken. Von einer solchen Beschränkung hat der deutsche Gesetzgeber zum Beispiel in den §§ 27 Abs. 2 und 28 Abs. 3 Bundesdatenschutzgesetz (BDSG) für Forschungs-, Statistik- und Archivzwecke gebrauch gemacht. Danach kann ein Betroffener seinen Berichtigungsanspruch nicht geltend machen, wenn dadurch die zur Verarbeitung festgelegten Zwecke beeinträchtigt werden.


DER ABLAUF EINES BERICHTIGUNGSPROZESSES

Das Recht der betroffenen Person auf Berichtigung hängt eng mit den Transparenzrechten, insbesondere mit dem Auskunftsrecht nach Art. 15 DS-GVO zusammen. Ohne das Recht auf Auskunft könnte der Betroffene von seinem Berichtigungsrecht nicht Gebrauch machen, denn er wüsste nicht von den falschen Informationen, die über ihn verarbeitet werden.

Grundsätzlich kann ein Berichtigungsantrag von jeder natürlichen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch gestellt werden. Im Rahmen eines konkreten Antrags auf Berichtigung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Der Berichtigungsanspruch umfasst sämtliche Datenbestände, in denen die unrichtigen personenbezogenen Daten des Antragstellers gespeichert sind. Die Berichtigung der Daten ist unverzüglich durch eine entsprechende Maßnahme durchzuführen. Bezogen auf den Einzelfall, kann dies durch Veränderung, teilweise oder vollständige Löschung oder Speicherung ergänzender oder neu erhobener Daten erfolgen. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. Maßnahmen des Berichtigungsantrages zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.

Hat der Verantwortliche die gespeicherten personenbezogenen Daten des Antragstellers an Dritte übermittelt, müssen auch diese über die Berichtigung der Daten informiert werden, sofern dies vernünftigerweise möglich ist. Alle zur Berichtigung ergriffenen Maßnahmen, sind unentgeltlich zu erbringen.


VERSTOß GEGEN DAS RECHT AUF BERICHTIGUNG

Verstöße gegen Betroffenenrechte sind keine Kavaliersdelikte. Ein Verstoß gegen das Recht auf Berichtigung, kann mit Geldbußen entsprechend des Art. 83 Abs. 5 lit. b DS-GVO geahndet werden. Daneben steht der betroffenen Person ein Schadensersatzanspruch gemäß Art. 82 DS-GVO zu, soweit ihr durch die Verarbeitung sie betreffender unrichtiger Daten ein materieller oder immaterieller Schaden entstanden ist.


FAZIT

Auf den ersten Blick handelt es sich um eine klare und einfache Regelung, die sich bei näherer Betrachtung als sehr Komplex erweist. Für den Verantwortlichen besteht die Herausforderung vor allem darin, die unterschiedlichen Betroffenenrechte auseinanderzuhalten und die jeweiligen Voraussetzungen zu kennen. Der Berichtigungsanspruch ist zügig, kontrolliert und dokumentiert durchzuführen. Es lohnt sich auch diesen Prozess zu standardisieren und in einem Datenschutzkonzept in einfach umsetzbaren Routinen zu berücksichtigen. 

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

    Tags:
  • Art. 16 DS-GVO
  • Berichtigung
  • Betroffenenrechte
  • Datenschutzmanagement
  • Vervollständigung
Lesen

DER AUSKUNFTSANSPRUCH NACH ART. 15 DS-GVO

08/03/2021

Mit der Datenschutz-Grundverordnung (DS-GVO) kam es zu einer umfassenden Erweiterung der Betroffenenrechte. Einen großen Anteil der neugewonnen Präsenz der Betroffenenrechte ist dem Auskunftsrecht nach Art. 15 DS-GVO zuzuschreiben. Dies ist nicht zuletzt darauf zurückzuführen, dass das Auskunftsrecht wohl das am häufigsten geltend gemachte Betroffenenrecht aus der DS-GVO darstellt. Bedeutung erlangen in diesem Zusammenhang immer öfter Generatoren (beispielsweise www.itsmydata.de), welche sich ebenfalls für den Anstieg von Betroffenenanfragen verantwortlich zeichnen müssen.


WORUM GEHT ES BEI EINEM AUSKUNFTSANSPRUCH?

Die gesetzgeberische Intention hinter der Stärkung der Betroffenenrechte im Kapitel III der DS-GVO ist klar: Schaffung von Transparenz und mithin die Wahrung des Grundsatzes gemäß Art. 5 Abs. 1 lit. a) DS-GVO. Der Auskunftsanspruch ist – soweit auch unstreitig – dem Grunde nach dazu angelegt, die Überprüfung der Rechtmäßigkeit einer Datenverarbeitung durchzuführen und somit letztlich auch der Ausübung des Rechts auf informationelle Selbstbestimmung nachzukommen. In Der Praxis wird der Auskunftsanspruch – insbesondere im arbeitsrechtlichen Prozess – als taktisches Mittel verwendet, um „Druck“ auf die Gegenseite auszuüben und/oder einen Überblick über vorhandene Datenbestände zu erlangen, um unter Umständen Folgeansprüche vorzubereiten.

Neben dem „reinen“ Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO, wohnt dem Art. 15 Abs. 3 DS-GVO zudem das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, inne. Darüber hinaus kann das Recht auf Auskunft zur Vorbereitung der Geltendmachung weiterer Betroffenenrechte, beispielsweise des Rechtes auf Berichtigung gemäß Art. 16 DS-GVO oder des Rechtes auf Löschung gemäß Art. 17 DS-GVO dienen.

Allerdings ergeben sich abseits zahlreicher juristischer Streitigkeiten rund um die Reichweite des Anspruchs für Verantwortliche bei der Umsetzung in der Praxis einige inhaltliche sowie prozessuale Herausforderungen, welche im Folgenden näher beleuchtet werden sollen.


WELCHE SCHWIERIGKEITEN BESTEHEN IM RAHMEN EINES AUFKUNFTERSUCHENS?

Bei der Betrachtung des Art. 15 DS-GVO entsteht regelmäßig Diskussionsbedarf, insbesondere in Bezug auf die Fragen:
– Müssen dem Antragsteller auch Daten zur Verfügung gestellt werden, welche ihm bereits vorliegen?
– Muss der Anspruch auf Erhalt einer Kopie gesondert geltend gemacht werden?
– Welchen Umfang entfaltet das Recht auf Erhalt einer Kopie?
– Wann kann der Anspruch auf Erhalt der Kopie beschränkt werden?
– Wann gilt ein Auskunftsbegehren als unverhältnismäßig?

Das Hauptaugenmerk soll nun auf die praktische Umsetzung gelegt werden. Für die Bearbeitung von Auskunftsersuchen genügt insoweit nicht, wenn sich der Blick des Anwenders nur auf Art. 15 DS-GVO richtet. Vielmehr ist eine Gesamtschau mit den Normen aus Art. 4, Art. 11 und Art. 12 DS-GVO notwendig. Außerdem finden sich weitere Bestimmungen – insbesondere zu Ausnahmetatbeständen – im Bundesdatenschutzgesetz (BDSG).


WIE LÄUFT EIN AUSKUNFTSPROZESS AB?

Den Stein des Anstoßes bei einem Auskunftsprozess bildet der Antrag des Betroffenen, vgl. Art. 12 Abs. 2 Satz 1 DS-GVO. Der Verantwortliche ist gemäß Art. 12 Abs. 1 DS-GVO dazu angehalten die Betroffenen bei der Wahrnehmung ihrer Rechte zu unterstützen. Eingehen können Betroffenenanfragen auf allen denkbaren Kommunikationskanälen der verantwortlichen Stelle. Unter Umständen ist eine Auslegung der Anfrage notwendig, insbesondere wenn der Betroffene sich nicht ausdrücklich auf Art. 15 DS-GVO beruft – was er selbstverständlich nicht muss. Es genügt insoweit ein formloser Antrag, welcher keiner Begründung bedarf. Damit Verantwortliche weiterführende Datenschutzverstöße vermeiden können, empfiehlt sich strengstens die Identität des Antragstellers zu überprüfen. Über das exakte Vorgehen haben wir bereits berichtet. Es ist dem Antragsteller ebenfalls unbenommen in zwei Stufen vorzugehen:
– zunächst kann die betroffene Person eine Bestätigung verlangen, ob bei dem Verantwortlichen sie betreffende personenbezogene Daten verarbeitet werden;
– um bejahendenfalls auf einer zweiten Stufe um Auskunft über diese personenbezogenen Daten sowie die Informationen des Art. 15 Abs. 1 lit. a) bis h) DS-GVO zu verlangen.

Verarbeitet der Verantwortliche große Mengen an Informationen, besteht nach Erwägungsgrund (ErwG) 63 S. 7 DS-GVO die Möglichkeit, dass er vom Betroffenen verlangen kann, dass dieser seine Anfrage derart präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht.

Um auf Auskunftsersuchen beziehungsweise allgemein Betroffenenanfragen fristgerecht (unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags gemäß Art. 12 Abs. 3 DS-GVO) empfiehlt sich die Implementierung eines Melde- und Bearbeitungsprozesses, beispielsweise durch eine interne Anweisung, Richtlinie oder Policy zum Umgang mit Betroffenenanfragen.  Ein solche Prozess kann folgende Etappen umfassen:
– Antragseingang und gegebenenfalls Auslegung des Betroffenenbegehren,
– Eingang dokumentieren und Frist für die Beantwortung notieren,
– Eingangsbestätigung an den Antragsteller senden (vgl. Art. 5 Abs. 2 DS-GVO),
– Identitätsprüfung durchführen,
– Vorliegen von Beschränkungen prüfen (vgl. Art. 15 Abs. 4 DS-GVO, §§ 29, 34 BDSG etc.),
– Datenbestände prüfen,
– gegebenenfalls Fristverlängerung begründen (vgl. Art. 12 Abs. 3 Satz 2 DS-GVO),
– Form der Beantwortung einhalten (schriftlich/elektronisch, jedenfalls identischer Kommunikationsweg),
– Auskunft oder Negativauskunft erteilen (aufgrund fehlenden Identitätsnachweises, dem Vorliegen von Beschränkungen, kein Vorliegen von Datenbeständen etc.),
– Kopie der personenbezogenen Daten zur Verfügung stellen,
– Ausgang der Antwort dokumentieren und Frist streichen,
– gesetzliche Aufbewahrungsfrist von Betroffenenanfragen einhalten (Art. 83 und Art. 5 DS-GVO, § 41 BDSG, § 31 Gesetz über Ordnungswidrigkeiten (OWiG)).

Nicht nur aus Gründen zur Erfüllung der Rechenschaftspflicht und im Sinne eines funktionierenden Managementsystems empfiehlt sich die Initiierung und Fortschreibung eines solchen Prozesses. Vielmehr kann ein vorgeschriebener Ablauf bei den Anwendern – also den Beschäftigten der verantwortlichen Stelle – für Sicherheit im Umgang mit Betroffenenanfragen sorgen.


WELCHE KONSEQUENZEN DROHEN BEI FEHLERHAFTEN AUSKUNFTSPROZESSEN?

Die Folgen von unterbliebenen beziehungsweise verspätet erteilten Auskünften liegen auf der Hand: Es besteht das Risiko eines Gesetzesverstoßes, welcher durch eine Aufsichtsbehörde geahndet werden kann, beispielsweise im Rahmen der Sanktionierung von Art. 83 DS-GVO. Daneben steht den Betroffenen die Möglichkeit der Geltendmachung eines Schadenersatzanspruches gemäß Art. 82 DS-GVO zu, wobei es hier aber zentral auf die Nachweisbarkeit eines konkreten Schadens ankommen wird.


FAZIT

Unabdingbar für die (fristgerechte) Bearbeitung von Betroffenenanfragen ist die Etablierung entsprechender Prozesse mitsamt Dokumentation der konkreten Einzelfälle. Hilfestellungen zum Umgang mit Anfragen Betroffener in der Praxis finden sich unter anderem beim Bayrischen Landesamt für Datenschutzaufsicht sowie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Art. 15 DS-GVO
  • Auskunftsanspruch
  • Bearbeitungsprozess
  • Betroffenenrechte
  • Datenschutzmanagement
Lesen

IDENTITÄT BEI ELEKTRONISCHEN BETROFFENENANFRAGEN SICHERSTELLEN

22/02/2021

Die DS-GVO stärkt die Rechte der von Datenverarbeitung betroffenen Personen. Diese Rechte stellen verantwortliche Stellen vor ein Problem. Die Identität des Antragstellers muss zweifelsfrei feststehen. Eine Übertragung von Daten an eine falsche Person kann – je nach Art der Daten – gravierende Folgen für den Betroffenen haben. Eine Offenlegung von personenbezogenen Daten durch die Beauskunftung gegenüber „dem falschen Betroffenen“ stellt regelmäßig eine Datenschutzverletzung dar. Je nach Art der offengelegten Daten und der Risiken für die betroffene Person ist dies dann auch gegenüber der zuständigen Datenschutzbehörde meldepflichtig.

Vor eine besondere Herausforderung ist ein Verantwortlicher gestellt, wenn Betroffene eine Anfrage nicht mit den im System der Unternehmen gespeicherten Daten übereinstimmen. So entspricht die E-Mail-Adresse des Antragstellers nicht der im System hinterlegten oder die postalische Adresse hat sich durch einen Umzug geändert oder ein Anrufer ruft vom Handy aus an und im System ist eine Festnetznummer hinterlegt.Der Identifizierungsvorgang muss datenschutzkonform gestaltet werden. Verantwortliche sowie Auftragsverarbeiter müssen eigene Prozesse definieren. Wichtig ist es vor allem Zuständigkeiten zu benennen und die Mitarbeiter regelmäßig zu sensibilisieren.


WIE KANN DIE IDENTIFIZIERUNG GESTALTET WERDEN?

Im Gesetz finden sich dazu nur Anhaltspunkte und keine Vorschriften. Es ist lediglich die Rede davon, dass der Verantwortliche in bei begründeten Zweifeln zusätzliche Informationen anfordern kann, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (Art. 12 Abs. 6 DS-GVO). Der Erwägungsgrund 64 gibt Hinweise zur Identitätsprüfung: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen […].“ Es sind unterschiedliche Szenarien denkbar:

Anfrage per E-Mail: Die Anfrage per E-Mail aus Sicht der betroffenen Person der einfachste Weg. In Bezug auf die Identifizierung ist er eine große Herausforderung. Das gilt insbesondere wenn die E-Mail Adresse, von der aus die Anfrage kommt, beim Verantwortlichen nicht als Kontakt hinterlegt ist. Ist die Adresse hingegen hinterlegt, kann i. d. R. davon ausgegangen werden, dass die anfragende Person auch die betroffene Person ist.

Schriftliche Anfrage: Ein schriftlicher Antrag ist die Variante, die die wenigsten Unsicherheiten bereithält. Das Anliegen wird typischerweise auf demselben Weg an die in der Anfrage angebende Anschrift beantwortet. Ein Abgleich mit der im System hinterlegten Adresse erhöht die Sicherheit. Abweichende Adressen bedürfen einer Prüfung.

Telefonische Anfrage: Art. 12 Abs. 1 DS-GVO sieht die Möglichkeit vor, dass Anfrage und Beantwortung auch telefonisch erfolgen können. Selbst wenn die gesendete Telefonnummer bekannt sein sollte, ist damit niemand zweifelsfrei identifiziert. Für diese Art der Anfrage muss auf eine jeden Fall ein Identifizierungsprozess implementiert werden.


METHODEN ZUR AUTHENTIFIZIERUNG UND IDENTIFIKATION

Abfrage zusätzlicher Informationen: Insbesondere bei telefonischen Anfragen sollte der Verantwortliche es zur gängigen Praxis machen, grundsätzlich zusätzliche Identifizierungsmerkmale abzufragen und diese mit den gespeicherten Daten abzugleichen. Dabei kann es sich um die Adressdaten, das Geburtsdatum, die Kundennummer oder die letzte Rechnungsnummer handeln. Empfehlenswert ist die Abfrage mehrerer Daten.

Vorlage eines Ausweisdokuments: Über die Kopie eines Ausweisdokuments kann die Identität eines Betroffenen festgestellt werden. Dieses Verfahren sieht der Bundesbeauftragte für Datenschutz und Informationssicherheit als zulässig an. Alle Daten außer „Name, Anschrift, Geburtsdatum und Gültigkeitsdauer“ können in der Kopie grundsätzlich geschwärzt werden, da sie nicht benötigt werden. Eine Kopie kann per Post oder elektronisch an das Unternehmen zugestellt werden.

Bei der postalischen Übermittlung einer geschwärzten Ausweiskopie gibt es regelmäßig keine datenschutzrechtlichen Bedenken. Eine Übermittlung per E-Mail ist problematischer. Zu beachten ist, dass bei der elektronischen Übermittlung die Sicherheit der Daten im Vordergrund stehen muss. Wenn der Verantwortliche eine Ausweiskopie per E-Mail verlangt, muss er auch einen sicheren Übermittlungsweg zur Verfügung stellen. Ist keine angemessene Ende-zu-Ende-Verschlüsselung möglich, kann auch die Bereitstellung eines Links zu einem sicheren Cloudverzeichnis eine Alternative sein.

Selbstverständlich sollten die erfassten Daten einer strengen Zweckbindung unterliegen, d. h. ausschließlich zur Identitätsprüfung verwendet werden und nicht in den Datenbestand der verantwortlichen Stelle einfließen.

Post-Ident-/Video-Ident Verfahren: Diese Methoden bieten hohe Sicherheit bezüglich der Identifizierung. Das Post-Ident-Verfahren ist allerdings mit einem hohen Aufwand für die betroffenen Personen verbunden. Die betroffene Person wird dabei durch einen Mitarbeiter der Deutschen Post anhand seines Ausweises identifiziert. Die Bestätigung wird an das Unternehmen verschickt. Die Post selbst speichert keine Daten dauerhaft.

Das Video-Ident-Verfahren funktioniert nach dem gleichen Prinzip. Über einen Videochat wird die betroffene Person identifiziert, indem sie das Ausweisdokument vor die Kamera hält. Je nach Verfahren kann es sein, dass das gesamte Verfahren aufgezeichnet und an den Verantwortlichen übermittelt wird. Es ist daher wichtig, die Datenschutzbestimmungen des jeweiligen Anbieters genau zu prüfen. Nicht sehr datenschutzfreundlich ist der Umstand, dass es bei beiden Verfahren nicht vorgesehen ist, die nicht benötigten Informationen abzudecken.

Identifizierung per Code: Die Identität einer antragstellenden Person kann über ein Opt-in-Verfahren festgestellt werden. Hierzu verschickt das Unternehmen einem Code an die gespeicherte E-Mail Adresse, eine gespeicherte Mobilfunknummer oder per Brief. Mit Hilfe dessen kann sich die betroffene Person dann identifizieren.

Bearbeitung über ein Kundenkonto: Die einfachste Methode ist die Verifizierung über ein Kundenkonto. Dabei sollte trotzdem beachtet werden, dass auch Unbefugte sich Zugriff zu einem Kundenkonto verschaffen können. Eine Zwei-Faktor-Authentifizierung ist ratsam.


FAZIT

Jeder Verantwortliche sollte – in Zusammenarbeit mit der oder dem Datenschutzbeauftragten – zur Bearbeitung von Betroffenenrechten klar definierte Prozesse implementieren, wie eine eindeutige Identifizierung des Anfragenden unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen gewährleistet werden kann.

Über die Autorin: Tanja Albert ist als externe Datenschutz- und Iformationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits-, sozialen und kirchlichen Bereich auch Unternehmen im Ausland.

    Tags:
  • Authentifizierung
  • Betroffenenrechte
  • elektronische Anfrage
  • Identifizierung
  • telefonische Anfrage
Lesen