Category Archives: Betroffenenrechte

Schwedische Datenschutzbehörde: wann werden personenbezogene Daten „unverzüglich“ gelöscht?

Posted on by

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

In der Praxis stellt sich oft die Frage, wie schnell denn nun Daten zu löschen sind? Was also „unverzüglich“ bedeutet (ausführlicher haben sich Philipp Quiel und ich hiermit in unserem Beitrag zur Herbstakademie 2020 „Bestimmt unbestimmt – Vorschläge zur Auslegung und Anwendung unklarer Formulierungen in der Datenschutz-Grundverordnung“ (DSRITB 2020, 1) befasst).

Generell ist bei der Anwendung von Unionsrecht (wie hier der DSGVO) zu beachten, dass bei einer unionsrechtlich autonom erfolgenden Interpretation rein nationale Rechtsverständnisse in der Regel nur sehr begrenzt zur Klärung des Regelungsinhalts einer Norm hinzugezogen werden können. Daher ist es meines Erachtens auch nicht richtig, bei der Auslegung eines europäischen Rechtsbegriffs wie „unverzüglich“ allein auf tradierte nationale Verständnisse abzustellen, wie etwa auf § 121 Abs. 1 S. 1 BGB und das Verständnis von „ohne schuldhaftes Zögern (unverzüglich)“. Hierfür wird davon ausgegangen, dass ein Zuwarten von zwei Wochen als nicht mehr unverzüglich anzusehen ist, wenn keine besonderen Umstände vorliegen (MüKom/BGB, 8. Aufl. 2018, § 121 Rn. 7).

Die schwedische Datenschutzbehörde hat nun in einem Prüfverfahren (PDF) (welches im One Stop Shop Verfahren nach der DSGVO bearbeitet wurde) entschieden, dass eine Löschung von personenbezogenen Daten innerhalb von 16 Tagen als „unverzüglich“ anzusehen war. Dies zeigt deutlich, dass bei Auslegung und Anwendung der DSGVO der rein nationale Blick oft zu kurz greift. Zum anderen gibt diese Entscheidung für die Praxis zumindest einen ersten Anhaltspunkt dafür, was aus Behördensicht eine „unverzügliche“ Löschung bedeuten kann.

Verwaltungsgericht: Recht auf Datenübertragbarkeit umfasst nicht Auswertungen oder Analysen

Posted on by

Gerichtliche Entscheidungen zum Recht auf Datenübertragbarkeit nach Art. 20 DSGVO sind sehr rar. Im März 2021 hatte sich nun das VG Weimar (Beschl. v. 02.03.2021, 3 E 209/21) zumindest am Rande mit dem Anwendungsbereich der Norm beschäftigt (jedoch direkt der Hinweis, dass keine tiefgehenden Ausführungen erfolgten).

Das VG hatte in einem Verfahren zum vorläufigen Rechtsschutz zu einem Antrag nach § 123 VwGO zu entscheiden. Der Antragsteller verlangte, dem Antragsgegner im Wege der einstweiligen Anordnung aufzugeben, „die Approbationsurkunde des Antragstellers über den Auftragsdatenverarbeiter D… zu verifizieren und elektronisch zu übermitteln“.

Das VG sah den Antrag jedoch nur zum Teil als begründet an. Der Antragsteller hat einen Anspruch auf eine elektronische Abschrift der Approbationsurkunde und darauf, diese an eine vom Antragsteller zu benennende E-Mail-Adresse zu versenden.

Jedoch lehnt das VG einen Anspruch auf elektronische Verifizierung ab (wobei ich ehrlich sagen muss, dass mir nicht ganz klar ist, was damit gemeint war). Es fehlte an einem Anordnungsanspruch, soweit der Antragsteller vom Antragsgegner eine elektronische Verifizierung seiner Approbationsurkunde begehrte.

Der Antragsteller stützte seinen Anspruch auf elektronische Verifizierung seiner Approbationsurkunde u.a. auf Art. 20 Abs. 1 und 2 DSGVO. Das VG ließ offen, ob und inwieweit die begehrte Verifizierung der Approbationsurkunde überhaupt vom Anspruchsinhalt des Art. 20 DSGVO umfasst ist.

Denn es fehle hier in jedem Fall an tatbestandlichen „Daten“ im Sinne der Vorschrift. Art. 20 Abs. 1 DSGVO verlangt, dass zu einer Person „sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat“ vorliegen müssen.

Nach Ansicht des VG zählen hierzu

nur diejenigen Daten, die die betroffene Person zuvor dem Verantwortlichen übermittelt hat. Von vornherein nicht erfasst sind Daten, die erst das Ergebnis einer Auswertung durch den Verantwortlichen darstellen“.

Leider begründet das VG seine Ansicht nicht näher und verweist auf die Literatur. In der Vergangenheit wurde durchaus diskutiert, was unter „bereitgestellte“ Daten fällt. Nach Ansicht (pdf) der ehemaligen Art. 29 Gruppe umfasst der Begriff auch personenbezogene Daten, die sich auf die Aktivität der betroffenen Person beziehen oder das Ergebnis einer Beobachtung des Verhaltens einer Person (jedoch nicht einer nachfolgenden Analyse dieses Verhaltens) sind (S. 12). Die Ansicht des VG scheint auch in diese Richtung zu gehen, wobei das VG auf eine „Übermittlung“ abstellt und damit wohl eine bewusste Aktivität der Betroffenen als erforderlich ansieht. Dies verlangt die Art. 29 Gruppe in ihrer Leitlinie gerade nicht.  

Wann können Verantwortliche sich weigern, einer Anfrage der betroffenen Person nachzukommen?

Posted on by

Nach Art. 12 Abs. 5 DSGVO muss der Verantwortliche grundsätzlich „Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34“ unentgeltlich zur Verfügung stellen. Also insbesondere auch den Auskunftsanspruch nach Art. 15 DSGVO per se unentgeltlich erfüllen. Hiervon macht die DSGVO jedoch zwei Ausnahmen.

Bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Die Datenschutzbehörde des Vereinigten Königreichs (ICO) hat auf ihrer Webseite einige interessante Aussagen dazu veröffentlicht, wann ihrer Ansicht nach ein Antrag eines Betroffenen als „offensichtlich unbegründet“ bewertet werden kann.

Die kann der Fall sein, wenn:

  • die Person eindeutig nicht die Absicht hat, ihr Recht auf Auskunft auszuüben. Zum Beispiel stellt eine Person einen Antrag, bietet dann aber an, ihn im Gegenzug für irgendeine Form von Vorteil für die Organisation zurückzuziehen; oder
  • der Antrag in böswilliger Absicht gestellt wird und dazu dient, eine Organisation zu schikanieren, ohne einen anderen Zweck als die Störung zu verfolgen.

Gerade die zuerst genannte Fallgruppe kommt meiner Erfahrung nach in der Praxis durchaus öfter vor, insbesondere in streitigen Verfahren im Arbeitsrecht wird ein Auskunftsantrag durchaus verwendet, um auf der Gegenseite für Aufwand zu sorgen und um auf Fehler zu hoffen. Wenn dann aber z. B. ein monetärer Vergleich angeboten wird, wird der Antrag zurückgenommen.

Die ICO geht davon aus, dass die zweite Fallgruppe zum Beispiel vorliegen kann, wenn die betroffene Person:

  • in der Anfrage selbst oder in anderen Mitteilungen ausdrücklich erklärt, dass sie beabsichtigt, eine Störung zu verursachen;
  • unbegründete Anschuldigungen gegen die Organisation oder bestimmte Mitarbeiter erhebt, die eindeutig durch Böswilligkeit veranlasst sind;
  • auf einen bestimmten Mitarbeiter abzielt, gegen den sie einen persönlichen Groll hegt; oder
  • systematisch verschiedene Anfragen an die Organisation als Teil einer Kampagne sendet, z. B. einmal pro Woche, mit der Absicht, Störungen zu verursachen.

Die Datenschutzbehörde weist zurecht darauf hin, dass diese Fallgruppen und Beispiele natürlich stets im Einzelfall geprüft werden müssen. Organisationen müssen eine Anfrage in dem Kontext betrachten, in dem sie gestellt wird. Wenn die Person wirklich ihre Rechte wahrnehmen möchte, ist es unwahrscheinlich, dass die Anfrage offensichtlich unbegründet ist.

Zuletzt weist die ICO noch darauf hin, dass aggressive oder beleidigende Ausdrücke zwar nicht akzeptabel sind, aber die Verwendung solcher Ausdrücke eine Anfrage nicht unbedingt offensichtlich unbegründet macht.

Bayerische Datenschutzbehörde: Auskunftsanspruch von Beschäftigten kann gestuft beantwortet werden

Posted on by

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seinen neuen Tätigkeitsbericht (PDF) für das Jahr 2020 vorgelegt. Die Behörde äußert sich auch zu dem (praktisch wichtigen) Thema des Auskunftsanspruch von (ehemaligen) Beschäftigten gegenüber ihrem Arbeitgeber.

Nach Ansicht der Behörde genügt es, wenn Beschäftigte von ihren Arbeitgebern pauschal Auskunft über die zu ihrer Person gespeicherten Daten begehren, dass Arbeitgeber zunächst eine konkrete Auskunft zu den Personalstammdaten und im Übrigen zu den Kategorien verarbeiteter personenbezogener Daten erteilen. Für eine weitergehende Auskunft dürfen Arbeitgeber die Betroffenen bitten, ihren Anspruch zu präzisieren.

Die Behörde hält – angesichts der typischerweise größeren Anzahl unterschiedlicher vom Arbeitgeber durchgeführten Verarbeitungstätigkeiten und von verarbeiteten Daten der Beschäftigten – eine gestufte Vorgehensweise für gut vertretbar.

Schritt 1: Auskunft über die Personalstammdaten im Klartext, so dass der Beschäftigte erkennen kann, ob sie richtig sind. Das betrifft Name, Vorname, Geburtstag, Adresse und Geburtsort. Ansonsten genügt es, wenn Auskunft zu den Kategorien von personenbezogenen Daten, erteilt wird.

Schritt 2: Möchte der Betroffene mehr Daten, muss er seinen Auskunftsanspruch gemäß ErwG 63 Satz 7 DSGVO dahingehend präzisieren, auf welche Informationen und/oder Verarbeitungstätigkeiten sich das Auskunftsersuchen bezieht.

Erst nach dieser erfolgten Präzisierung ist dann der Arbeitgeber in der Pflicht, die entsprechenden Auskünfte mit konkreten Daten zu erteilen„.

Irische Datenschutzbehörde: Anforderungen an den Schutz der Vertraulichkeit von Daten bei der Kontaktaufnahme mit Unternehmen im Namen einer anderen Person

Posted on by

Die irische Datenschutzbehörde (DPC) hat auf ihrer Webseite einige interessante Fallbeispiele und Empfehlungen für Situationen veröffentlicht, in denen ein Dritter für die betroffene Person ein Unternehmen kontaktiert und zB Auskunft zu seinen Daten oder eine Löschung vornehmen möchte. Die DPC erläutert zunächst das Problem: eine häufige Reaktion von Unternehmen ist, dass den anfragenden Dritten gesagt wird, das Unternehmen würde nur direkt zB mit dem Kontoinhaber kommunizieren, oder die Personen werden aufgefordert, einen sehr hohen Standard an Nachweisen vorzulegen, dass sie im Namen des Kontoinhabers handeln.

Rechtliche Vorgaben

Die DPC weist zunächst auf die zu beachtenden datenschutzrechtlichen Anforderungen hin. Unternehmen sind verpflichtet, personenbezogene Daten sicher aufzubewahren und sie nicht an jemanden weiterzugeben, den sie nicht kennen sollten – in Übereinstimmung mit dem Prinzip der „Integrität und Vertraulichkeit“ in Art. 5 Abs. 1 lit. f DSGVO. Dieser Grundsatz verlangt, so die DPC, dass personenbezogene Daten nur „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen„.

Von besonderer Bedeutung ist der Begriff „angemessen“. Nach Ansicht der DPC eröffnet dieser Begriff für die Verantwortlichen die Möglichkeit, in diesen Fällen abzuwägen, welches Maß an Sicherheit in den verschiedenen Situationen angemessen ist. Unternehmen sollten Aspekte wie die Art und Sensibilität der betroffenen personenbezogenen Daten, den potenziellen Schaden, wenn personenbezogene Daten an die falsche Person weitergegeben werden, und die Wahrscheinlichkeit, dass Personen legitimerweise im Namen des Kontoinhabers sprechen, berücksichtigen.

Fallbeispiel 1

Die DPC wurde in einer Situation um Rat gebeten, in der eine Person bei dem Versuch, einen Dienstleister über einen Dolmetscher zu kontaktieren, auf Schwierigkeiten stieß. Obwohl der Dolmetscher die relevanten Kontoinformationen korrekt angab, wollte die Organisation nicht mit dem Dolmetscher verhandeln, es sei denn, er legte ein unterzeichnetes Dokument vor, das beweist, dass er die Erlaubnis des Kontoinhabers hat, in dessen Namen zu sprechen.

Die DPC sah in diesem Fall kein offensichtliches Datenschutzproblem, das die Organisation daran hindern würde, mit einem Kunden über den Dolmetscher zu verhandeln. Es war nicht ersichtlich, dass es vernünftig oder unter Sicherheitsaspekten notwendig war, eine zusätzliche Sicherheitsanforderung für die Einschaltung eines Dolmetschers einzuführen, da es kein erhöhtes Risiko eines unbefugten Zugriffs auf personenbezogene Daten gab. Selbst wenn ein zusätzlicher Sicherheitsschritt erforderlich war, um zu überprüfen, ob der Dolmetscher die Erlaubnis des Kontoinhabers hatte, war das Verlangen nach einer unterzeichneten Erlaubnis wahrscheinlich eine unverhältnismäßig hohe Schwelle, bei der die Beantwortung weiterer Sicherheitsfragen oder die Bestätigung der Kontodaten ausgereicht hätte.

Fallbeispiel 2

Einer gehörlosen Person, die einen Gebärdensprachdolmetscher benötigte, als sie mit einem Dienstleister in Kontakt trat, wurde der Zugang zu dem Dienst verweigert, da die Organisation sich weigerte, mit dem Gebärdensprachdolmetscher zu arbeiten. Die Organisation nannte „DSGVO- und Datenschutzbedenken“ als Grund für die Verweigerung des Zugangs.

Nach Ansicht der DPC verhindert oder verbietet aber die DSGVO nicht die Verwendung eines Gebärdensprachdolmetschers, eines Text-Relay-Service oder eines ähnlichen Systems, wenn eine gehörlose oder schwerhörige Person diese Dienste bei der Kontaktaufnahme mit einem Dienstleister nutzen muss. Diensteanbieter sind verpflichtet, geeignete Sicherheitsmaßnahmen zu ergreifen, um die Integrität und Vertraulichkeit der personenbezogenen Daten von Kunden zu schützen. Diese Maßnahmen dürfen jedoch diejenigen nicht unverhältnismäßig benachteiligen, die einen Gebärdensprachdolmetscher oder eine Form des Textdienstes benötigen.

Empfehlungen der DPC

Der Standpunkt der DPC ist, dass das Datenschutzrecht in der Regel Organisationen nicht daran hindert, mit jemandem zu kommunizieren, der den Kontoinhaber vertritt, wenn sie angemessene und verhältnismäßige Schritte unternommen haben, um die Einhaltung ihrer Sicherheits- und Vertraulichkeitsverpflichtungen zu gewährleisten.

Die DPC rät Organisationen, insbesondere Dienstleistern und solchen, die mit der Kundenbetreuung beschäftigt sind, bei der Planung und Umsetzung „geeigneter technischer oder organisatorischer Maßnahmen“ zum Schutz personenbezogener Daten auf einen ausgewogenen und verhältnismäßigen Ansatz bei ihren Sicherheits- und Identitätsprüfungsmaßnahmen zu achten. Im Grunde bleiben die Empfehlungen der DPC vage bzw. belassen das Risiko der Fehleinschätzung hinsichtlich der einzusetzenden Sicherheitsmaßnahmen und -prozesse bei dem Verantwortlichen. Die beiden Beispiele bieten aber zumindest eine gewisse Hilfestellung für Unternehmen. Die DPC verlangt, dass Unternehmen solche Maßnahmen umsetzen, „die sowohl ein hohes Maß an Schutz für den Einzelnen bieten, aber auch diejenigen nicht unverhältnismäßig benachteiligen, die sich nicht ohne weiteres auf diese Maßnahmen einlassen können und die möglicherweise jemanden brauchen, der in ihrem Namen Kontakt aufnimmt“.

Berliner Datenschutzbehörde: Risiken bei Betroffenenanfragen an no-reply Adressen und in Ticket- oder CRM-Systemen

Posted on by

In ihrem aktuellen Jahresbericht 2020 (pdf) bespricht die Datenschutzbehörde aus Berlin einen sehr praxisrelevanten Aspekt der Erfüllung von Betroffenenanfragen, etwa in Bezug auf Löschung oder Auskunft (ab S. 164). Es geht um die Frage, ob Verantwortliche Anfragen auf jeglichem Kommunikationskanal beachten und bearbeiten müssen oder ob man Betroffene auf einen speziellen Datenschutzkontakt verweisen darf?

Die Ansicht der Berliner Behörde ist sehr klar: Verantwortliche müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

No-reply Adressen – ein DSGVO-Problem

Hauptargument der Behörde ist die Vorgabe des Art. 12 Abs. 2 DSGVO. Danach ist der Verantwortliche verpflichtet, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 zu erleichtern. Zudem verweist die Behörde auf die allgemeine Verantwortlichkeitsvorschrift des Art. 24 DSGVO. Die Behörde geht davon aus, dass Verantwortliche durch technisch-organisatorische Maßnahmen sicherstellen müsse,

dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“

Speziell in Bezug auf sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, geht die Behörde davon aus, dass jedenfalls dann ein datenschutzrechtliches Problem bestehe,

wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden“.

Interessant hierbei ist, dass die Behörde also nicht verlangt, dass die Anfrage tatsächlich bearbeitet wird, wenn zumindest in der E-Mail an den Betroffenen deutlich gemacht wird, an welche Adresse sie sich bei Datenschutzfragen wenden können. Zumindest verstehe ich die Aussage der Behörde oben so, quasi als Minimum-Anforderung.

Genau im Satz danach wird die Ansicht der Behörde dann aber doch wieder scheinbar strenger:

„Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen“.

Meiner Ansicht nach wiedersprechen sich die beiden zitierten Ansichten jedoch nicht unbedingt. Die Behörde verlangt grundsätzlich, das Betroffenenanfragen stets bearbeitet werden. Alles andere wäre ja auch überraschend. Geht es um den speziellen Fall einer no-reply Adresse, die deutlich als solche erkennbar ist und in der eine Alternative für Datenschutzanfragen angegeben wird, scheint die Behörde aber zumindest die von der DSGVO geforderte „Erleichterung“ als erfüllt anzusehen. Ich verstehe die Behörde so, dass es vor allem problematisch ist, wenn Betroffene nicht erkennen können, dass der von ihnen gewählte Kanal nicht bearbeitet wird und ihnen auch keine Alternative deutlich erkennbar angeboten wird.

Ticket- und CRM-Systeme

Interessant sind dann auch noch die Ansichten der Behörde zur Bearbeitung von Betroffenenanfragen in Ticket- oder CRM-Systemen, wie sie in der Praxis fast überall zum Einsatz kommen.

Die Behörde verweist darauf, dass bei der Nutzung von Ticket- oder CRM-Systemen darauf zu achten sei,

dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können“.

Bedeutet etwa bei Auskunftsanfragen, dass auch Personen, die keine Kunden sind, eine Negativauskunft zu erteilen ist.

Zudem berichtet die Behörde von einem Fall, in dem im Verlauf der Kommunikation zwischen dem Kundenservice und einer betroffenen Person irgendwann auch das Datenschutzteam in Kopie genommen wird, das verwendete CRM-System aber auf solche Konstellationen nicht eingestellt sei. In diesem Fall wurde dann wohl eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kundenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, wusste aber auch nicht um die Problematik der fehlenden automatischen Weiterleitung an das Datenschutzteam.

Insgesamt zeigt der Bericht der Datenschutzbehörde, dass Anfragen von Betroffenen immer Ernst genommen und intern schnell der zuständigen Abteilung weitergeleitet werden müssen. Wichtig hierbei ist auch eine entsprechende Sensibilisierung der Mitarbeiter, insb. Über Schulungen, interne FAQ-Seiten oder ähnliches.