mixmagic - stock.adobe.com
Wie die Auskunftspflicht nach DSGVO richtig umgesetzt wird
Unternehmen müssen wissen, wann sie wem welche Auskunft nach DSGVO geben müssen. Die Aufsichtsbehörden geben Hinweise zur Umsetzung, die Unternehmen in der Praxis helfen können.
Die Umsetzung der Betroffenenrechte nach Datenschutz-Grundverordnung (DSGVO) wie das Recht auf Auskunft ist grundlegend für die Konformität im Datenschutz. Leider fällt dies den Unternehmen in der täglichen Praxis aber nicht leicht, wie die Vielzahl der Datenschutzverletzungen in diesem Bereich zeigen, von denen die Aufsichtsbehörden für den Datenschutz berichten.
Ein Beispiel von vielen: Ein Kunde machte gegenüber seiner Bank von seinem Recht auf Auskunft Gebrauch. Insbesondere wollte er feststellen, ob die Bank seine personenbezogenen Daten rechtswidrig übermittelt hat. Die Bank erteilte zwar eine Auskunft, nannte aber nur die Kategorien von Empfänger (zum Beispiel Dienstleister, Kreditdienstleistungsinstitute, Behörden), nicht jedoch die konkreten Empfänger. Sie begründete dies damit, dass bei einem Auskunftsbegehren der Verantwortliche ein Wahlrecht habe, ob er den Betroffenen die konkreten Empfänger oder nur Empfängerkategorien mitteile.
Ein Irrtum, wie die Datenschutzaufsicht von Berlin klarstellte: Verantwortliche müssen Betroffenen grundsätzlich sowohl die Kategorien von Empfängern als auch die konkreten Empfänger mitteilen.
Leitlinien gegen die Rechtsunsicherheit
Bei vielen Verstößen gegen die DSGVO steckt keine Absicht dahinter, sondern die Unternehmen wissen immer noch nicht, was im Detail zu beachten sind, sie sind unsicher in der Umsetzung der DSGVO.
Um das zu verhindern, veröffentlichen die Aufsichtsbehörden für den Datenschutz zahlreiche Orientierungshilfen, Anwendungshilfen und Leitlinien, zum einen auf nationaler Ebene, aber auch auf Ebene der EU. Hier ist es der Europäische Datenschutzausschuss (EDSA), der seinen Aufgaben entsprechend Leitlinien zur Umsetzung der DSGVO erarbeitet, zur Diskussion stellt und verabschiedet.
So ist dies auch für die Umsetzung der Auskunftspflicht geschehen.
Hilfestellungen zur Umsetzung der Auskunftspflicht
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßte die gemeinsamen Leitlinien zur Auskunft auf EU-Ebene: „Das Recht auf Auskunft ist das grundlegende Betroffenenrecht und wird von den Bürgerinnen und Bürgern häufig in Anspruch genommen. Allerdings lässt der entsprechende Artikel der DSGVO allein einen großen Interpretationsspielraum. Der EDSA sorgt hier nun für mehr Klarheit und Einheitlichkeit.“
Die Leitlinien legen insbesondere fest, welche Daten vom Auskunftsrecht erfasst sind und dass Betroffenen im Regelfall eine Kopie der Daten und nicht nur eine Zusammenfassung zu übergeben ist.
Außerdem müssen die für die Datenverarbeitung Verantwortlichen angemessene Maßnahmen treffen, um Personen hinter Auskunftsersuchen zu identifizieren, damit keine unberechtigten Dritten an die Daten gelangen. Es dürfen aber auf der anderen Seite auch keine höheren Hürden aufgebaut werden als für die Identifizierung erforderlich.
Ebenso darf ein Auskunftsersuchen beispielsweise nicht allein unter Verweis auf einen hohen Bearbeitungsaufwand abgelehnt werden. Auch die Motivation hinter einem Auskunftsersuchen ist kein Kriterium für die Erfüllung des Auskunftsanspruchs.
Die Leitlinien geben zusätzlich Hinweise und Beispiele, in welchen zeitlichen Abständen Betroffene das Auskunftsrecht gegenüber einem Unternehmen oder einer Behörde erneut geltend machen können, ohne dass ihr Ersuchen als exzessiv abgelehnt oder mit einer Gebühr belegt werden kann.
Der EDSA erklärte dazu: Die Leitlinien zielen darauf ab, die verschiedenen Aspekte des Auskunftsrechts zu analysieren und genauere Leitlinien dafür bereitzustellen, wie das Auskunftsrecht in verschiedenen Situationen umgesetzt werden muss. Die Leitlinien enthalten unter anderem Erläuterungen zum Umfang des Auskunftsrechts, zu den Informationen, die der Verantwortliche der betroffenen Person zur Verfügung stellen muss, zum Format des Auskunftsersuchens und zu den wichtigsten Modalitäten für die Gewährung des Auskunftsrechts.
Die EDSA-Vorsitzende Andrea Jelinek sagte: „Das Auskunftsrecht ermöglicht es Einzelpersonen, zu erfahren, wie und warum ihre personenbezogenen Daten verarbeitet werden. Die Leitlinien bieten Beispiele, um Verantwortliche dabei zu unterstützen, Zugriffsanfragen DSGVO-konform zu beantworten.“
Beispiele für Hinweise der Aufsichtsbehörden zur Auskunft
Bereits vor der Erstellung der Leitlinien auf EU-Ebene haben einzelne Aufsichtsbehörden wichtige Hinweise zur Umsetzung der Auskunftspflicht gegeben, wie diese Beispiele aus den deutschen Bundesländern zeigen, wie hier aus Bayern: Die DSGVO gewährt betroffenen Personen (als Kunden einer Bank) zwar einen Anspruch auf Auskunft über ihre Kontobewegungen. Die Auskunft muss jedoch nicht in Form von Kontoauszugsduplikaten erfolgen.
Interne Gutachten einer Bank zur Beleihungswertermittlung enthalten personenbezogene Daten, die auf Anforderung zu beauskunften sind. Im Rahmen der Auskunft muss jedoch nicht erkennbar sein, auf welche Art und Weise der Marktwert ermittelt wurde.
Wenn Beschäftigte von ihren Arbeitgebern pauschal Auskunft über die zu ihrer Person gespeicherten Daten begehren, genügt es, wenn Arbeitgeber zunächst eine konkrete Auskunft zu den Personalstammdaten und im Übrigen zu den Kategorien verarbeiteter personenbezogener Daten erteilen. Für eine weitergehende Auskunft dürfen Arbeitgeber die Betroffenen bitten, ihren Anspruch zu präzisieren.
Ein weiteres Beispiel für Hinweise zum Auskunftsrecht kommt aus Niedersachsen: Vielen Unternehmen in Niedersachsen wissen, dass Betroffene ein unabdingbares und unentgeltliches Recht auf Auskunft nach Art. 15 DSGVO über die zu ihrer Person gespeicherten Daten haben, so die zuständige Aufsichtsbehörde. Manchen Unternehmen scheint es aber nicht geläufig zu sein, dass sich die Reichweite des Auskunftsanspruches auch auf eine so genannte Negativauskunft erstreckt. Das heißt, Betroffene müssen auch eine Auskunft darüber erhalten, dass keine personenbezogenen Daten zu ihrer Person gespeichert sind.
Schließlich ein Beispiel zur unzureichenden Sicherheit bei der Erteilung einer Auskunft aus Brandenburg: Ein Unternehmen entschied sich dazu, Auskunftsanfragen per E-Mail zu beantworten. An die E-Mail war ein passwortgeschütztes PDF-Dokument mit den beantragten Auskünften angehängt. Um das PDF-Dokument öffnen zu können, erhielten die betroffenen Personen wenige Minuten später eine zweite E-Mail, die das Passwort im Klartext enthielt. Diese zweite E-Mail war lediglich mit der standardmäßig voreingestellten Transport Layer Security (TLS) verschlüsselt, wenn dies vom jeweiligen E-Mail-Anbieter unterstützt wurde.
Sowohl auf dem Mail-Server des Absenders als auch auf demjenigen der Empfängerin oder des Empfängers liegt die E-Mail unverschlüsselt, also das Passwort im Klartext vor. Darüber hinaus war das Passwort durch das Unternehmen recht schwach und nach einem einfachen System gebildet. Es erfüllte nicht die nach dem Stand der Technik maßgeblichen und beispielsweise durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Sicherheitskriterien.
Empfehlung: Leitlinien unbedingt nutzen
Die in Kürze verfügbaren Leitlinien des EDSA zum Recht auf Auskunft sind ein weiteres Beispiel dafür, dass die Aufsichtsbehörden durchaus Unterstützung anbieten, wenn es Unklarheiten bei der Umsetzung der DSGVO gibt.
Mit der Veröffentlichung entsprechender Leitlinien müssen Unternehmen aber auch davon ausgehen, dass die Aufsichtsbehörden in Zukunft noch eher davon ausgehen werden, dass die Auskunftspflicht vollständig und zuverlässig umgesetzt ist.
Unternehmen erhalten somit Hilfen von den Aufsichtsbehörden, die sie aber auch nutzen müssen, denn Unwissenheit ist schon heute keine Entschuldigung für eine Verletzung der DSGVO, Unsicherheit bei der Umsetzung wird auch kaum noch tolerierbar sein, wenn es konkrete Leitlinien der Aufsichtsbehörden gibt.