Category Archives: Auskunft

Bayerische Datenschutzbehörde: Auskunftsanspruch von Beschäftigten kann gestuft beantwortet werden

Posted on by

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seinen neuen Tätigkeitsbericht (PDF) für das Jahr 2020 vorgelegt. Die Behörde äußert sich auch zu dem (praktisch wichtigen) Thema des Auskunftsanspruch von (ehemaligen) Beschäftigten gegenüber ihrem Arbeitgeber.

Nach Ansicht der Behörde genügt es, wenn Beschäftigte von ihren Arbeitgebern pauschal Auskunft über die zu ihrer Person gespeicherten Daten begehren, dass Arbeitgeber zunächst eine konkrete Auskunft zu den Personalstammdaten und im Übrigen zu den Kategorien verarbeiteter personenbezogener Daten erteilen. Für eine weitergehende Auskunft dürfen Arbeitgeber die Betroffenen bitten, ihren Anspruch zu präzisieren.

Die Behörde hält – angesichts der typischerweise größeren Anzahl unterschiedlicher vom Arbeitgeber durchgeführten Verarbeitungstätigkeiten und von verarbeiteten Daten der Beschäftigten – eine gestufte Vorgehensweise für gut vertretbar.

Schritt 1: Auskunft über die Personalstammdaten im Klartext, so dass der Beschäftigte erkennen kann, ob sie richtig sind. Das betrifft Name, Vorname, Geburtstag, Adresse und Geburtsort. Ansonsten genügt es, wenn Auskunft zu den Kategorien von personenbezogenen Daten, erteilt wird.

Schritt 2: Möchte der Betroffene mehr Daten, muss er seinen Auskunftsanspruch gemäß ErwG 63 Satz 7 DSGVO dahingehend präzisieren, auf welche Informationen und/oder Verarbeitungstätigkeiten sich das Auskunftsersuchen bezieht.

Erst nach dieser erfolgten Präzisierung ist dann der Arbeitgeber in der Pflicht, die entsprechenden Auskünfte mit konkreten Daten zu erteilen„.

Landesarbeitsgericht Baden-Württemberg: umfassendes Urteil zur Reichweite und den Ausnahmen des Auskunftsanspruchs nach Art. 15 DSGVO

Posted on by

Das LAG Baden-Württemberg hat ein wirklich lesenswertes Urteil (17.3.2021, 21 Sa 43/20) rund um verschiedenste (immer noch umstrittene Fragen) des Auskunftsanspruchs nach Art. 15 DSGVO gefällt. Hier kam zudem die besondere Situation im Arbeitsverhältnis hinzu.

Nachfolgend möchte ich einige Kernaussagen des Gerichts darstellen.

Sachverhalt

Arbeitnehmer und Arbeitgeber streiten darüber, ob und in welchem Umfang der Arbeitgeber (noch) verpflichtet ist, dem Kläger bestimmte Informationen gem. Art. 15 Abs. 1 2. Halbs. 2. Alt. DSGVO über bei dem Arbeitgeber verarbeitete verhaltens- und leistungsbezogene Daten des Klägers zu erteilen und darüber hinaus über die Verpflichtung des Arbeitgebers, dem Kläger gem. Art. 15 Abs. 3 Satz 1 DSGVO Kopien der leistungs- und verhaltensbezogenen Daten des Klägers, die Gegenstand der Verarbeitung waren, zur Verfügung zu stellen. Interessant ist, dass es in diesem Fall erneut auch um Daten aus einem internen Hinweisgebersystem (BPO) handelt.

Entscheidung

Bestimmtheit des Klageantrags

Wir erinnern uns an das Urteil des BAG aus April, in dem das BAG wegen Unbestimmtheit des Klageantrags eine Klage gestützt auf Art. 15 Abs. 3 DSGVO zurückwies (Urt. v. 27.4.2021, 2 AZR 342/20; hierzu sind nun übrigens auch die Gründe erschienen).

Das LAG sieht die Anforderungen nicht so streng. Es geht davon aus, dass der Kläger mit seinen geltend gemachten Informationsansprüchen gemäß Art. 15 Abs. 1 2. HS DSGVO Auskunft über alle Daten geltend machen kann, die seine Person betreffen und die von der Beklagten im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet werden oder worden sind.

Das LAG begründet dies damit, dass sich aus Art. 4 Nr. 2 DSGVO hinreichend deutlich ergibt, was „verarbeiten“ ist, ohne dass der Kläger dies näher bestimmen müsste.

Zudem, so das LAG, sei die vom Kläger gemachte Einschränkung dahingehend, dass er von der Beklagten – nur – Information über die seine Person betreffenden Daten geltend macht, die sein Verhalten und seine (Arbeits)Leistung betreffen haben will, hinreichend bestimmt.

Keine Pflicht zur Konkretisierung der Daten

Spannend und praktisch relevant ist die Ansicht des LAG, dass Betroffene nicht weiter spezifizieren müssen, welche Daten sie beauskunftet haben möchtet.

„Eine weitergehende konkretere Benennung der von ihm verlangten Daten ist dem Kläger nicht möglich und deshalb auch eine weitergehende Konkretisierung von dem, was er von der Beklagten will, nicht zumutbar“

Das LAG begründet dies damit, dass der Betroffene als Kläger gerade nicht weiß oder nicht mehr ohne Weiteres wissen kann, welche verhaltens- und leistungsbezogene Daten seiner Person die Beklagte verarbeitet hat. Würde man ihm insoweit eine weitere Konkretisierung abverlangen,

würde sich sein in Art. 15 Abs. 1 DSGVO weit gefasster Auskunfts- und Informationsanspruch derart gegen ihn wenden, dass ihm die Unkenntnis der von der Beklagten für seine Person verarbeiteten Daten diese Ansprüche rauben würde“.

Damit, so das LAG, könnte effektiver Rechtsschutz aber gerade nicht erreicht werden.

Dasselbe gilt nach Ansicht des LAG für den geltend gemachten Anspruch nach Art. 15 Abs. 3 Satz 1 DSGVO. Auch hier sei es dem Arbeitnehmer nicht möglich, genauere Angaben dazu zu machen, von welchen personenbezogenen Daten er eine Kopie zur Verfügung gestellt haben will.

Achtung: das Urteil des LAG erging vor dem Urteil des BAG zur Bestimmtheit des Klageantrags.

Verhältnis von Art. 15 Abs. 3 zu Abs. 1 DSGVO

Das LAG vertritt die Ansicht, dass ein Arbeitgeber, der Daten seines Arbeitnehmers im Sinne des Art. 4 DSGVO verarbeitet, diesem eine „Kopie“ der in Art. 15 Abs. 1 DSGVO geregelten Angaben zur Verfügung stellen muss.

Aus Sicht der erkennenden Kammer geht der Anspruch auf Erteilung einer Kopie im Sinne des Art. 15 Abs. 3 Satz 1 DSGVO aufgrund des Gesetzeswortlauts deshalb nicht über die Auskünfte hinaus, über die der Arbeitgeber dem Arbeitnehmer gemäß Art. 15 Abs. 1 2. HS DSGVO (vor dem „und“) Auskunft zu erteilen hat

Dies ist eine wichtige Aussage des Gerichts. Denn in der Praxis stellt sich oft die Frage, wie denn eine Kopie der Daten auszusehen hat. Was also Inhalt sein muss? Das LAG vertritt die Ansicht, dass Abs. 3 nicht über den Umfang des Abs. 1 hinausgeht.

Erfüllung des Anspruchs auf Kopie nach Art. 15 Abs. 3 DSGVO

Sehr interessant finde ich die Aussagen des LAG dazu, wie der Anspruch auf Kopie der personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO zu erfüllen ist.

Da der Normzweck in der Transparenz und der Rechtmäßigkeitskontrolle der Verarbeitung der Daten durch die betroffene Person liege und gleichzeitig eine Vielzahl von Daten eines Arbeitnehmers beim Arbeitgeber verarbeitet sein können, über die dieser Auskunft zu erteilen hat, geht das LAG davon aus,

dass der Auskunftsersuchende gemäß Art. 15 Abs. 3 Satz 1 DSGVO die verarbeiteten Daten in einem einheitlichen Dokument erhalten soll.“

Das LAG geht weiter davon aus, dass dieses Dokument nicht notwendig aus nur einer einzigen Kopie, sondern auch aus einer Mehrzahl oder gar Vielzahl von Kopien bestehen kann.

Und, eine wichtige Ergänzung des LAG:

Dies bedeutet hingegen nicht, dass Ablichtungen/Ausdrucke der papierenen oder elektronischen Dokumente, in denen sich die personenbezogenen Daten des Arbeitnehmers befinden, zur Verfügung zu stellen sind“.

Entscheidend für den Auskunftsanspruch, so das LAG, sei lediglich, dass der Arbeitgeber die von ihm verarbeiteten Daten des Arbeitnehmers diesem zusammengefasst zur Verfügung stellt. Ob er von den Dokumenten, in denen die Daten enthalten sind, tatsächlich Kopien oder Ausdrucke im technischen Sinne auf einem Kopierer oder mittels Drucker fertigt und daraufhin Passagen, die Rechte Dritter beeinträchtigen oder die keine personenbezogenen Daten des Arbeitnehmers beinhalten, möglicherweise schwärzt oder ob er personenbezogene Daten des Arbeitnehmers, die in Dokumenten enthalten sind, bündelt und dem Arbeitnehmer die vom Arbeitgeber gebündelten Daten und nicht auch die (gegebenenfalls geschwärzten) Dokumente zur Verfügung stellt, obliege der Entscheidung des Arbeitgebers.

Das sind meines Erachtens ganz wichtige Ansichten für die praktische Erfüllung des Art. 15 Abs. 3 DSGVO. Das LAG geht nicht davon aus, dass 1zu1 Kopien von Dokumenten mit personenbezogenen Daten herauszugeben sind. Man kann die Daten auch in ein gesondertes Auskunftsdokument ziehen.

Ausnahme entsprechen Art. 14 Abs. 5b DSGVO (unverhältnismäßiger Aufwand)?

In dem Urteil befasst sich das LAG auch mit der Frage, ob die Ausnahmeregelungen für Informationspflichten in Art. 13 und 14 DSGVO direkt oder analog anwendbar sind. Das Gericht lehnt dies jedoch ab.

Art. 14 Abs. 5 b DSGVO sei bei Ansprüchen nach Art. 15 Abs. 1 2. HS und Abs. 3 Satz 1 DSGVO nicht, auch nicht analog, anwendbar. Danach kann die Erteilung von Informationen unterbleiben, wenn diese sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Der Unterschied zwischen Art. 13/14 DSGVO und Art. 15 DSGVO sei, dass Art. 13/14 „nur“ Informationspflichten regele. Bei Art. 15 DSGVO handele es sich aber um das Auskunftsrecht der von der Datenerhebung betroffenen Person.

Im Hinblick darauf, dass die betroffene Person die Rechtmäßigkeit der Datenverarbeitung und die Richtigkeit der von ihr verarbeiteten Daten prüfen können soll, geht Art. 15 DSGVO insoweit über die Informationspflicht des Verantwortlichen im Sinne der Art. 4 Nr. 7, 13 und 14 DSGVO hinaus“.

Nach Ansicht des LAG regelt Art. 15 DSGVO hingegen ganz bewusst nicht, wie in den Art. 13 Abs. 4 und 14 Abs. 5 DSGVO vorgesehen, die dort enthaltenen Ausnahmen, sondern enthält als Ausnahme ausschließlich, dass das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Person nicht beeinträchtigen darf. Diese andersgeartete Ausnahme (als jene in Art. 13 Abs. 4 und 14 Abs. 5 DSGVO) ist aus Sicht des LAG der Überprüfbarkeit der Verarbeitung über die personenbezogenen Daten der betroffenen Person durch diese geschuldet.

Wenn nämlich der Verantwortliche eine Vielzahl von personenbezogenen Daten der betroffenen Person verarbeitet, würde dies bei einer analogen Anwendung, insbesondere der Vorschrift des Art. 14 Abs. 5 b DSGVO, dazu führen, dass gerade eine umfassende personenbezogene Datenverarbeitung zur Folge hätte, dass der Verantwortliche weder aktiv eine Auskunft, noch eine Auskunft in Folge der Initiative der von der Datenverarbeitung betroffenen Person schulden würde (da er sich dann zb auf die Ausnahme „unverhältnismäßiger Aufwand“ berufen könnte).

Dies liefe aber nach Ansicht des LAG Sinn und Zweck des Art. 15 DSGVO und des Datenschutzes an sich zuwider, wenn gerade der Verantwortliche, der besonders viele personenbezogene Daten einer betroffenen Person verarbeitet, eine Überprüfung seiner Datenverarbeitung durch die betroffene Person vermeiden könnte.

Fazit

Das Urteil enthält noch einige weitere wichtige Passagen, etwa zur Pflicht des Verantwortlichen, für jedes Datum einzeln nachweisen zu können, warum dessen Beauskunftung Rechte Dritter beeinträchtigen würde. Das LAG hierzu: „Danach kann die Beklagte nicht mit dem bloß abstrakten Hinweis auf ihr Hinweisgebersystem den Informationsanspruch gänzlich verweigern“.

Irische Datenschutzbehörde: Anforderungen an den Schutz der Vertraulichkeit von Daten bei der Kontaktaufnahme mit Unternehmen im Namen einer anderen Person

Posted on by

Die irische Datenschutzbehörde (DPC) hat auf ihrer Webseite einige interessante Fallbeispiele und Empfehlungen für Situationen veröffentlicht, in denen ein Dritter für die betroffene Person ein Unternehmen kontaktiert und zB Auskunft zu seinen Daten oder eine Löschung vornehmen möchte. Die DPC erläutert zunächst das Problem: eine häufige Reaktion von Unternehmen ist, dass den anfragenden Dritten gesagt wird, das Unternehmen würde nur direkt zB mit dem Kontoinhaber kommunizieren, oder die Personen werden aufgefordert, einen sehr hohen Standard an Nachweisen vorzulegen, dass sie im Namen des Kontoinhabers handeln.

Rechtliche Vorgaben

Die DPC weist zunächst auf die zu beachtenden datenschutzrechtlichen Anforderungen hin. Unternehmen sind verpflichtet, personenbezogene Daten sicher aufzubewahren und sie nicht an jemanden weiterzugeben, den sie nicht kennen sollten – in Übereinstimmung mit dem Prinzip der „Integrität und Vertraulichkeit“ in Art. 5 Abs. 1 lit. f DSGVO. Dieser Grundsatz verlangt, so die DPC, dass personenbezogene Daten nur „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen„.

Von besonderer Bedeutung ist der Begriff „angemessen“. Nach Ansicht der DPC eröffnet dieser Begriff für die Verantwortlichen die Möglichkeit, in diesen Fällen abzuwägen, welches Maß an Sicherheit in den verschiedenen Situationen angemessen ist. Unternehmen sollten Aspekte wie die Art und Sensibilität der betroffenen personenbezogenen Daten, den potenziellen Schaden, wenn personenbezogene Daten an die falsche Person weitergegeben werden, und die Wahrscheinlichkeit, dass Personen legitimerweise im Namen des Kontoinhabers sprechen, berücksichtigen.

Fallbeispiel 1

Die DPC wurde in einer Situation um Rat gebeten, in der eine Person bei dem Versuch, einen Dienstleister über einen Dolmetscher zu kontaktieren, auf Schwierigkeiten stieß. Obwohl der Dolmetscher die relevanten Kontoinformationen korrekt angab, wollte die Organisation nicht mit dem Dolmetscher verhandeln, es sei denn, er legte ein unterzeichnetes Dokument vor, das beweist, dass er die Erlaubnis des Kontoinhabers hat, in dessen Namen zu sprechen.

Die DPC sah in diesem Fall kein offensichtliches Datenschutzproblem, das die Organisation daran hindern würde, mit einem Kunden über den Dolmetscher zu verhandeln. Es war nicht ersichtlich, dass es vernünftig oder unter Sicherheitsaspekten notwendig war, eine zusätzliche Sicherheitsanforderung für die Einschaltung eines Dolmetschers einzuführen, da es kein erhöhtes Risiko eines unbefugten Zugriffs auf personenbezogene Daten gab. Selbst wenn ein zusätzlicher Sicherheitsschritt erforderlich war, um zu überprüfen, ob der Dolmetscher die Erlaubnis des Kontoinhabers hatte, war das Verlangen nach einer unterzeichneten Erlaubnis wahrscheinlich eine unverhältnismäßig hohe Schwelle, bei der die Beantwortung weiterer Sicherheitsfragen oder die Bestätigung der Kontodaten ausgereicht hätte.

Fallbeispiel 2

Einer gehörlosen Person, die einen Gebärdensprachdolmetscher benötigte, als sie mit einem Dienstleister in Kontakt trat, wurde der Zugang zu dem Dienst verweigert, da die Organisation sich weigerte, mit dem Gebärdensprachdolmetscher zu arbeiten. Die Organisation nannte „DSGVO- und Datenschutzbedenken“ als Grund für die Verweigerung des Zugangs.

Nach Ansicht der DPC verhindert oder verbietet aber die DSGVO nicht die Verwendung eines Gebärdensprachdolmetschers, eines Text-Relay-Service oder eines ähnlichen Systems, wenn eine gehörlose oder schwerhörige Person diese Dienste bei der Kontaktaufnahme mit einem Dienstleister nutzen muss. Diensteanbieter sind verpflichtet, geeignete Sicherheitsmaßnahmen zu ergreifen, um die Integrität und Vertraulichkeit der personenbezogenen Daten von Kunden zu schützen. Diese Maßnahmen dürfen jedoch diejenigen nicht unverhältnismäßig benachteiligen, die einen Gebärdensprachdolmetscher oder eine Form des Textdienstes benötigen.

Empfehlungen der DPC

Der Standpunkt der DPC ist, dass das Datenschutzrecht in der Regel Organisationen nicht daran hindert, mit jemandem zu kommunizieren, der den Kontoinhaber vertritt, wenn sie angemessene und verhältnismäßige Schritte unternommen haben, um die Einhaltung ihrer Sicherheits- und Vertraulichkeitsverpflichtungen zu gewährleisten.

Die DPC rät Organisationen, insbesondere Dienstleistern und solchen, die mit der Kundenbetreuung beschäftigt sind, bei der Planung und Umsetzung „geeigneter technischer oder organisatorischer Maßnahmen“ zum Schutz personenbezogener Daten auf einen ausgewogenen und verhältnismäßigen Ansatz bei ihren Sicherheits- und Identitätsprüfungsmaßnahmen zu achten. Im Grunde bleiben die Empfehlungen der DPC vage bzw. belassen das Risiko der Fehleinschätzung hinsichtlich der einzusetzenden Sicherheitsmaßnahmen und -prozesse bei dem Verantwortlichen. Die beiden Beispiele bieten aber zumindest eine gewisse Hilfestellung für Unternehmen. Die DPC verlangt, dass Unternehmen solche Maßnahmen umsetzen, „die sowohl ein hohes Maß an Schutz für den Einzelnen bieten, aber auch diejenigen nicht unverhältnismäßig benachteiligen, die sich nicht ohne weiteres auf diese Maßnahmen einlassen können und die möglicherweise jemanden brauchen, der in ihrem Namen Kontakt aufnimmt“.

Muss über den Ort der Datenverarbeitung informiert bzw. Auskunft gegeben werden?

Posted on by

Im Rahmen der Erstellung von Datenschutzerklärungen oder auch bei der Beauskunftung von Anträgen nach Art. 15 DSGVO kann sich für Unternehmen die Frage stellen, ob denn der konkrete Ort der Datenverarbeitung anzugeben ist?

In der Praxis verlangen Betroffene zum Teil sehr spezifische Informationen darüber, wo ihre personenbezogenen Daten verarbeitet werden.

Als rechtlicher Anknüpfungspunkt zur Klärung dieser Frage bieten sich meines Erachtens zwei Vorschriften der DSGVO an. Zum einen Art. 13 Abs. 1 lit. e und f DSGVO. Danach soll der Verantwortliche „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ mitteilen und „gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln“. Zum anderen Art. 15 Abs. 1 lit. c) DSGVO, wonach Auskunft zu erteilen ist über „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen“.

Art. 13 Abs. 1 lit. e) DSGVO

Dem reinen Wortlaut nach, muss nicht über den Ort der Verarbeitung informiert werden. Rein faktisch kann es zudem sehr schwierig sein, wirklich den konkreten Ort der Verarbeitung mitzuteilen. Denn in Zeiten des Cloud-Computings und von gespiegelten Systemen, wissen ggfs. die Verantwortlichen gar nicht genau, wo die Daten liegen.

Abs. 1 lit. e) verlangt eine Information über die Empfänger (oder Kategorien). Es geht hierbei um die Benennung der Empfänger, also etwa des Unternehmens. Dass hierbei zwingend eine Adresse hinzugefügt werden muss, ergibt sich aus der Vorschrift nicht. Zumal der Unternehmenssitz eines Empfängers ja in der heutigen Zeit nun wirklich nicht immer auch der Ort der Datenverarbeitung ist.

Etwas strenger scheint dies der EDSA zu sehen. In der (durch den EDSA bestätigten) Stellungnahme der damaligen Art. 29 Gruppe zur Transparenz (WP 260) heißt es: „Entscheiden sich die Verantwortlichen für die Angabe der Kategorien von Empfängern, sollten diese Informationen unter Angabe der Empfängerart (d. h. der von diesen durchgeführten Aktivitäten), der Industrie, des Sektors und Teilsektors sowie des Standorts der Empfänger so genau wie möglich ausfallen“ (Hervorhebung durch mich, S. 47).

Aber auch hier zielt die Information auf den Standort des Empfängers, was faktisch nicht mit dem Ort der Verarbeitung gleichzusetzen ist. Bsp: der Empfänger mag einen Geschäftssitz in New York haben, jedoch seine Server in Gibraltar betreiben. Aus dieser Ansicht des EDSA würde ich daher auch keine Pflicht zur Information über den Ort der Datenverarbeitung ableiten.

Auch der Landesdatenschutzbeauftragte für Bayern (BayLfD) scheint hiervon auszugehen. In seiner (sehr lesenswerten) Orientierungshilfe zu Informationspflichten (PDF) erläutert er, dass Empfänger nach Möglichkeit konkret benannt werden sollten. Hierfür führt er das folgende Beispiel an: „Rechenzentrum [Name] als Auftragsverarbeiter“. Auch der BayLfD scheint also keine Pflicht zur Angabe einer Adresse oder des Ortes der Verarbeitung anzunehmen.

Art. 13 Abs. 1 lit. f) DSGVO

Auch aus Art. 13 Abs. 1 lit. f) DSGVO dürfte sich keine Pflicht ergeben, den Ort der Datenverarbeitung zu benennen. Nach der Vorschrift muss der Verantwortliche über die Absicht informieren, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Bereits dem Wortlaut der Norm nach, ist die Benennung des Ortes nicht vorgeschrieben. Mit Blick auf das Gebot der Transparenz wird man wohl davon ausgehen müssen, dass das Drittland genannt werden soll, in das die Daten übermittelt werden. Spannend finde ich in dieser Hinsicht die Ansicht des BayLfD in der oben erwähnten Orientierungshilfe. Dort erläutert die Behörde wie folgt: „

Art. 13 Abs. 1 Buchst. f DSGVO verlangt nicht, dass das betreffende Drittland oder die betreffende internationale Organisation namentlich genannt wird“.

Der BayLfD empfiehlt jedoch aus Transparenzgründen, diese Information ebenfalls zu erteilen. Für diese Ansicht der Behörde dürfte sprechen, dass nach der Norm nur über die „Absicht“ informiert werden muss, Daten in ein Drittland zu übermitteln. Also etwa wie folgt: „Wir beabsichtigen, Daten in ein Drittland zu übermitteln“. Freilich plus der Hinweis auf einen Angemessenheitsbeschluss oder dessen Fehlen sowie andere Garantien nach Art. 46 DSGVO oder Ausnahmen nach Art. 49 DSGVO.

Der EDSA vertritt hier übrigens eine ähnliche Position. In der Leitlinie zur Transparenz heißt es: „normalerweise bedeutet dies, dass die Drittländer namentlich angegeben werden“ (S. 48). Auch der EDSA scheint also nicht per se von einer Pflicht zur Angabe des Drittlands auszugehen. Dann kann erst recht keine Pflicht zur Angabe des Ortes der Datenverarbeitung bestehen.  

Art. 15 Abs. 1 lit. c) DSGVO

Die Vorgabe zur Information im Rahmen von Auskunftsverfahren ähnelt sehr stark der Pflicht nach Art. 13 Abs. 1 lit. e) DSGVO. Die Gründe für eine Ablehnung zur Benennung des Ortes der Verarbeitung, lassen sich daher meines Erachtens übertragen.

Zusätzlich könnte man hier (im Fall der Diskussion) noch die Ansicht des AG Seligenstadt (Urt. v. 23.06.2020 – 1 C 7/19 (3)) anführen. Dort wurden Ansprüche gegen eine Sparkasse geltend gemacht, u.a. mit der Forderung, Auskunft wie folgt zu erteilen: „Alle Daten, die zu Verarbeitungszwecken zu den Klägerinnen gespeichert werden, wo diese gespeichert werden und wer auf die gespeicherten Daten Zugriff hat. … Ferner ist Auskunft zu erteilen, welche Daten über Clouddienste gespeichert werden“.

Das AG lehnte diesen Anspruch ab. Da nach Ansicht des AG bereits interne Vermerke und Vorgänge nicht unter den Auskunftsanspruch des Art. 15 DSGVO fallen,

ist die Beklagte erst recht nicht dazu verpflichtet, die Datenträger und etwaige Cloudspeicher, die sie für die Datenspeicherung nutzt, offenzulegen“. Zudem geht das AG davon aus, dass es ausreicht, wenn Kategorien von Drittempfängern genannt werden.

Ganz unabhängig hiervon, hätte ich aus Unternehmenssicht auch Sicherheitsbedenken, anfragenden Betroffenen den konkreten Ort meiner Datenverarbeitung zu benennen. Denn die Angabe zum Standort der Server (bzw. auch der Backups), kann ja im schlimmsten Fall durchaus ein Sicherheitsrisiko für Unternehmen darstellen. Ggfs. kann man im Rahmen derartiger Anfragen daher auch die Pflichten des Unternehmens nach Art. 32 DSGVO zum Schutz der personenbezogenen Daten anführen (etwa im Rahmen des Art. 15 Abs. 4 DSGVO).

Berliner Datenschutzbehörde: Risiken bei Betroffenenanfragen an no-reply Adressen und in Ticket- oder CRM-Systemen

Posted on by

In ihrem aktuellen Jahresbericht 2020 (pdf) bespricht die Datenschutzbehörde aus Berlin einen sehr praxisrelevanten Aspekt der Erfüllung von Betroffenenanfragen, etwa in Bezug auf Löschung oder Auskunft (ab S. 164). Es geht um die Frage, ob Verantwortliche Anfragen auf jeglichem Kommunikationskanal beachten und bearbeiten müssen oder ob man Betroffene auf einen speziellen Datenschutzkontakt verweisen darf?

Die Ansicht der Berliner Behörde ist sehr klar: Verantwortliche müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

No-reply Adressen – ein DSGVO-Problem

Hauptargument der Behörde ist die Vorgabe des Art. 12 Abs. 2 DSGVO. Danach ist der Verantwortliche verpflichtet, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 zu erleichtern. Zudem verweist die Behörde auf die allgemeine Verantwortlichkeitsvorschrift des Art. 24 DSGVO. Die Behörde geht davon aus, dass Verantwortliche durch technisch-organisatorische Maßnahmen sicherstellen müsse,

dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“

Speziell in Bezug auf sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, geht die Behörde davon aus, dass jedenfalls dann ein datenschutzrechtliches Problem bestehe,

wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden“.

Interessant hierbei ist, dass die Behörde also nicht verlangt, dass die Anfrage tatsächlich bearbeitet wird, wenn zumindest in der E-Mail an den Betroffenen deutlich gemacht wird, an welche Adresse sie sich bei Datenschutzfragen wenden können. Zumindest verstehe ich die Aussage der Behörde oben so, quasi als Minimum-Anforderung.

Genau im Satz danach wird die Ansicht der Behörde dann aber doch wieder scheinbar strenger:

„Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen“.

Meiner Ansicht nach wiedersprechen sich die beiden zitierten Ansichten jedoch nicht unbedingt. Die Behörde verlangt grundsätzlich, das Betroffenenanfragen stets bearbeitet werden. Alles andere wäre ja auch überraschend. Geht es um den speziellen Fall einer no-reply Adresse, die deutlich als solche erkennbar ist und in der eine Alternative für Datenschutzanfragen angegeben wird, scheint die Behörde aber zumindest die von der DSGVO geforderte „Erleichterung“ als erfüllt anzusehen. Ich verstehe die Behörde so, dass es vor allem problematisch ist, wenn Betroffene nicht erkennen können, dass der von ihnen gewählte Kanal nicht bearbeitet wird und ihnen auch keine Alternative deutlich erkennbar angeboten wird.

Ticket- und CRM-Systeme

Interessant sind dann auch noch die Ansichten der Behörde zur Bearbeitung von Betroffenenanfragen in Ticket- oder CRM-Systemen, wie sie in der Praxis fast überall zum Einsatz kommen.

Die Behörde verweist darauf, dass bei der Nutzung von Ticket- oder CRM-Systemen darauf zu achten sei,

dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können“.

Bedeutet etwa bei Auskunftsanfragen, dass auch Personen, die keine Kunden sind, eine Negativauskunft zu erteilen ist.

Zudem berichtet die Behörde von einem Fall, in dem im Verlauf der Kommunikation zwischen dem Kundenservice und einer betroffenen Person irgendwann auch das Datenschutzteam in Kopie genommen wird, das verwendete CRM-System aber auf solche Konstellationen nicht eingestellt sei. In diesem Fall wurde dann wohl eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kundenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, wusste aber auch nicht um die Problematik der fehlenden automatischen Weiterleitung an das Datenschutzteam.

Insgesamt zeigt der Bericht der Datenschutzbehörde, dass Anfragen von Betroffenen immer Ernst genommen und intern schnell der zuständigen Abteilung weitergeleitet werden müssen. Wichtig hierbei ist auch eine entsprechende Sensibilisierung der Mitarbeiter, insb. Über Schulungen, interne FAQ-Seiten oder ähnliches.

Verwaltungsgericht Berlin: wann bestehen „begründete Zweifel“ an der Identität des Betroffenen im Rahmen einer Auskunft?

Posted on by

Das Verwaltungsgericht Berlin (VG) hatte mit Urteil vom 31.8.2020 (1 K 90.19) in einem Fall zu entscheiden, in dem es um die Frage ging, wann ein datenschutzrechtlich Verantwortlicher (hier: das Amtsgericht Tiergarten) „begründete Zweifel“ an der Identität eines Betroffenen gegen einen Auskunftsanspruch vorbringen kann.

Sachverhalt

Der Kläger begehrte schriftliche Auskunft über die beim Amtsgericht Tiergarten zu seiner Person gespeicherten persönlichen Daten. Diesen Auskunftsantrag lehnte der Präsident des Amtsgerichts Tiergarten mit Bescheid vom 17. Januar 2019 ab, weil der Kläger seine Identität nicht in der erforderlichen Form nachgewiesen habe. Der Präsident des Amtsgerichts Tiergarten verlangte hierzu die Vorlage einer Kopie des Personalausweises des Klägers. Der Widerspruch des Klägers hatte keinen Erfolg und er klagte schließlich gegen die Ablehnung.

Entscheidung

Das VG gab der Klage statt. Nach Ansicht des Gerichts konnte sich das Amtsgericht hier nicht auf die Ausnahmeregelung in § 59 Abs. 4 BDSG berufen. Dort ist geregelt, dass der Verantwortliche, wenn er begründete Zweifel an der Identität einer betroffenen Person hat, er von ihr zusätzliche Informationen anfordern kann, die zur Bestätigung ihrer Identität erforderlich sind. Die Vorschrift geht auf Art. 12 der Richtlinie 2016/680 zurück, die für Datenverarbeitungen im Bereich Polizei und Justiz.

Eine ähnliche Regelung findet sich praktisch wortgleich auch in Art. 12 Abs. 5 DSGVO. Aus diesem Grund ist die Begründung des VG in seiner Entscheidung meines Erachtens auch für Unternehmen im Anwendungsberiech der DSGVO interessant.

Strittig war hier also allein die Frage, ob der Kläger sich in der vom Beklagten verlangten qualifizierten Form legitimieren muss, um die beantragte schriftliche Auskunft erhalten zu können. Dies sieht das VG nicht so.

Zunächst interpretiert das VG den Begriff der „begründeten Zweifel“. Es geht davon aus, dass der auskunftspflichtige Verantwortliche ohne besonderen keinen Identitätsnachweis von einem Antragsteller verlangen darf.

Fraglich war dann, ob ein solcher besonderer Anlass oder besondere Umstände vorlagen. Auch dies lehnt das Gericht ab. Der Kläger als Betroffener begehrte Auskunft (wohl) auf postalischem Weg. Die Anschrift des Klägers war dem Amtsgericht aber schon seit längerem bekannt. Das Amtsgericht Tiergarten hatte dem Kläger schon in der Vergangenheit verschiedene Entscheidungen unter seiner gegenwärtigen Adresse übersandt.

Zudem, und dies ist auch ein interessanter Punkt in der Begründung, fehlt nach Ansicht des VG jeder Anhaltspunkt dafür, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte.

Das VG argumentiert also wie folgt: wenn die postalische Adresse schon bisher genutzt wurde, um mit dem Betroffenen zu kommunizieren und keine Anhaltspunkte für unzulässiges Handeln Dritter erkennbar sind, kann man nicht von „begründeten Zweifeln“ ausgehen.

Zuletzt führt das VG aus, dass das Amtsgericht als Verantwortlicher durch eine förmliche Zustellung seines Auskunftsschreibens dessen Fehlleitung unterbinden kann. Auch dieser Hinweis ist für den Anwendungsbereich der DSGVO relevant und meines Erachtens auch in der Praxis dringend anzuraten. Der Versand von Auskunftsschreiben sollte nachweisbar erfolgen (allein um auch die Fristen einzuhalten). Also etwa per Einschreiben.

Fazit

Die Begründung des VG ist meines Erachtens schlüssig. Auch wenn man für den postalischen Auskunftsweg hypothetische Unsicherheitsfaktoren berücksichtigen kann (Bsp: jemand fängt den Brief ab), darf dies nicht per se dazu führen, dass eine Auskunft verweigert wird. Ist aus vergangener Korrespondenz klar, dass der Betroffene unter dieser Adresse kommuniziert, müssten besondere Anhaltspunkte hinzutreten, um „begründete Zweifel“ an der Identität annehmen zu können.

Datenschutzbehörde Liechtenstein: Gegen eine extensive Auslegung des Auskunftsrechts nach der DSGVO

Posted on by

Die Datenschutzbehörde aus Liechtenstein (Datenschutzstelle), hat jüngst ihren aktuellen Tätigkeitsbericht für 2019 veröffentlicht. Neben den Entscheidungen und Berichten der Behörde aus Österreich, stellen die Informationen der Datenschutzstelle eine weitere interessante deutschsprachige Quelle zur Auslegung und Anwendung der DSGVO dar.

In dem Bericht geht die Datenschutzstelle u.a. auch auf das Auskunftsrecht und die praktische Umsetzung von Betroffenenanfragen ein (S. 17 ff.). In Liechtenstein scheint diesbezüglich oft auf die Rechtsprechung in Deutschland zu dem (kontrovers diskutierten) Thema verwiesen zu werden.

Die Datenschutzstelle geht in ihrem Bericht daher zu Beginn auch auf die Rechtsprechung und Ansichten in Deutschland ein. Danach gibt die Datenschutzbehörde ihre allgemeine Sichtweise zu diesem Thema wieder.

Die Datenschutzstelle sprach sich im Berichtsjahr ebenfalls gegen eine extensive Auslegung des Auskunftsrechts aus, insbesondere im Hinblick auf die Frage der Empfänger gemäss Art. 15 Abs. 1 Bst. C DSGVO sowie bezüglich des Rechts auf Kopie gemäss Art. 15 Abs. 3 DSGVO.

Nach Ansicht der Datenschutzstelle dienen die Auskünfte, die eine betroffene Person verlangen kann, primär dazu, ihr die Wahrnehmung der weiteren Rechte aus der DSGVO zu ermöglichen, also insbesondere das Recht auf Berichtigung nach Art. 16, auf Löschung nach Art. 17 und auf  Einschränkung der Verarbeitung nach Art. 18 DSGVO.

Zur Erfüllung der Anforderung des Art. 15 Abs. 1 lit. c) DSGVO (Empfänger oder Kategorien von Empfängern zu benennen) vertritt die Behörde die Ansicht, dass diese namentlich zu nennen sind, soweit es sich um eine begrenzte Anzahl von Empfängern handelt, an die regelmässig Daten weitergegeben werden.

Interessant ist die Auffassung der Behörde zu der Frage, ob das Recht auf Kopie (Abs. 3) eigenständig neben dem Auskunftsanspruch aus Abs. 1 steht. So geht etwa die Hessische Datenschutzbehörde davon aus, dass Art. 15 Abs. 3 DSGVO kein von Art. 15 Abs. 1 DSGVO „losgelöstes Recht ist“ (TB 2018, S. 77). Die Datenschutzstelle Liechtenstein vertritt jedoch, dass das Recht auf Kopie (Abs. 3) von der betroffenen Person sowohl in Verbindung mit dem Recht auf Auskunft in Abs. 1 als auch isoliert geltend gemacht werden kann.

Großer Streitpunkt beim Recht auf Auskunft ist natürlich sein Umfang. Insbesondere, was von der „Kopie“ nach Abs. 3 umfasst ist. Die Datenschutzstelle hierzu:

Das Recht auf Kopie umfasst nicht die Herausgabe einer Fotokopie sämtlicher Schriftstücke, in denen personenbezogene Daten der betroffenen Person erwähnt werden. Der Wortlaut Kopie der personenbezogenen Daten entspricht aus Sicht der Datenschutzstelle vielmehr einer geordneten Darstellung der personenbezogenen Daten, eine (Foto-)Kopie der Dokumente kann hingegen nicht der Regelfall sein.

Die Datenschutzstelle legt den Umfang der „Kopie“ als eng aus und bezieht ihn allein auf die konkreten Daten (mE zurecht). Die Behörde argumentiert hierzu auch mit der Gesetzessystematik. Es sind nur jene Kopien herauszugeben, die notwendig sind, damit die betroffene Person die Rechtmäßigkeit der Verarbeitung ihrer Daten überprüfen und gegebenenfalls ihre Rechte wahrnehmen kann. Das bedeutet aus Sicht der Datenschutzbehörde:

Folglich müssen unternehmensinterne Gesprächsnotizen oder Sitzungsprotokolle, rechtliche oder andere spezifische Beurteilungen eines Sachverhalts in Bezug auf die betroffene Person, Telefonnotizen, Vertragsentwürfe (im Überarbeitungsmodus), sämtlicher E-Mailverkehr mit der betroffenen Person bzw. mit Dritten in Bezug und unter Erwähnung (einzelner) personenbezogener Daten der betroffenen Person nicht in Form einer (Foto-) Kopie herausgegeben werden.

Rundfunkdatenschutzbeauftragter: Zweistufiges Auskunftsverfahren ist DSGVO-konform

Posted on by

In seinem aktuellen (und ersten) Tätigkeitsbericht für 2019 (pdf, S. 50 ff.) berichtet der  gemeinsame Rundfunkdatenschutzbeauftragter für den Bayerischen Rundfunk, den Saarländischen Rundfunk, den Westdeutschen Rundfunk, das Deutschlandradio und das Zweite Deutsche Fernsehen u.a. auch über die Erteilung von Auskünften durch den Beitragsservice.

In einigen Fällen beschwerten sich Betroffene, dass die ihnen erteilte Auskunft nicht vollständig gewesen sei. Hintergrund dieser Beschwerden ist, dass der Beitragsservice, Auskünfte grundsätzlich im Rahmen eines zweistufigen Verfahrens erteilt.

  • Die Erstauskunft umfasst die wichtigsten Informationen über die Umstände der Datenverarbeitung wie etwa die Herkunft der Daten, die Datenverarbeitungskategorien und die Verarbeitungszwecke. Hierbei orientiert man sich an Daten der Anzeigepflicht nach § 8 Abs. 4 RBStV.
  • Diese Erstauskunft wird um die Mitteilung der etwa vorhandenen weiteren Daten ergänzt, sofern die Antragsteller dies wünschen.

Nach Aussage des Rundfunkdatenschutzbeauftragten genügt den Antragstellern die auf diese Angaben beschränkte Erstauskunft des Beitragsservice in den weitaus meisten Fällen.

Nach Ansicht des Rundfunkdatenschutzbeauftragten erfüllt ein solches zweistufiges Verfahren

sowohl den Sinn und Zweck als auch materiell die Anforderungen des Art. 15 DSGVO.

Zur Begründung führt er aus, dass dies nicht zuletzt den Verwaltungsaufwand deutlich reduziert und damit im Interesse aller Beitragszahler unnötige Kosten vermeidet.

Zudem können Aspekte der

Verhältnismäßigkeit bzw. des vertretbaren Aufwands in die Anwendung bzw. Umsetzung der Vorgaben zum Auskunftsanspruch nach Art. 15 DSGVO einfließen.

Dies ergibt sich aus ErwG 63 DSGVO sowie Vorschriften wie etwa § 34 Abs. 1, 4 BDSG, § 12 Abs. 1 LDSG NRW, Art. 10 Abs. 2 Nr. 4 und 5 BayDSG oder § 9 Abs. 2 LDSG B-W. Dabei ist insbesondere zu berücksichtigen, dass der Beitragsservice einen außerordentlich großen Datenbestand zu verwalten und dabei auf ein Höchstmaß an Effizienz, Wirtschaftlichkeit und Sparsamkeit zu achten hat, vgl. § 14 RStV.

Der Rundfunkdatenschutzbeauftragte stellt für seine Begründung mit Blick auf ErwG 63 DSGVO wohl vor allem darauf ab, dass dort für Verantwortliche die Möglichkeit der Bitte um Präzisierung vorgesehen ist, wenn der Verantwortliche eine große Menge von Informationen über die betroffene Person verarbeitet.

Das interessante und praxisrelevante an der Begründung ist, dass hier per se ein gestuftes Auskunftsverfahren als zulässig angesehen wird. Der Rundfunkdatenschutzbeauftragte verlangt also nicht eine Prüfung im Einzelfall, ob wirklich eine große Menge an Daten verarbeitet werden. Dieser Faktor wird sicherlich auch bei vielen Unternehmen in der Privatwirtschaft (gerade im B2C Bereich) relevant sein.

Daneben ist die Begründung des Rundfunkdatenschutzbeauftragten basierend auf dem Gebot der Wirtschaftlichkeit interessant. Geht man davon aus, dass die Masse an Anfragen mit der ersten Stufe der Auskunft zufriedenstellend erfüllt ist, würde es unnötigen Aufwand und personellen als auch finanziellen Aufwand bedeuten, wenn man (quasi überschießend) immer eine Vollauskunft erteilt. Die Besonderheit im konkreten Fall dürfte hier darin liegen, dass aufgrund einer ausdrücklichen Regelung (nach § 14 RStV) der Finanzbedarf des öffentlich-rechtlichen Rundfunks regelmäßig entsprechend den Grundsätzen von Wirtschaftlichkeit und Sparsamkeit geprüft und ermittelt werden muss. Die Sparsamkeit also gesetzlich angeordnet ist.

Ob man dieses Argument auch auf den privatwirtschaftlichen Bereich übertragen kann, wird man diskutieren können. Unternehmen sind nicht gesetzlich zur Wirtschaftlichkeit oder Sparsamkeit verpflichtet. Andererseits müssen auch Unternehmen die „Kosten im Blick“ behalten, da sich eine Erhöhung eben dieser auch insgesamt negativ auf die wirtschaftliche Entwicklung auswirken kann.

Wichtig ist noch die Klarstellung des Rundfunkdatenschutzbeauftragten, dass das Recht auf Auskunft weder inhaltlich beschränkt noch unzumutbar erschwert werden darf. Der Beitragsservice informiert die Betroffenen hinreichend klar auf das abgestufte Verfahren und das Recht des Betroffenen, die Auskunft vervollständigen zu lassen. Bei einer entsprechenden Umsetzung in Unternehmen, sollten dieser Aspekt der Transparenz und Erleichterung der Geltendmachung des Auskunftsrechts (vgl. Art. 12 Abs. 2 DSGVO) ebenfalls besonders berücksichtigt werden.

Hessische Datenschutzbehörde zum Umfang des Auskunftsrechts und zur Einsicht in Patientenakten

Posted on by

Der Hessische Datenschutzbeauftragte (HBDI) hat auf seiner Webseite eine kurze Information mit seiner Position zu der Frage veröffentlicht, wie der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO und das Recht auf Einsichtnahme in die Patientenakte nach § 630g BGB zueinander stehen.

Genau zu diesem Thema hatte sich auch schon zuvor das BayLDA in seinem Tätigkeitsbericht 2017/18 (pdf, S. 46) geäußert. Dort geht das BayLDA davon aus, dass § 630g BGB, als bereichsspezifische Vorschrift, über den datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO hinausgeht. In Bezug auf Art. 15 Abs. 3 DSGVO („Kopie“) geht das BayLDA darauf ein, dass nur eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung zu stellen ist. Es sei hier jedoch nicht die Rede von Kopien der betreffenden Akten oder von sonstigen Unterlagen.

Die nun veröffentlichte Position des HBDI geht im Grunde in dieselbe Richtung.

Art. 15 DSGVO

Art. 15 Abs. 3 DSGVO normiert ein Recht auf Zurverfügungstellung einer Kopie der personenbezogenen Daten.

Einen Anspruch auf Herausgabe einzelner Kopien, z. B. im Sinne einer Fotokopie bestimmter Dokumente, enthält Art. 15 Abs. 3 DS-GVO in aller Regel jedoch nicht. Vielmehr ist der Kopie-Begriff des Art. 15 Abs. 3 DS-GVO im Sinne einer sinnvoll strukturierten Zusammenfassung zu verstehen.

Der HBDI begründet weiter, dass dem Betroffenen daher nicht sämtliche, ihn betreffenden Dokumente in Kopie zur Verfügung gestellt werden müssen. Denn der Wortlaut von Art. 15 Abs. 3 S. 1 DSGVO spreche lediglich von einer Kopie der „personenbezogenen Daten“ und gerade nicht von einer Kopie der Unterlagen, Dokumente oder Akten, in denen diese enthalten sind.

Meines Erachtens ist diese Ansicht richtig und auch gut vertretbar.

§ 630g BGB

Danach geht der HBDI auf den Anspruch des Patienten auf Einsicht in die ärztlichen Patientenunterlagen nach § 630g BGB ein, der von Art. 15 DSGVO zu unterscheiden ist. Danach hat der Patient das Recht auf Kopie der gesamten Akte unter den Voraussetzungen der Absätze 1 und 2. Dies sind vor allem der therapeutische Vorbehalt und Rechte Dritter. Der Patient hat dem Behandelnden die entstandenen Kosten zu erstatten. Der HBDI verweist darauf, dass diese Norm vom Bundesgesetzgeber trotz der Vorschrift des Art. 15 DSGVO nicht geändert wurde.

Verhältnis

Bei der Darstellung des Verhältnisses der Normen geht der HBDI zunächst auf einen weiteren relevanten Aspekt ein.

Im Hinblick auf den therapeutischen Vorbehalt sei es vertretbar davon auszugehen, dass

§ 630g BGB eine zulässige Beschränkung des Art. 15 DS-GVO gem. Art. 23 Abs. 1 lit. i) DS-GVO darstellt (Schutz der betroffenen Person), im Hinblick auf die Kostenerstattung wäre diese Beschränkung jedoch unzulässig.

Der HBDI wertet denUmstand der unterbliebenen Gesetzesanpassung daher in dem Sinne, dass der Bundesgesetzgeber in der Akteneinsicht nach § 630g BGB eine von dem Auskunftsanspruch und dem Recht auf Kopie des Art. 15 DSGVO unabhängige Regelung mit anderem Inhalt und anderem Zweck sehe. § 630g BGB sei damit keine Einschränkung des Rechts auf Auskunft nach Art. 15 DSGVO. Die Norm diene vielmehr ganz anderen Patienteninteressen als Art. 15 DSGVO, wie etwa eine gut geführte Patientenakte für den Arztwechsel zu erhalten und dadurch die nochmalige Durchführung diagnostischer oder therapeutischer Maßnahmen zu vermeiden. Auch die Beweissicherungsfunktion der Dokumentation bzw. ihre Funktion als Beweismittel in einem Arzthaftungsprozess sei vom Gesetzgeber anerkannt worden.

Dieser Ansicht widersprechen auch nicht die in ErwG 63 S. 2 DSGVO enthaltenen Ausführungen, dass die betroffene Person das Recht auf Auskunft über ihre eigenen gesundheitsbezogenen Daten hat, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.

Denn diese sollen der betroffenen Person zu den in Satz 1 des ErwG genannten Zwecken zur Verfügung gestellt werden, namentlich um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.

Weitergehende Zwecke, wie die des § 630g BGB, würden hier in der DSGVO aber gerade nicht genannt.

Im Ergebnis geht der HBDI davon aus, dass es zur Erfüllung des Anspruchs aus Art. 15 Abs. 1 und 3 DSGVO reichen muss, wenn die in ErwG 63 DSGVO genannten Daten vom Verantwortlichen zusammengefasst werden. Aus Praktikabilitätsgründen dürfen die Verantwortlichen natürlich auch für die Herausgabe von gesamten Dokumenten entscheiden.

Die Kopie der gesamten Krankenhausakte des Patienten wäre aber nur nach § 630g BGB herauszugeben.

Amtsgericht: 15.000 EUR Zwangsgeld wegen unzureichender Auskunft nach der DSGVO

Posted on by

Was passiert, wenn eine betroffene Person keine bzw. keine aus ihrer Sicht richtige Auskunft nach Art. 15 DSGVO erhält? Man mag initial an ein Bußgeld durch eine Datenschutzbehörde denken. Das ist sicher ein Risiko. Daneben besteht für Betroffene aber auch noch die Möglichkeit, die datenverarbeitende Stelle vor einem Zivilgericht in Anspruch zu nehmen. Diesen Fall hatte das Amtsgericht Wertheim zu entscheiden.

Und das Ergebnis (Beschluss vom 12.12.2019 – 1 C 66/19; aktuell noch nicht öffentlich abrufbar, bei BeckOnline unter BeckRS 2019, 33192; dejure wird informiert): die Verhängung eines Zwangsgeldes in Höhe von 15.000 EUR (ersatzweise für je 500 EUR ein Tag Zwangshaft) gegen das auskunftspflichtige Unternehmen.

Sachverhalt

Dem nun veröffentlichten Beschluss ging ein Klageverfahren voraus, welches mit einem Anerkenntnisurteil endete (Anerkenntnisurteil vom 27.05.2019 – 1 C 66/19). Dort wurde die Beklagte verurteilt, Auskunft über die personenbezogenen Daten des Klägers bei der Beklagten zu erteilen und die Informationen nach Art. 15 Abs. 1 DSGVO mitzuteilen.

Dieser Pflicht scheint das Beklagte Unternehmerin als Schuldnerin nicht nachgekommen zu sein. Die Handlung (=Auskunft) konnte nicht durch einen Dritten vorgenommen werden, so dass die vorzunehmende Handlung ausschließlich vom Willen der Schuldnerin abhängig ist.

Entscheidung

Nach Ansicht des AG hat die Schuldnerin diese Handlung nicht vollständig ausgeführt. Sie habe insbesondere die Auskunft hinsichtlich Art. 15 Abs. 1 lit. g) DSGVO („wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten“) nicht vollständig erteilt. Die Schuldnerin habe dem Antragsteller nicht alle verfügbaren Informationen über die Herkunft der bei ihr verarbeiteten Daten mitgeteilt.

Das AG begründet seinen Beschluss im Grunde mit einem Verstoß gegen Art. 15 Abs. 1 DSGVO.

Die Auskunft Art. 15 DSGVO ist gemäß Art. 12 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Es war wohl umstritten, ob eine solche Auskunft bereits erteilt wurde bzw. als Schriftstück übergeben wurde. Jedenfalls erfüllte dieses Schriftstück nicht die Erfordernisse des Art. 15 DSGVO. Zum einen sei es offensichtlich nicht vollständig, darüber hinaus sei es inhaltlich falsch.

Das AG befasst sich sodann mit Art. 15 Abs. 1 lit. g DSGVO. Die Frage nach der Herkunft der Daten, werde hier nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ beantwortet. Das AG verweist hierzu auch auf die Anforderungen des Art. 12 Abs. 1 DSGVO. In dem Schriftstück wurde eine „Firma U. P. GmbH“ lediglich in Klammern und mit Zusatz „z.B.“ genannt. Der Leser des Schriftstücks könne daraus die Schlussfolgerung ziehen, dass die Daten des Beklagten von der Fa. U. P. GmbH übermittelt wurden, muss das jedoch nicht. Das bedeutet, dass das AG durch den Zusatz „z.B.“ eine unklare Auskunftserteilung annimmt. Der Betroffene wisse daher nicht, ob Daten wirklich von diesem Unternehmen übermittelt wurden.

Dies ist meines Erachtens die erste praxisrelevante Aussage des Gerichts.

Zweitens geht das AG davon aus, dass eine Auskunft über personenbezogene Daten grundsätzlich auch die Auskunft darüber umfasst,

welche konkreten personenbezogenen Daten (also nicht nur die Auskunft, dass ein Name und dass ein Geburtsdatum gespeichert wurde, sondern auch welcher Name, welches Geburtsdatum, etc.) gespeichert sind bzw. verarbeitet werden.

Die Mitteilung aller verfügbaren Informationen über die Herkunft der Daten umfasse daher – soll sie vollständig sein – nicht nur die Mitteilung von wem die Daten übermittelt wurden,

sondern auch wann und mit welchem Inhalt personenbezogene Daten übermittelt wurden. Dies ergibt sich nicht aus dem genannten Schriftstück.

Zum einen verlangt das AG also, dass im Rahmen der Auskunft nach Art. 15 Abs. 1 DSGVO nicht nur Datenarten oder -kategorien genannt werden. Sondern die konkret verarbeiteten Daten selbst. Diese Ansicht ist meines Erachtens ebenfalls praxisrelevant, wenn auch nicht besonders überraschend.

Sehr streng ist aber die Auffassung des AG, dass die Auskunft dann auch Angaben dazu enthalten muss, „wann“ personenbezogene Daten an das auskunftspflichtige Unternehmen übermittelt wurden und welchen Inhalt diese konkret hatten. Dies würde für die Praxis und ein internes Datenschutz-Management bedeuten, dass nicht nur nachvollzogen werden können muss, welche Daten von wem an das Unternehmen gingen, sondern auch wann dies konkret erfolgte. Man müsste also zusätzlich Datumsangaben zu jedem personenbezogenen Datum hinzuspeichern.

Daneben wurde wohl in dem Schriftstück auch mitgeteilt, dass „zum Namen Ihres Mandanten weitere personenbezogenen Daten gespeichert sind, die sich jedoch nicht auf ihn beziehen, sondern denen ein Betrugsfall zugrunde liegt.“ Diese weiteren Daten enthielten aber wohl auch ein Geburtsdatum, womit es sich auch bei diesen Daten um personenbezogene Daten, nicht lediglich um Daten, die sich auf eine Bestellung bzw. einen Betrugsfall beziehen, handelte.

Fazit

Die Entscheidung des AG ist zum Teil sehr streng und man kann sicherlich diskutieren, ob etwa die Anforderung, dass auch Zeitangaben zu speichern und zu beauskunften sind, wann Daten bei einem Unternehmen eingegangen sind. Eventuell kann man dies an dem Merkmal „alle verfügbaren Informationen“ festmachen. Dazu müsste das Datum aber ja schon verfügbar sein (also gespeichert sein). Ob diese Anforderung aber als Grundlage der Speicherung des Datums (Tag, Uhrzeit oö) dienen kann, erscheint meines Erachtens fraglich.