AdOrga Solutions GmbH - DSGVO

Die Da­ten­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) ist dazu da, per­so­nen­be­zo­ge­ne Daten aller Bürger und Ver­brau­cher zu schüt­zen. Mit Kapitel III der DSGVO werden die Be­trof­fe­nen­rech­te ge­stärkt und auch mo­der­ni­siert. So nor­miert z. B. Art. 12 DSGVO die An­for­de­run­gen an die Trans­pa­renz der In­for­ma­tio­nen, an die Kom­mu­ni­ka­ti­on und die Mo­da­li­tä­ten für die Aus­übung der Rechte der be­trof­fe­nen Person. Die DS-GVO hat die Be­trof­fe­nen­rech­te er­heb­lich ge­stärkt. Ins­be­son­de­re gilt dies für die unter Art. 15 DS-GVO ge­währ­leis­te­ten Rechte – Aus­kunfts­recht der be­trof­fe­nen Person.

Das Aus­kunfts­recht gehört zu einer der zahl­rei­chen, aber nicht neuen, Be­stim­mun­gen der DS-GVO. Ver­brau­cher und Bürger (na­tür­li­che Per­so­nen) haben An­spruch darauf zu er­fah­ren, welche per­so­nen­be­zo­ge­nen Daten Or­ga­ni­sa­tio­nen über sie spei­chern. Dabei kann es sich von Chat­pro­to­kol­len bis zu Kre­dit­kar­ten­num­mer, um alle mög­li­chen In­for­ma­tio­nen handeln.

Artikel 15 DSGVO regelt das Aus­kunfts­recht der be­trof­fe­nen Person:
„Die be­trof­fe­ne Person hat das Recht, von dem Ver­ant­wort­li­chen eine Be­stä­ti­gung darüber zu ver­lan­gen, ob sie be­tref­fen­de per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet werden; ist dies der Fall, so hat sie ein Recht auf Aus­kunft über diese per­so­nen­be­zo­ge­nen Daten und auf fol­gen­de Informationen: […]“
Artikel 15 Absatz 1 DSGVO regelt au­ßer­dem, über welche Daten die Or­ga­ni­sa­ti­on zu be­aus­kunf­ten hat (Er­gän­zung: § 57 BDSG; § 33 DSG (Ös­ter­reich), […] so hat sie ein Recht auf Aus­kunft über diese per­so­nen­be­zo­ge­nen Daten und auf fol­gen­de Informationen:
1.   die Verarbeitungszwecke;
2.   die Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten, die ver­ar­bei­tet werden;
3.   die Emp­fän­ger oder Ka­te­go­rien von Emp­fän­gern, ge­gen­über denen die per­so­nen­be­zo­ge­nen Daten of­fen­ge­legt worden sind oder noch of­fen­ge­legt werden, ins­be­son­de­re bei Emp­fän­gern in Dritt­län­dern oder bei in­ter­na­tio­na­len Organisationen;
4.   falls möglich die ge­plan­te Dauer, für die die per­so­nen­be­zo­ge­nen Daten ge­spei­chert werden, oder, falls dies nicht möglich ist, die Kri­te­ri­en für die Fest­le­gung dieser Dauer;
5. […]

Der Er­wä­gungs­grund 64 gibt Hin­wei­se zur Identitätsprüfung:
„Der Ver­ant­wort­li­che sollte alle ver­tret­ba­ren Mittel nutzen, um die Iden­ti­tät einer Aus­kunft su­chen­den be­trof­fe­nen Person zu über­prü­fen, ins­be­son­de­re im Rahmen von Online-Diens­­ten und im Fall von Online-Kennungen […].“

Das Aus­kunfts­recht ist für die be­trof­fe­ne Person unter meh­re­ren Aspek­ten be­deut­sam. Es soll zu­nächst si­cher­stel­len, dass sie sich bewusst ist, ob über­haupt Daten, die sie be­trof­fe­nen, ver­ar­bei­tet werden (Knyrim, R., Da­ten­­schutz-Grun­d­­ver­­or­d­­nung, S. 350). [1]

Artikel 15 DSGVO be­schreibt ein Recht von be­trof­fe­nen Per­so­nen auf Aus­kunft, dies gilt auch für Be­schäf­tig­te. Für Un­ter­neh­men ist das zen­tra­le Be­trof­fe­nen­recht als Pflicht des Ar­beit­ge­bers zu be­trach­ten. Das Aus­kunfts­recht von Ar­beit­neh­mern ist als Recht pro­ak­tiv in der in­ner­be­trieb­li­chen Or­ga­ni­sa­ti­on auf Basis des Art. 24 Abs. 1 DS-GVO als Rou­ti­ne­maß­nah­me mit stets ak­tua­li­sier­tem Da­ten­be­stand zu im­pli­zie­ren. Da die Ar­beit­neh­mer Kennt­nis ihrer eigenen Or­ga­ni­sa­tio­nen haben, können sie auch leich­ter als Au­ßen­ste­hen­de ve­ri­fi­zie­ren, ob das Aus­kunfts­recht durch den Ar­beit­ge­ber zu­tref­fend erfüllt wird (Wächter, M., XII. Trans­pa­renz­pflich­ten, S. 258).[2]

Der Ver­ant­wort­li­che stellt der be­trof­fe­nen Person eine Kopie der per­so­nen­be­zo­ge­nen Daten zur Ver­fü­gung. Wird der Antrag elek­tro­nisch ge­stellt, muss der Ver­ant­wort­li­che auch die In­for­ma­tio­nen in einem gän­gi­gen elek­tro­ni­schen Format zur Ver­fü­gung stellen, soweit die be­trof­fe­ne Person nichts anders angibt. Er hat dabei si­cher­zu­stel­len, dass die Aus­kunft nur der be­trof­fe­nen oder einer von ihr be­voll­mäch­tig­ten Person erteilt wird und die Rechte und Frei­hei­ten anderer Per­so­nen nicht be­ein­träch­tigt werden.[3]

Eine Studie von James Pavur (bri­ti­scher Dok­to­rand in Oxford) belegt, dass Or­ga­ni­sa­tio­nen ohne die Iden­ti­tät von be­trof­fe­nen Per­so­nen aus­rei­chend zu prüfen und zu kon­trol­lie­ren, um­fang­reich per­so­nen­be­zo­ge­ne Daten herausgeben.
Pavur ver­wen­de­te ge­fälsch­te E-Mail-Adres­­sen für diverse Aus­kunfts­er­su­chen und hatte Erfolg. Laut Pavur ant­wor­te­ten 72 % der 150 an­ge­schrie­be­nen Un­ter­neh­men. Zwei Drittel der Ant­wor­ten gaben Aus­kunft darüber, ob Daten der Test­per­son ge­spei­chert waren, 24 % der ant­wor­ten­den Un­ter­neh­men über­mit­tel­ten die bei Ihnen ge­spei­cher­ten per­so­nen­be­zo­ge­nen Daten ohne einen wei­te­ren Iden­ti­tätscheck, in meh­re­ren Fällen wurden sogar höchst­per­sön­li­che Daten sowie Kon­to­da­ten übermittelt.

Der Lan­des­be­auf­trag­te für Daten­schutz und In­for­ma­ti­ons­si­cher­heit Baden-Wür­t­­te­m­­berg (LfDI) hat bereits am 06. Februar 2019 hierzu einen Beitrag zur Iden­ti­täts­prü­fung bei elek­tro­ni­schen Aus­kunfts­er­su­chen nach Art. 15 DSG-VO auf seiner Web­sei­te ver­öf­fent­licht. Darin wird er­läu­tert, wie der Ver­ant­wort­li­che mit einem Aus­kunfts­er­su­chen einer be­trof­fe­nen Person im Hin­blick auf die Iden­ti­täts­prü­fung um­zu­ge­hen hat. Selbst­ver­ständ­lich gelten diese Er­läu­te­run­gen auch für alle wei­te­ren Betroffenenrechte.

Um miss­bräuch­li­che Aus­kunfts­be­geh­ren zu ver­hin­dern, sieht der Bun­des­be­auf­trag­te für den Daten­schutz und die In­for­ma­ti­ons­frei­heit (BfDI) die Vorlage eines Per­so­nal­do­ku­ments zur Le­gi­ti­ma­ti­on (in Ein­zel­fäl­len) als zu­läs­sig an. Von der Aus­weis­ko­pie werden „re­gel­mä­ßig nur Name, An­schrift, Ge­burts­da­tum und Gül­tig­keits­dau­er be­nö­tigt“ und alle anderen Daten können auf der Kopie grund­sätz­lich ge­schwärzt werden, wie der BfDI weiter aus­führt. Selbst­ver­ständ­lich ist, dass die Daten auf der Aus­weis­ko­pie einer stren­gen Zweck­bin­dung un­ter­lie­gen und aus­schließ­lich zur Iden­ti­täts­prü­fung ver­wen­det werden, nicht aber in den Da­ten­be­stand der ver­ant­wort­li­chen Stelle ein­flie­ßen dürfen.[4] Es bedarf nicht immer einer Aus­weis­ko­pie, um den Aus­kunfts­er­su­chen­den hin­rei­chend zu iden­ti­fi­zie­ren. Eine Rück­fra­ge bei der be­trof­fe­nen Person und An­for­de­rung von zu­sätz­li­chen In­for­ma­tio­nen, wie z.B. einer Kunden-Nr., Kfz-Ken­n­­zei­chen oder ähn­li­ches, um eine ein­deu­ti­ge Iden­ti­fi­zie­rung zu er­mög­li­chen, ist je­der­zeit möglich.

Sollte die Or­ga­ni­sa­ti­on keine per­so­nen­be­zo­ge­nen Daten von dem Aus­kunfts­er­su­chen­den ver­ar­bei­tet und ge­spei­chert haben, hat dennoch eine Antwort an die be­trof­fe­ne Po­si­ti­on, in Form einer „Ne­ga­tiv­aus­kunft“ zu erfolgen.

Eine Of­fen­le­gung von per­so­nen­be­zo­ge­nen Daten durch die Be­aus­kunf­tung ge­gen­über „dem fal­schen Be­trof­fe­nen“, sprich einem Un­be­rech­tig­ten, stellt re­gel­mä­ßig eine Da­ten­schutz­ver­let­zung dar. In Ab­hän­gig­keit der dabei of­fen­ge­leg­ten Daten und Risiken für die be­trof­fe­ne Person, ist dies auch ge­gen­über der Da­ten­schutz­be­hör­de meldepflichtig.

Es gilt die eigenen Pro­zes­se als Ver­ant­wort­li­cher sowie als Auf­trags­ver­ar­bei­ter „sauber“ zu de­fi­nie­ren, die Mitarbeiter:innen ent­spre­chend zu sen­si­bi­li­sie­ren und vor allem Zu­stän­dig­kei­ten zu benennen.
Der Ver­ant­wort­li­che wie z.B. Un­ter­neh­men, Or­ga­ni­sa­tio­nen, Vereine, Steu­er­be­ra­ter, Arzt­pra­xen, sollte sich in Zu­sam­men­ar­beit mit seinem Da­ten­schutz­be­auf­trag­ten vor einem Aus­kunfts­er­su­chen – wie auch für Recht auf Be­rich­ti­gung, Lö­schung sowie Da­ten­por­ta­bi­li­tät – Ge­dan­ken machen, wie eine ein­deu­ti­ge Iden­ti­fi­zie­rung des An­fra­gen­den ge­währ­leis­tet werden kann.

Die Ursache einer nicht kor­rek­ten und / oder man­gel­haf­ten Be­aus­kunf­tung liegt nicht an einer Schwach­stel­le der Ge­setz­ge­bung, sondern i.d.R. an man­gel­haf­ten Pro­zes­sen und An­wei­sun­gen in­ner­halb der Un­ter­neh­men und Betriebe.

Und auch hier gilt: Die/Der Datenschutz­beauftragte sollte recht­zei­tig ein­ge­bun­den werden, am besten von Anfang an.

Noch ein Hinweis: Im Rahmen der Nach­­­weis- und Re­chen­schafts­pflicht emp­fiehlt es sich, das Aus­kunfts­er­su­chen und dessen Ant­wor­ten drei Jahre auf­zu­be­wah­ren (Art. 5 Abs. 2 DS-GVO). Über diese Ver­ar­bei­tung (Spei­che­rung) ist der Be­trof­fe­ne selbst­ver­ständ­lich im Rahmen des Aus­kunfts­er­su­chens eben­falls zu in­for­mie­ren (Art. 15 Abs. 1 lit. d DS-GVO).

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

Autorin: Regina Mühlich, Ex­per­tin für Daten­schutz (30. März 2021)

Link-Hin­­wei­­se:
AdOrga Solutions GmbH: DS-GVO – Recht auf Aus­kunft https://www.adorgasolutions.de/ds-gvo-recht-auf-auskunft/ 
BayLfD OH Das Recht auf Aus­kunft nach der Da­ten­schutz­grund­ver­ord­nung https://www.datenschutz-bayern.de/auskunftsrecht/
LfdI BW, Iden­ti­täts­prü­fung bei elek­tro­ni­schen Aus­kunfts­er­su­chen nach Art. 15 DS-GVO https://www.baden-wuerttemberg.datenschutz.de/identitaetspruefung-bei-elektronischen-auskunftsersuchen-nach-art-15-ds-gvo/
BfDI: Überlick/Meine Rechte/Recht auf Aus­kunft https://www.bfdi.bund.de/DE/Datenschutz/Ueberblick/MeineRechte/Artikel/Auskunftsrecht.html
Studie James Pavur GDPArrrrr: Using Privacy Laws to Steal Iden­ti­ties” 

[1] Knyrim, R., Kap. III, In: Ehmann/Selmayr, (2018), Da­ten­­schutz-Grun­d­­ver­­or­d­­nung, 2. Auflage, C.H. Beck  [2] Wächter, M., Teil A, Kap. XII, In: Weth, Her­ber­ger, Wächter, Sorge, (2019) Daten- und Per­sön­lich­keits­schutz im Ar­beits­ver­hält­nis, 2. Auflage, C.H. Beck
[3] Kranig, Th., Sachs, A., Gier­schmann, M., (2017), Da­ten­­schutz-Com­­pli­an­ce nach der DSGVO, Bun­des­an­zei­ger Verlag GmbH, Köln.
[4] BfDI: Recht auf Aus­kunft, https://www.bfdi.bund.de/DE/Datenschutz/Ueberblick/MeineRechte/Artikel/Auskunftsrecht.html zuletzt auf­ge­ru­fen im De­zem­ber 2019.

Related Posts

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!

Email schrei­ben
08142 4624920