DATENSCHUTZ DURCH TECHNIKGESTALTUNG UND DATENSCHUTZFREUNDLICHE VOREINSTELLUNGEN

Nach Art. 25 DS-GVO (Datenschutz-Grundverordnung) hat der Verantwortliche hinreichende technische und organisatorische Maßnahmen umzusetzen, um eine Gewährleistung der datenschutzrechtlichen Grundsätze durch eine entsprechende Technikgestaltung sowie durch datenschutzfreundliche Voreinstellungen zu erreichen. Insbesondere im Rahmen von Nachfragen durch Auftraggeber sieht sich der Verantwortliche häufig mit der Frage konfrontiert, wie innerhalb der verantwortlichen Stelle eine Umsetzung der Anforderungen aus Art. 25 DS-GVO konkret erfolgt. Der Beitrag stellt den Umfang sowie notwendige und zu empfehlende Maßnahmen zur Verwirklichung der Anforderungen dieser Norm dar.


NORMADRESSATEN

Die Anforderungen aus Art. 25 DS-GVO richten sich grundsätzlich an den Verantwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO und somit an sämtliche öffentliche sowie nicht-öffentliche Stellen, welche personenbezogene Daten in eigener Verantwortlichkeit verarbeiten. Dementsprechend bezieht sich die Normierung ausdrücklich nicht auf Auftragsverarbeiter oder sonstige Anbieter von Produkten und Dienstleistungen, sofern sie nicht selbst als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO tätig werden. Dennoch ist festzuhalten, dass Auftragsverarbeiter und sonstige Anbieter von Produkten und Dienstleistungen die Auswirkungen des Art. 25 DS-GVO zumindest mittelbar betreffen können.

Art. 28 Abs. 1 DS-GVO setzt hinsichtlich der Auftragsverarbeitung beispielsweise voraus, dass Verantwortliche ausschließlich mit solchen Auftragsverarbeitern zusammenarbeiten, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt […].“ Der Erwägungsgrund 78 zur DS-GVO sieht weiterhin vor, dass Hersteller von Produkten, Diensten und Anwendungen zumindest ermutigt werden, die entsprechenden Anforderungen umzusetzen. Abgestellt wird hierbei auf eine Durchgriffswirkung der rechtlichen Verpflichtung des Verantwortlichen und daraus resultierender Nachfragen datenschutzkonformer Produkte und Dienstleistungen gegenüber den Anbietern. Dies kann durch die Verantwortlichen beispielsweise mittels expliziter vertraglicher Regelungen oder Anforderungen im Rahmen von Ausschreibungen konkret gefordert werden.


MÖGLICHKEITEN ZUR UMSETZUNG DATENSCHUTZFREUNDLICHER TECHNIKGESTALTUNG

Zunächst ist zu betonen, dass Art. 25 Abs. 1 DS-GVO konkret fordert, dass eine Umsetzung entsprechender Maßnahmen zur Gewährleistung des Datenschutzes durch Technikgestaltung bereits zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung, das heißt grundsätzlich bereits vor der Aufnahme der jeweiligen Verarbeitung personenbezogener Daten zu erfolgen hat. Diesbezüglich empfiehlt sich bei der Einführung neuer Verarbeitungstätigkeiten neben der Gewährleistung der weiteren Anforderungen aus der DS-GVO auch in Bezug auf Art. 25 DS-GVO die frühestmögliche Einbeziehung des Datenschutzbeauftragten.

Die Formulierung des Art. 25 Abs. 1 DS-GVO stellt zunächst allgemein auf die Umsetzung geeigneter technischer sowie organisatorischer Maßnahmen ab. Weiterhin wird lediglich eine beispielhafte Benennung der Pseudonymisierung zur Erreichung des Grundsatzes der Datenminimierung vorgenommen. Aus Erwägungsgrund 78 zur DS-GVO ergeben sich jedoch weitreichendere Anforderungen: Gemäß Satz 2 sollte der Verantwortliche interne Strategien festlegen, „die insbesondere den Grundsätzen des Datenschutzes […] Genüge tun.“ Dementsprechend sollte der Verantwortliche vor Aufnahme der Verarbeitung dokumentiert festlegen, durch welche konkreten Funktionalitäten und Prozesse die jeweiligen Grundsätze nach Art. 5 Abs. 1 DS-GVO sichergestellt werden können.

Demnach ist beispielsweise anzuführen, dass durch Bereitstellung von Informationspflichten die Transparenz, durch Festlegung eines Berechtigungskonzeptes die Zweckbindung, durch Verschlankung von Systemen die Datenminimierung, durch Festlegung von Meldeprozessen die Richtigkeit, durch Installation einer Löschroutine die Speicherbegrenzung sowie durch Verwendung von Signaturen die Integrität gewährleistet werden. Im Ergebnis muss eine umfassende Darstellung der Gewährleistung der datenschutzrechtlichen Grundsätze dokumentiert nachvollziehbar erkennbar sein. Insofern kann dies auch im Rahmen einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO oder der voranzustellenden Risiko-/Schwellenwertanalyse erfolgen.

Darstellungen weiterer möglicher umzusetzender technischer und organisatorischer Maßnahmen ergeben sich darüber hinaus aus den Arbeitspapieren der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) sowie aus den Guidelines 4/2019 des Europäischen Datenschutzausschusses (EDSA).


KRITERIEN UMZUSETZENDER MAßNAHMEN

Nach der Formulierung des Art. 25 Abs. 1 DS-GVO haben die umzusetzenden technischen und organisatorischen Maßnahmen den Stand der Technik, die Implementierungskosten sowie die näheren Umstände der Verarbeitung sowie der sich möglicherweise hieraus ergebenden Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Insoweit muss der Verantwortliche sicherstellen, dass die Ausgestaltung der Verarbeitungstätigkeit aktuellen Leitlinien von Aufsichtsbehörden oder Fachverbänden berücksichtigt, entsprechend der (objektiven) wirtschaftlichen Leistungsfähigkeit des Verantwortlichen verhältnismäßige Maßnahmen realisiert werden sowie etwaige potenzielle Schadenseintritte entsprechend ihren Eintrittswahrscheinlichkeiten und der Schwere des jeweiligen Risikos zu erörtern und abzusichern sind. Auch diesbezügliche Kriterien können in die vorbenannte Risiko-/Schwellenwertanalyse Eingang finden.

Im Ergebnis hat der Verantwortliche hinsichtlich der zu erwartenden Risiken der Verarbeitung wirtschaftlich und technisch angemessene sowie für den effektiven Schutz personenbezogener Daten geeignete Maßnahmen und Prozesse umzusetzen. Dem Verantwortlichen ist hierbei ein umfangreicher Beurteilungsspielraum beizumessen. Dies stellt ihn jedoch nicht grundsätzlich von der Pflicht frei, auf marktübliche Produkte oder Dienstleistungen zu verzichten, sofern ein datenschutzkonformer Einsatz nicht vollumfänglich möglich ist. Im Zweifelsfall ist durch den Verantwortlichen zu prüfen, ob durch Vornahme zusätzlicher Maßnahmen dennoch eine Gewährleistung der datenschutzrechtlichen Grundsätze möglich ist oder gegebenenfalls Alternativen existieren. Erfolgt dies nachweislich nicht, liegt seitens des Verantwortlichen unter Umständen ein fehlerhafter Ermessensgebrauch vor, welcher durch die Aufsichtsbehörden entsprechend beanstandet und sanktioniert werden kann.


UMFANG DATENSCHUTZFREUNDLICHER VOREINSTELLUNGEN

Grundsätzlich setzt Art. 25 Abs. 2 DS-GVO voraus, dass seitens des Verantwortlichen durch entsprechende technische und organisatorische Maßnahmen gewährleistet wird, dass der Umfang der zu verarbeitenden Daten entsprechend des Verarbeitungszwecks auf das absolut erforderliche Minimum reduziert wird. Erreicht werden kann dies, wie auch teilweise in Art. 25 Abs. 2 Satz 2 DS-GVO aufgeführt wird, durch eine Reduzierung der erhobenen personenbezogenen Daten (z.B. durch Reduzierung von Pflichtangaben), einen gemäßigten Umfang der Datenverarbeitung (z.B. durch Verzicht auf Profilbildung), die Festlegung von Speicherfristen (z.B. automatisierte Deaktivierung oder Löschung von inaktiven Nutzenden) sowie eine Beschränkung der Zugänglichkeit (z.B. Einrichtung eines Zugriffskonzeptes). Dabei ist gemäß Art. 25 Abs. 2 Satz 3 DS-GVO zu berücksichtigen, dass derartige Maßnahmen insbesondere dazu geeignet sein müssen, personenbezogene Daten ohne zusätzliches Eingreifen der betroffenen Person vor der Zugänglichmachung gegenüber einem unbestimmten Personenkreis zu schützen. Ändert die betroffene Person jedoch bewusst derartige datenschutzfreundliche Voreinstellungen, ist der Verantwortliche nicht zum Zurücksetzen der Einstellungen verpflichtet.


NACHWEIS DER UMSETZUNG

Wie aus den bisherigen Ausführungen deutlich hervorgeht, lassen die Anforderungen des Art. 25 DS-GVO erheblichen Raum für Argumentationen. Insoweit besteht das Risiko, dass einander entgegenstehende Interessen sowie Rechtsunsicherheiten zu einer unzureichenden Anwendung und einem mangelhaften Nachweis der in Art. 25 DS-GVO dargelegten Anforderungen führen. Dementsprechend gibt Art. 25 Abs. 3 DS-GVO zugleich über genehmigte Zertifizierungsverfahren nach Art. 42 DS-GVO einen entsprechenden Faktor zum Nachweis der entsprechenden Anforderungen an die Hand.

Darüber hinaus empfiehlt sich für Verantwortliche die Festlegung von verbindlichen Leitlinien und internen Strategien, insbesondere zur Gewährleistung der datenschutzrechtlichen Grundsätze sowie deren Nachweis. Weiterhin kann an bestehende Dokumentationen angeknüpft und eine Darstellung potenzieller Risiken und etwaiger Abhilfemaßnahmen im Rahmen einer Risiko-/Schwellenwertanalyse, einer Datenschutz-Folgenabschätzung oder dem Verzeichnis der Verarbeitungstätigkeiten erfolgen.


FAZIT

Zusammenfassend ist festzuhalten, dass es sich bei den Anforderungen aus Art. 25 DS-GVO um eine besonders weitreichende und teilweise schwer zu fassende Thematik handelt. Verantwortliche sollten die Problematik in Abstimmung mit dem Datenschutzbeauftragten zwingend umfassend erörtern sowie notwendige und auf die Verarbeitungstätigkeiten abgestimmte technische und organisatorische Maßnahmen treffen. Zuvor verbindlich festgelegte Leitlinien können insbesondere dabei helfen, die eigentliche Zielsetzung nicht aus dem Blick zu verlieren.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Art. 25 DS-GVO
  • Datenschutzfreundliche Voreinstellungen
  • Datenschutzmanagement
  • Nachweis
  • Technikgestaltung
Lesen

REICHWEITE DER DATENSCHUTZRECHTLICHEN VERANTWORTLICHKEIT BEI KOMMUNEN

Der verantwortlichen Stelle kommt im Normgefüge der Datenschutz-Grundverordnung (DS-GVO) eine ganz besondere Bedeutung zu: Dieser obliegt die Umsetzung der datenschutzrechtlichen Anforderungen, insbesondere der Sicherstellung der datenschutzrechtlichen Grundätze, der Vornahme der weitreichenden Dokumentationspflichten sowie der Implementierung entsprechender Prozesse zur Beantwortung von Betroffenenanfragen und Meldung von Datenschutzverletzungen. Aus diesem Grund stellt sich insbesondere im Zusammenhang mit Kommunen in der Praxis häufig die Frage, wie weit der Begriff der verantwortlichen Stelle zu verstehen ist, beziehungsweise welche Stellen, Einrichtungen und Organe der Kommune als verantwortlichen Stelle zuzurechnen sind.


BEGRIFF DES VERANTWORTLICHEN

Der Begriff des Verantwortlichen (auch „verantwortliche Stelle“) ist in Art. 4 Nr. 7 DS-GVO legaldefiniert. Verantwortlicher ist demnach „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, […].“ Entscheidend für die Feststellung und Abgrenzung einer verantwortlichen Stelle ist demnach, dass die entsprechende Stelle tatsächlich über die Entscheidungsbefugnis hinsichtlich Zwecke und Mittel, das heißt über das „ob“, „warum“ und „wie“, einer Datenverarbeitung verfügt. Sie unterscheidet sich damit beispielsweise grundsätzlich von einem Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO, welcher Datenverarbeitungen stets strikt nach Weisung und im Auftrag einer verantwortlichen Stelle durchführt.

Aus der Legaldefinition des Begriffs der verantwortlichen Stelle folgt demnach auch, dass Datenverarbeitungen von Einzelpersonen oder Personengruppen, die einen Bezug  zu einem Beschäftigtenverhältnis oder einer ähnlich gearteten Tätigkeit aufweisen, grundsätzlich der übergeordneten Stelle, zum Beispiel dem Arbeitgeber, zuzurechnen sind. Führt eine einzelne Person in dieser Konstellation jedoch Datenverarbeitungen zu eigenen Zwecken durch und handelt in diesem Zusammenhang etwa gegen Anweisungen oder Richtlinien der übergeordneten Stelle, ist unter Umständen auch diese als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen. Hierbei ist jedoch nicht auszuschließen, dass die übergeordnete Stelle aufgrund unzureichender technischer und organisatorischer Maßnahmen zumindest eine Mitverantwortung trifft.


KOMMUNE ALS VERANTWORTLICHER

Aus der obigen Darstellung ergibt sich somit ohne Zweifel, dass die einzelnen Fachbereiche und Ämter einer Kommune der Kommune selbst als verantwortlicher Stelle zuzurechnen sind. Unter Umständen weniger eindeutig ist dies jedoch bei einzelnen Gremien oder weiteren Stellen und Einrichtungen:


PERSONALRAT

Parallel zu der Frage, ob der Betriebsrat als Teil der verantwortlichen Stelle anzusehen ist, stellte sich diese Frage ebenso lange Zeit hinsichtlich des Personalrates. Auch wenn es in den landesspezifischen Personalvertretungsgesetzen überwiegend keine zu § 79a Betriebsverfassungsgesetz vergleichbare Regelungen gibt, sprechen die zum Teil hervorgebrachten Argumente für eine Zuordnung zur Kommune als verantwortliche Stelle. Im Ergebnis ergibt sich für den Personalrat eine Mitwirkungsverpflichtung zur Einhaltung der datenschutzrechtlichen Grundsätze sowie zur Umsetzung der datenschutzrechtlichen Dokumentationspflichten, jedoch keine ausschließliche Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DS-GVO.


GEMEINDE-/STADTRAT

Der Gemeinde-/Stadtrat ist grundsätzlich als Verwaltungsorgan und mithin als Organ der jeweiligen Gemeinde beziehungsweise Stadt anzusehen. Als Organ ist der Gemeinde-/Stadtrat demzufolge als integrierter Bestandteil der jeweiligen Gebietskörperschaft als juristischer Person und mithin nicht als eigene verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO zu verstehen. Dies geht beispielsweise auch aus der Informationsbroschüre „Datenschutz für bayerische Gemeinderatsmitglieder“ hervor: „Als ehrenamtliches Gemeinderatsmitglied entscheiden Sie nicht im eigenen Namen und meist auch nicht allein über Datenverarbeitungen Ihrer Gemeinde. Sie wirken vielmehr  an den Entscheidungen des Gemeinderats mit, der seinerseits als Organ für die Gemeinde handelt. Das Handeln dieses Organs wird dann der Gemeinde zugerechnet, mit der Folge, dass sie im Datenschutzrecht die Rolle des Verantwortlichen spielt.“


ORTSCHAFTSRAT

Gleiches gilt im Ergebnis für Ortschaften als nicht rechtsfähige Körperschaften des öffentlichen Rechts sowie die zugehörigen Ortschaftsräte, einschließlich der Ortsvorsteher. Diese sind als unselbständiger Teil der jeweiligen Gemeinde beziehungsweise Stadt anzusehen, sodass die Tätigkeiten des Ortschaftsrates nach datenschutzrechtlichen Gesichtspunkten stets der verantwortlichen Stelle der Kommune zuzurechnen sind.


KINDERTAGESSTÄTTEN

Hinsichtlich der Kindertagesstätten ist für die Beurteilung der datenschutzrechtlichen Verantwortlichkeit zunächst die Frage nach der jeweiligen Trägerschaft entscheidend. Sofern sich eine Kindertagesstätte in der Trägerschaft der jeweiligen Kommune befindet, ist davon auszugehen, dass die Kommune grundsätzlich über die Zwecke und Mittel der Datenverarbeitungen entscheidet. Dies beschränkt sich dann nicht ausschließlich auf die Vergabe der Kindertagesstättenplätze sondern erstreckt sich auch auf die Datenverarbeitungen innerhalb der Kindertagesstätte, wie zum Beispiel das Führen von Anwesenheitslisten, die Vornahme der Entwicklungsdokumentation sowie die Anfertigung von Foto- und Videoaufnahmen. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet. Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch die Kommune verantwortliche Stelle.


KULTUR- UND FREIZEITEINRICHTUNGEN

Bei Kultur- und Freizeiteinrichtungen entscheidet sich die datenschutzrechtliche Verantwortlichkeit anhand des konkreten Betreibers: Oftmals werden für den Betrieb derartiger Einrichtungen (gemeinnützige) Gesellschaften gegründet. Hieraus folgt dann, dass diese Gesellschaft als eigenständige juristische Person und nicht die Kommune als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO einzustufen ist.


UMSETZUNG IN DER PRAXIS

Aufgrund der Strukturen der Kommunalverwaltung und der Vielzahl der Kommune als verantwortliche Stelle zuzurechnender Stellen, Einrichtungen und Organe, ist die Einführung eines umfassenden Datenschutzmanagementsystems zu empfehlen. Aus diesem sollten sich zunächst die Reichweite der datenschutzrechtlichen Verantwortlichkeit der Kommune sowie die hieraus resultierenden Mitwirkungspflichten der einzelnen Personen und Personengruppen (z.B. Gemeinde-/Stadträte, Ortsvorsteher, Beschäftigte der Kindertagesstätten) ergeben. Weiterhin bedarf es der Implementierung von Prozessketten, sodass im Falle von Datenschutzverletzungen oder bei Geltendmachung von Betroffenenrechten sowohl der behördliche Datenschutzbeauftragte als auch die Leitung der verantwortlichen Stelle hiervon unmittelbar Kenntnis erlangen.

Darüber hinaus ist eine weitere Zuweisung von Zuständigkeiten sinnvoll, zum Beispiel: In welchem Rahmen und durch welche Personenkreise erfolgt eine Zuarbeit hinsichtlich der Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DS-GVO sowie der Datenschutzinformationen nach Art. 13 und Art. 14 DS-GVO? Durch welche fachbereichs- oder prozessverantwortliche Stelle erfolgt eine Überprüfung und Aufbewahrung der Verträge zur Auftragsverarbeitung nach Art. 28 DS-GVO beziehungsweise zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO?

Der Kommune obliegt zudem die Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DS-GVO für alle Ämter, Fachbereiche, Gremien, Organe und Einrichtungen. Dies umfasst beispielsweise regelmäßig die Bereitstellung der notwendigen technischen Infrastruktur (z.B. von Laptops und E-Mail-Postfächern) sowie die entsprechende Absicherung (z.B. Verschlüsselung von Festplatten, Einrichtung von Firewalls und Antiviren-Softwares) dieser. Die Nutzung privater Endgeräte und Postfächer wird datenschutzrechtlich regelmäßig als problematisch bis unzulässig einzustufen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzmanagement
  • Kindertagesstätte
  • Kommunalverwaltung
  • Stadtrat
  • Verantwortlichkeit
Lesen

DAS RECHT AUF BERICHTIGUNG NACH ART. 16 DS-GVO

In der Kürze liegt die Würze und der Teufel im Detail. Selten in der Datenschutz-Grundverordnung (DS-GVO) gibt es eine Norm, die so knapp gehalten ist und für beide Seiten – Verantwortlicher und Betroffener – gleichermaßen Bedeutung genießt. Als Bestandteil der Betroffenenrechte des Kapitel III der DS-GVO, gewährleistet Art. 16 in zwei Sätzen dem Betroffenen die Berichtigung unrichtiger (S. 1) und die Vervollständigung unvollständiger (S. 2) personenbezogener Daten. Nicht nur aus dem Grundsatz der Richtigkeit gemäß Art. 5 Abs. 1 lit. d DS-GVO trägt der Verantwortliche dafür Sorge, dass verarbeitete personenbezogene Daten richtig sind. Das Recht auf Berichtigung ergänzt und unterstützt den Verantwortlichen, seine Verpflichtung unrichtige Daten zu berichtigen. Richtige Daten sind für die Datenschutz-Compliance beim Verantwortlichen essenziell. Unvollständige Daten generieren unrichtige Ergebnisse. Die Richtigkeit vorhandener Daten der betroffenen Person verhindert negative Auswirkungen auf interne Verarbeitungsprozesse. Das Recht und die Pflicht im Detail:


BERICHTIGUNG

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen, Art. 16 S. 1 DS-GVO. Unrichtig sind solche Daten, die objektiv nicht mit der Wirklichkeit übereinstimmen. Beispiele sind etwa unzutreffende Angaben zu Name, Adresse oder Geburtsdatum. Der Anspruch bezieht sich grundsätzlich auf Tatsachenangaben und nicht auf Meinungen oder Werturteile. Unerheblich für die Geltendmachung des Anspruchs ist, ob die Daten von Anfang an falsch abgespeichert wurden oder sich die Daten der Person geändert haben.  Der Berichtigungsanspruch des Betroffenen ist ein Interventionsrecht, mit dem er die Rechtslage gestalten kann.


VERVOLLSTÄNDIGUNG

Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, Art. 16 S. 2 DS-GVO. Unvollständig sind Daten, wenn das Fehlen von Angaben im konkreten Informationszusammenhang zu einer Irreführung oder Missverständnissen führt. Letzteres wäre der Fall, wenn Fehlzeiten eines Arbeitnehmers festgehalten werden, ohne dass nach den Gründen wie Fortbildung, Urlaub oder Krankheit usw. differenziert wird. Vervollständigung kann dem Wortlaut nach nur „unter Berücksichtigung der Zwecke der Verarbeitung“ verlangt werden, wobei der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DS-GVO maßgeblich zu berücksichtigen ist. Personenbezogene Daten dürfen nur insoweit erhoben werden, als sie zwingend für den jeweiligen Zweck erforderlich sind.


BESCHRÄNKUNG DES RECHTS AUF BERICHTIGUNG

Ausnahmen von der Berichtigungspflicht werden in Art. 16 DS-GVO nicht direkt generiert. Allerdings wird der Union und den nationalen Gesetzgebern durch die Art. 23 sowie Art. 89 Abs. 2 und 3 DS-GVO („Öffnungsklauseln“), die Möglichkeit eröffnet den Berichtigungsanspruch zu beschränken. Von einer solchen Beschränkung hat der deutsche Gesetzgeber zum Beispiel in den §§ 27 Abs. 2 und 28 Abs. 3 Bundesdatenschutzgesetz (BDSG) für Forschungs-, Statistik- und Archivzwecke gebrauch gemacht. Danach kann ein Betroffener seinen Berichtigungsanspruch nicht geltend machen, wenn dadurch die zur Verarbeitung festgelegten Zwecke beeinträchtigt werden.


DER ABLAUF EINES BERICHTIGUNGSPROZESSES

Das Recht der betroffenen Person auf Berichtigung hängt eng mit den Transparenzrechten, insbesondere mit dem Auskunftsrecht nach Art. 15 DS-GVO zusammen. Ohne das Recht auf Auskunft könnte der Betroffene von seinem Berichtigungsrecht nicht Gebrauch machen, denn er wüsste nicht von den falschen Informationen, die über ihn verarbeitet werden.

Grundsätzlich kann ein Berichtigungsantrag von jeder natürlichen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch gestellt werden. Im Rahmen eines konkreten Antrags auf Berichtigung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Der Berichtigungsanspruch umfasst sämtliche Datenbestände, in denen die unrichtigen personenbezogenen Daten des Antragstellers gespeichert sind. Die Berichtigung der Daten ist unverzüglich durch eine entsprechende Maßnahme durchzuführen. Bezogen auf den Einzelfall, kann dies durch Veränderung, teilweise oder vollständige Löschung oder Speicherung ergänzender oder neu erhobener Daten erfolgen. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. Maßnahmen des Berichtigungsantrages zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.

Hat der Verantwortliche die gespeicherten personenbezogenen Daten des Antragstellers an Dritte übermittelt, müssen auch diese über die Berichtigung der Daten informiert werden, sofern dies vernünftigerweise möglich ist. Alle zur Berichtigung ergriffenen Maßnahmen, sind unentgeltlich zu erbringen.


VERSTOß GEGEN DAS RECHT AUF BERICHTIGUNG

Verstöße gegen Betroffenenrechte sind keine Kavaliersdelikte. Ein Verstoß gegen das Recht auf Berichtigung, kann mit Geldbußen entsprechend des Art. 83 Abs. 5 lit. b DS-GVO geahndet werden. Daneben steht der betroffenen Person ein Schadensersatzanspruch gemäß Art. 82 DS-GVO zu, soweit ihr durch die Verarbeitung sie betreffender unrichtiger Daten ein materieller oder immaterieller Schaden entstanden ist.


FAZIT

Auf den ersten Blick handelt es sich um eine klare und einfache Regelung, die sich bei näherer Betrachtung als sehr Komplex erweist. Für den Verantwortlichen besteht die Herausforderung vor allem darin, die unterschiedlichen Betroffenenrechte auseinanderzuhalten und die jeweiligen Voraussetzungen zu kennen. Der Berichtigungsanspruch ist zügig, kontrolliert und dokumentiert durchzuführen. Es lohnt sich auch diesen Prozess zu standardisieren und in einem Datenschutzkonzept in einfach umsetzbaren Routinen zu berücksichtigen. 

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

    Tags:
  • Art. 16 DS-GVO
  • Berichtigung
  • Betroffenenrechte
  • Datenschutzmanagement
  • Vervollständigung
Lesen

DER AUSKUNFTSANSPRUCH NACH ART. 15 DS-GVO

Mit der Datenschutz-Grundverordnung (DS-GVO) kam es zu einer umfassenden Erweiterung der Betroffenenrechte. Einen großen Anteil der neugewonnen Präsenz der Betroffenenrechte ist dem Auskunftsrecht nach Art. 15 DS-GVO zuzuschreiben. Dies ist nicht zuletzt darauf zurückzuführen, dass das Auskunftsrecht wohl das am häufigsten geltend gemachte Betroffenenrecht aus der DS-GVO darstellt. Bedeutung erlangen in diesem Zusammenhang immer öfter Generatoren (beispielsweise www.itsmydata.de), welche sich ebenfalls für den Anstieg von Betroffenenanfragen verantwortlich zeichnen müssen.


WORUM GEHT ES BEI EINEM AUSKUNFTSANSPRUCH?

Die gesetzgeberische Intention hinter der Stärkung der Betroffenenrechte im Kapitel III der DS-GVO ist klar: Schaffung von Transparenz und mithin die Wahrung des Grundsatzes gemäß Art. 5 Abs. 1 lit. a) DS-GVO. Der Auskunftsanspruch ist – soweit auch unstreitig – dem Grunde nach dazu angelegt, die Überprüfung der Rechtmäßigkeit einer Datenverarbeitung durchzuführen und somit letztlich auch der Ausübung des Rechts auf informationelle Selbstbestimmung nachzukommen. In Der Praxis wird der Auskunftsanspruch – insbesondere im arbeitsrechtlichen Prozess – als taktisches Mittel verwendet, um „Druck“ auf die Gegenseite auszuüben und/oder einen Überblick über vorhandene Datenbestände zu erlangen, um unter Umständen Folgeansprüche vorzubereiten.

Neben dem „reinen“ Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO, wohnt dem Art. 15 Abs. 3 DS-GVO zudem das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, inne. Darüber hinaus kann das Recht auf Auskunft zur Vorbereitung der Geltendmachung weiterer Betroffenenrechte, beispielsweise des Rechtes auf Berichtigung gemäß Art. 16 DS-GVO oder des Rechtes auf Löschung gemäß Art. 17 DS-GVO dienen.

Allerdings ergeben sich abseits zahlreicher juristischer Streitigkeiten rund um die Reichweite des Anspruchs für Verantwortliche bei der Umsetzung in der Praxis einige inhaltliche sowie prozessuale Herausforderungen, welche im Folgenden näher beleuchtet werden sollen.


WELCHE SCHWIERIGKEITEN BESTEHEN IM RAHMEN EINES AUFKUNFTERSUCHENS?

Bei der Betrachtung des Art. 15 DS-GVO entsteht regelmäßig Diskussionsbedarf, insbesondere in Bezug auf die Fragen:
– Müssen dem Antragsteller auch Daten zur Verfügung gestellt werden, welche ihm bereits vorliegen?
– Muss der Anspruch auf Erhalt einer Kopie gesondert geltend gemacht werden?
– Welchen Umfang entfaltet das Recht auf Erhalt einer Kopie?
– Wann kann der Anspruch auf Erhalt der Kopie beschränkt werden?
– Wann gilt ein Auskunftsbegehren als unverhältnismäßig?

Das Hauptaugenmerk soll nun auf die praktische Umsetzung gelegt werden. Für die Bearbeitung von Auskunftsersuchen genügt insoweit nicht, wenn sich der Blick des Anwenders nur auf Art. 15 DS-GVO richtet. Vielmehr ist eine Gesamtschau mit den Normen aus Art. 4, Art. 11 und Art. 12 DS-GVO notwendig. Außerdem finden sich weitere Bestimmungen – insbesondere zu Ausnahmetatbeständen – im Bundesdatenschutzgesetz (BDSG).


WIE LÄUFT EIN AUSKUNFTSPROZESS AB?

Den Stein des Anstoßes bei einem Auskunftsprozess bildet der Antrag des Betroffenen, vgl. Art. 12 Abs. 2 Satz 1 DS-GVO. Der Verantwortliche ist gemäß Art. 12 Abs. 1 DS-GVO dazu angehalten die Betroffenen bei der Wahrnehmung ihrer Rechte zu unterstützen. Eingehen können Betroffenenanfragen auf allen denkbaren Kommunikationskanälen der verantwortlichen Stelle. Unter Umständen ist eine Auslegung der Anfrage notwendig, insbesondere wenn der Betroffene sich nicht ausdrücklich auf Art. 15 DS-GVO beruft – was er selbstverständlich nicht muss. Es genügt insoweit ein formloser Antrag, welcher keiner Begründung bedarf. Damit Verantwortliche weiterführende Datenschutzverstöße vermeiden können, empfiehlt sich strengstens die Identität des Antragstellers zu überprüfen. Über das exakte Vorgehen haben wir bereits berichtet. Es ist dem Antragsteller ebenfalls unbenommen in zwei Stufen vorzugehen:
– zunächst kann die betroffene Person eine Bestätigung verlangen, ob bei dem Verantwortlichen sie betreffende personenbezogene Daten verarbeitet werden;
– um bejahendenfalls auf einer zweiten Stufe um Auskunft über diese personenbezogenen Daten sowie die Informationen des Art. 15 Abs. 1 lit. a) bis h) DS-GVO zu verlangen.

Verarbeitet der Verantwortliche große Mengen an Informationen, besteht nach Erwägungsgrund (ErwG) 63 S. 7 DS-GVO die Möglichkeit, dass er vom Betroffenen verlangen kann, dass dieser seine Anfrage derart präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht.

Um auf Auskunftsersuchen beziehungsweise allgemein Betroffenenanfragen fristgerecht (unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags gemäß Art. 12 Abs. 3 DS-GVO) empfiehlt sich die Implementierung eines Melde- und Bearbeitungsprozesses, beispielsweise durch eine interne Anweisung, Richtlinie oder Policy zum Umgang mit Betroffenenanfragen.  Ein solche Prozess kann folgende Etappen umfassen:
– Antragseingang und gegebenenfalls Auslegung des Betroffenenbegehren,
– Eingang dokumentieren und Frist für die Beantwortung notieren,
– Eingangsbestätigung an den Antragsteller senden (vgl. Art. 5 Abs. 2 DS-GVO),
– Identitätsprüfung durchführen,
– Vorliegen von Beschränkungen prüfen (vgl. Art. 15 Abs. 4 DS-GVO, §§ 29, 34 BDSG etc.),
– Datenbestände prüfen,
– gegebenenfalls Fristverlängerung begründen (vgl. Art. 12 Abs. 3 Satz 2 DS-GVO),
– Form der Beantwortung einhalten (schriftlich/elektronisch, jedenfalls identischer Kommunikationsweg),
– Auskunft oder Negativauskunft erteilen (aufgrund fehlenden Identitätsnachweises, dem Vorliegen von Beschränkungen, kein Vorliegen von Datenbeständen etc.),
– Kopie der personenbezogenen Daten zur Verfügung stellen,
– Ausgang der Antwort dokumentieren und Frist streichen,
– gesetzliche Aufbewahrungsfrist von Betroffenenanfragen einhalten (Art. 83 und Art. 5 DS-GVO, § 41 BDSG, § 31 Gesetz über Ordnungswidrigkeiten (OWiG)).

Nicht nur aus Gründen zur Erfüllung der Rechenschaftspflicht und im Sinne eines funktionierenden Managementsystems empfiehlt sich die Initiierung und Fortschreibung eines solchen Prozesses. Vielmehr kann ein vorgeschriebener Ablauf bei den Anwendern – also den Beschäftigten der verantwortlichen Stelle – für Sicherheit im Umgang mit Betroffenenanfragen sorgen.


WELCHE KONSEQUENZEN DROHEN BEI FEHLERHAFTEN AUSKUNFTSPROZESSEN?

Die Folgen von unterbliebenen beziehungsweise verspätet erteilten Auskünften liegen auf der Hand: Es besteht das Risiko eines Gesetzesverstoßes, welcher durch eine Aufsichtsbehörde geahndet werden kann, beispielsweise im Rahmen der Sanktionierung von Art. 83 DS-GVO. Daneben steht den Betroffenen die Möglichkeit der Geltendmachung eines Schadenersatzanspruches gemäß Art. 82 DS-GVO zu, wobei es hier aber zentral auf die Nachweisbarkeit eines konkreten Schadens ankommen wird.


FAZIT

Unabdingbar für die (fristgerechte) Bearbeitung von Betroffenenanfragen ist die Etablierung entsprechender Prozesse mitsamt Dokumentation der konkreten Einzelfälle. Hilfestellungen zum Umgang mit Anfragen Betroffener in der Praxis finden sich unter anderem beim Bayrischen Landesamt für Datenschutzaufsicht sowie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Art. 15 DS-GVO
  • Auskunftsanspruch
  • Bearbeitungsprozess
  • Betroffenenrechte
  • Datenschutzmanagement
Lesen