Betroffenenrechte managen – Recht auf Auskunft

Eine Betroffenenanfrage erhalten. Und nun?

Die Datenschutz-Grundverordnung (DS-GVO) ist dazu da, personenbezogene Daten aller Bürger und Verbraucher zu schützen. Mit Kapitel III der DSGVO werden die Betroffenenrechte gestärkt und auch modernisiert. So normiert z. B. Art. 12 DSGVO die Anforderungen an die Transparenz der Informationen, an die Kommunikation und die Modalitäten für die Ausübung der Rechte der betroffenen Person. Die DS-GVO hat die Betroffenenrechte erheblich gestärkt. Insbesondere gilt dies für die unter Art. 15 DS-GVO gewährleisteten Rechte – Auskunftsrecht der betroffenen Person.

Das Auskunftsrecht gehört zu einer der zahlreichen, aber nicht neuen, Bestimmungen der DS-GVO. Verbraucher und Bürger (natürliche Personen) haben Anspruch darauf zu erfahren, welche personenbezogenen Daten Organisationen über sie speichern. Dabei kann es sich von Chatprotokollen bis zu Kreditkartennummer, um alle möglichen Informationen handeln.

Artikel 15 DSGVO regelt das Auskunftsrecht der betroffenen Person:
„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: […]“
Artikel 15 Absatz 1 DSGVO regelt außerdem, über welche Daten die Organisation zu beauskunften hat (Ergänzung: § 57 BDSG; § 33 DSG (Österreich), […] so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
1.   die Verarbeitungszwecke;
2.   die Kategorien personenbezogener Daten, die verarbeitet werden;
3.   die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
4.   falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. […]

Der Erwägungsgrund 64 gibt Hinweise zur Identitätsprüfung:
„Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen […].“

Das Auskunftsrecht ist für die betroffene Person unter mehreren Aspekten bedeutsam. Es soll zunächst sicherstellen, dass sie sich bewusst ist, ob überhaupt Daten, die sie betroffenen, verarbeitet werden (Knyrim, R., Datenschutz-Grundverordnung, S. 350). [1]

Artikel 15 DSGVO beschreibt ein Recht von betroffenen Personen auf Auskunft, dies gilt auch für Beschäftigte. Für Unternehmen ist das zentrale Betroffenenrecht als Pflicht des Arbeitgebers zu betrachten. Das Auskunftsrecht von Arbeitnehmern ist als Recht proaktiv in der innerbetrieblichen Organisation auf Basis des Art. 24 Abs. 1 DS-GVO als Routinemaßnahme mit stets aktualisiertem Datenbestand zu implizieren. Da die Arbeitnehmer Kenntnis ihrer eigenen Organisationen haben, können sie auch leichter als Außenstehende verifizieren, ob das Auskunftsrecht durch den Arbeitgeber zutreffend erfüllt wird (Wächter, M., XII. Transparenzpflichten, S. 258).[2]

Der Verantwortliche stellt der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung. Wird der Antrag elektronisch gestellt, muss der Verantwortliche auch die Informationen in einem gängigen elektronischen Format zur Verfügung stellen, soweit die betroffene Person nichts anders angibt. Er hat dabei sicherzustellen, dass die Auskunft nur der betroffenen oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.[3]

Eine Studie von James Pavur (britischer Doktorand in Oxford) belegt, dass Organisationen ohne die Identität von betroffenen Personen ausreichend zu prüfen und zu kontrollieren, umfangreich personenbezogene Daten herausgeben.
Pavur verwendete gefälschte E-Mail-Adressen für diverse Auskunftsersuchen und hatte Erfolg. Laut Pavur antworteten 72 % der 150 angeschriebenen Unternehmen. Zwei Drittel der Antworten gaben Auskunft darüber, ob Daten der Testperson gespeichert waren, 24 % der antwortenden Unternehmen übermittelten die bei Ihnen gespeicherten personenbezogenen Daten ohne einen weiteren Identitätscheck, in mehreren Fällen wurden sogar höchstpersönliche Daten sowie Kontodaten übermittelt.

Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg (LfDI) hat bereits am 06. Februar 2019 hierzu einen Beitrag zur Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DSG-VO auf seiner Webseite veröffentlicht. Darin wird erläutert, wie der Verantwortliche mit einem Auskunftsersuchen einer betroffenen Person im Hinblick auf die Identitätsprüfung umzugehen hat. Selbstverständlich gelten diese Erläuterungen auch für alle weiteren Betroffenenrechte.

Um missbräuchliche Auskunftsbegehren zu verhindern, sieht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Vorlage eines Personaldokuments zur Legitimation (in Einzelfällen) als zulässig an. Von der Ausweiskopie werden „regelmäßig nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer benötigt“ und alle anderen Daten können auf der Kopie grundsätzlich geschwärzt werden, wie der BfDI weiter ausführt. Selbstverständlich ist, dass die Daten auf der Ausweiskopie einer strengen Zweckbindung unterliegen und ausschließlich zur Identitätsprüfung verwendet werden, nicht aber in den Datenbestand der verantwortlichen Stelle einfließen dürfen.[4] Es bedarf nicht immer einer Ausweiskopie, um den Auskunftsersuchenden hinreichend zu identifizieren. Eine Rückfrage bei der betroffenen Person und Anforderung von zusätzlichen Informationen, wie z.B. einer Kunden-Nr., Kfz-Kennzeichen oder ähnliches, um eine eindeutige Identifizierung zu ermöglichen, ist jederzeit möglich.

Sollte die Organisation keine personenbezogenen Daten von dem Auskunftsersuchenden verarbeitet und gespeichert haben, hat dennoch eine Antwort an die betroffene Position, in Form einer „Negativauskunft“ zu erfolgen.

Eine Offenlegung von personenbezogenen Daten durch die Beauskunftung gegenüber „dem falschen Betroffenen“, sprich einem Unberechtigten, stellt regelmäßig eine Datenschutzverletzung dar. In Abhängigkeit der dabei offengelegten Daten und Risiken für die betroffene Person, ist dies auch gegenüber der Datenschutzbehörde meldepflichtig.

Es gilt die eigenen Prozesse als Verantwortlicher sowie als Auftragsverarbeiter „sauber“ zu definieren, die Mitarbeiter:innen entsprechend zu sensibilisieren und vor allem Zuständigkeiten zu benennen.
Der Verantwortliche wie z.B. Unternehmen, Organisationen, Vereine, Steuerberater, Arztpraxen, sollte sich in Zusammenarbeit mit seinem Datenschutzbeauftragten vor einem Auskunftsersuchen – wie auch für Recht auf Berichtigung, Löschung sowie Datenportabilität – Gedanken machen, wie eine eindeutige Identifizierung des Anfragenden gewährleistet werden kann.

Die Ursache einer nicht korrekten und / oder mangelhaften Beauskunftung liegt nicht an einer Schwachstelle der Gesetzgebung, sondern i.d.R. an mangelhaften Prozessen und Anweisungen innerhalb der Unternehmen und Betriebe.

Und auch hier gilt: Die/Der Datenschutzbeauftragte sollte rechtzeitig eingebunden werden, am besten von Anfang an.

Noch ein Hinweis: Im Rahmen der Nachweis- und Rechenschaftspflicht empfiehlt es sich, das Auskunftsersuchen und dessen Antworten drei Jahre aufzubewahren (Art. 5 Abs. 2 DS-GVO). Über diese Verarbeitung (Speicherung) ist der Betroffene selbstverständlich im Rahmen des Auskunftsersuchens ebenfalls zu informieren (Art. 15 Abs. 1 lit. d DS-GVO).

Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.

Autorin: Regina Mühlich, Expertin für Datenschutz (30. März 2021)

Link-Hinweise:
AdOrga Solutions GmbH: DS-GVO – Recht auf Auskunft https://www.adorgasolutions.de/ds-gvo-recht-auf-auskunft/ 
BayLfD OH Das Recht auf Auskunft nach der Datenschutzgrundverordnung https://www.datenschutz-bayern.de/auskunftsrecht/
LfdI BW, Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DS-GVO https://www.baden-wuerttemberg.datenschutz.de/identitaetspruefung-bei-elektronischen-auskunftsersuchen-nach-art-15-ds-gvo/
BfDI: Überlick/Meine Rechte/Recht auf Auskunft https://www.bfdi.bund.de/DE/Datenschutz/Ueberblick/MeineRechte/Artikel/Auskunftsrecht.html
Studie James Pavur GDPArrrrr: Using Privacy Laws to Steal Identities” 

[1] Knyrim, R., Kap. III, In: Ehmann/Selmayr, (2018), Datenschutz-Grundverordnung, 2. Auflage, C.H. Beck  [2] Wächter, M., Teil A, Kap. XII, In: Weth, Herberger, Wächter, Sorge, (2019) Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Auflage, C.H. Beck
[3] Kranig, Th., Sachs, A., Gierschmann, M., (2017), Datenschutz-Compliance nach der DSGVO, Bundesanzeiger Verlag GmbH, Köln.
[4] BfDI: Recht auf Auskunft, https://www.bfdi.bund.de/DE/Datenschutz/Ueberblick/MeineRechte/Artikel/Auskunftsrecht.html zuletzt aufgerufen im Dezember 2019.