Was besagt das Urteil?
Im Januar wurde laut dem Europäischen Gerichtshof entschieden, dass bei einem Auskunftsersuchen nach Artikel 15 der Datenschutz-Grundverordnung bezogen auf die Aussage unter Absatz 1c, die Nennung der „Kategorie von Empfängern“ nicht mehr ausreichend ist. In der DSGVO heißt es: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: […] die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen“.
Sollte nun jedoch ein Auskunftsersuchen, z.B. infolge einer Newsletter-Anmeldung, beim Verantwortlichen eines Unternehmens eingehen, so ist es nicht ausreichend, darauf hinzuweisen, dass die E-Mail Adresse an eine Newsletter-Software weitergegeben wird, es sollte künftig der Konkreter Software-Anbieter genannt werden.
Achtung, gezielte Abzocke
Im Bereich Auskunftsersuchen sind, ähnlich wie bei der Abmahnwelle zu Google Fonts, bereits findige Menschen unterwegs, um gezielt über anwaltliche Schreiben Schadenersatz zu fordern. So melden sich Einzelpersonen bei zahlreichen Newslettern an, nur um dann ein Auskunftsersuchen einzureichen. Sollte hier nun der konkrete Anbieter des Newsletter Dienstes nicht genannt werden, folgt ein anwaltliches Mahnschreiben mit einer Aufforderung zur Nennung des Dienstes, Zahlung der Anwaltskosten und einer Schadenersatzforderung.
Welche Prüfschritte sind relevant?
1. Muss die Identität des Antragstellers überprüft werden?
Gemäß der DSGVO sind Verantwortliche dazu verpflichtet, die Identität der Person, die ein Auskunftsersuchen stellt, zu überprüfen, um sicherzustellen, dass die Informationen nur an die betroffene Person weitergegeben werden.
Die Art und Weise, wie die Identitätsprüfung erfolgt, hängt vom Einzelfall ab. Mit den folgenden Methoden kann eine Identität im Normalfall überprüft werden:
Vertragsdaten: Gilt das Auskunftsersuchen zu Daten, die bei der Abwicklung eines Vertrages erhoben wurden, so können die gelieferten Informationen wie Adresse, Vertragsnummer oder Kundennummer zur Identifizierung ausreichen.
Authentifizierung: Der Verantwortliche kann den Antragsteller bitten, sich auf andere Weise zu authentifizieren, z. B. durch die Eingabe eines Passworts oder einer PIN-Nummer. Bei einem Online-Portal ist durch den Login die Authentifizierung gegeben, hier sollte nur bei einem Portal, welches sensible Daten verarbeitet, zum Beispiel ein Gesundheitsportal, eine doppelte Authentifizierung, z.B. über SMS oder E-Mail erfolgen.
Identitätsnachweis: Der Verantwortliche kann den Antragsteller in besonderen Fällen bitten, einen amtlichen Ausweis wie einen Reisepass, einen Führerschein oder einen Personalausweis vorzulegen.
Es ist wichtig zu betonen, dass die Identitätsprüfung angemessen und verhältnismäßig sein muss und die Rechte des Antragstellers nicht unverhältnismäßig einschränken darf. Werden im Rahmen der Identitätsprüfung neue Daten des Antragstellers erhoben und verarbeitet, so müssen diese sofort nach Erfüllung ihres Zweckes gelöscht werden.
2. Wie wird vorgegangen, wenn keine Daten über den Antragsteller vorliegen?
Wenn eine erste Prüfung ergibt, dass keine Daten über den Antragsteller gespeichert wurden, liegt auch keine Verarbeitung vor. Das Gleiche gilt, wenn die entsprechenden Daten bereits eliminiert wurden oder ohne Umkehrmöglichkeit anonymisiert.
Aufgepasst: In diesem Fall ist eine Negativauskunft zu erteilen, dass Auskunftsersuchen darf auf keinen Fall ignoriert werden.
3. Gibt es Ausnahmen beim Auskunftsrecht?
Auch beim Auskunftsrecht gibt es Ausnahmen, die beachtet werden müssen. Dies wird über die §§ 27 Abs. 2, 28 Abs. 2 und 29 Abs. 1 Satz 2 sowie § 34 des BDSG-neu geregelt, und zwar handelt es sich um eine Verarbeitung der personenbezogenen Daten zu wissenschaftlichen, historischen oder statistischen Zwecken (§ 27), zu im öffentlichen Interesse liegenden Archivzwecken (§ 28) und um Datenverarbeitungen durch Berufsgeheimnisträger. Wenn einer dieser Fälle zutrifft, sollte eine juristische Prüfung des Auskunftersuchens erfolgen.
4. Welche Informationen müssen erteilt werden?
Betroffene Personen haben laut DSGVO das Recht, von einem Verantwortlichen Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten von ihnen verarbeitet werden. Hierbei müssen die folgenden Informationen erteilt werden:
Bestätigung der Verarbeitung: Der Verantwortliche muss bestätigen, ob personenbezogene Daten von der betroffenen Person verarbeitet werden oder nicht. Wenn nicht, muss die erwähnte Negativauskunft erteilt werden.
Informationen über die verarbeiteten Daten: Wenn personenbezogene Daten verarbeitet werden, müssen dem Betroffenen alle verarbeiteten Daten, wie z.B. Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, etc., zur Verfügung gestellt werden.
Verarbeitungszwecke: Der Verantwortliche muss darüber informieren, für welche Zwecke die personenbezogenen Daten verarbeitet werden.
Empfänger oder Kategorien von Empfängern: Der Verantwortliche muss angeben, an wen oder welche Kategorie von Empfängern die personenbezogenen Daten weitergegeben wurden oder werden. Nach dem Urteil aus dem Januar 2023 ist nun bestätigt, dass die konkreten Empfänger personenbezogener Daten genannt werden müssen, es sei denn der Antragssteller verlangt nur die Kategorie. Eine Nennung der Kategorie statt des konkreten Empfängers ist sonst nur zulässig, wenn das verarbeitende Unternehmen diese selbst nicht kennt oder die Anfrage des Auskunftsersuchenden offensichtlich unbegründet oder exzessiv ist (Art. 12 Absatz 5 DSGVO).
Speicherdauer: Dem Auskunftsuchenden muss mitgeteilt werden, für welche Dauer seine personenbezogenen Daten gespeichert werden. Ist dies nicht möglich, müssen die Kriterien für die Festsetzung der Speicherdauer offengelegt werden.
Berichtigung oder Löschung: Der Auskunftssuchende hat nach DSGVO ein Recht auf Löschung der Berichtigung seiner personenbezogenen Daten. Darüber muss der Verantwortliche im Betrieb im Rahmen des Auskunftsersuchen aufklären.
Recht auf Beschwerde: Auch über das Recht auf Beschwerde bei der zuständigen Datenschutzbehörde muss der Verantwortliche den Betroffenen aufklären.
Es muss stets darauf geachtet werden, dass die Informationen in leicht verständlicher und präziser Form übermittelt werden. Dies kann auf elektronischem oder schriftlichem Weg geschehen.
5. Welchen Fristen gelten für die Erteilung der Auskünfte?
Hier ist Eile geboten – die Auskunft muss so schnell wie möglich, im Idealfall umgehend, erteilt werden. Gesetzlich vorgeschrieben ist eine Abgabe innerhalb eines Monats nach Eingang des Antrags (Artikel 12 Absatz 3 DSGVO). Sollte aus Gründen der Komplexität oder Anzahl der Anträge das Einhalten der Monatsfrist nicht möglich sein, kann diese in Ausnahmefällen um zwei Monate verlängert werden. Begründungen wie Krankheit oder Urlaub des Verantwortlichen zählen hier nicht, da mehr als eine Person diese Aufgabe im Unternehmen abwickeln können sollte.
6. Gibt es eine bestimmte Formvorschrift zur Übermittlung der Auskünfte?
Tatsächlich gibt es keine Formvorschriften, doch wie bereits erwähnt sollte auf Übersichtlichkeit und Einfachheit der Sprache geachtet werden. Auch ein Laie muss den Inhalt verstehen, eine transparente, verständliche und leicht zugängliche Form gilt zu wahren.
Ob die Zustellung elektronisch per Mail oder über den Briefversand erfolgt, bleibt ebenfalls dem Verantwortlichen überlassen. Empfohlen wird, den gleichen Weg zu wählen, über den die Anfrage eingegangen ist, es sei denn, der Antragsteller wünscht sich eine andere Art der Übermittlung – auch eine mündliche Auskunft ist hier möglich.
7. Wie muss mit den übermittelten Daten umgegangen werden?
Artikel 5 Absatz 2 der DSGVO beschreibt die Rechenschaftspflicht des Verantwortlichen und weist darauf hin, dass für den Fall der Einschaltung einer Aufsichtsbehörde im weiteren Verlauf des Auskunftsersuchens das Anschreiben sowie die erfolgte Antwort gespeichert werden sollten. Erst nach drei Jahren ist eine eventuelle Verletzung des Betroffenenrechtes verjährt (§ 31 OWiG – da es in der DSGVO keine entsprechenden Verjährungsregeln gibt).
Mit welchen Bußgeldern ist im Fall einer versäumten Auskunft zu rechnen?
Wer der Auskunftspflicht nicht oder nur unvollständig nachkommt, muss damit rechnen, dass sich die betroffene Person an die Aufsichtsbehörde wendet. Diese kann den Hinweis zum Anlass nehmen, um das Unternehmen unter die Lupe zu nehmen und ebenfalls Auskünfte über das Vorgehen bei der Datenverarbeitung fordern. Auch Bußgelder im empfindlichen Bereich können erteilt werden (Artikel 12 Absatz 15 DSGVO) und eine Höhe von bis zu 20 Mio. Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes erreichen, da der erhöhte Bußgeldrahmen zur Anwendung kommt.
Auch die betroffene Person selbst kann beim Unternehmen nach Artikel 82 DSGVO Anspruch auf Schadensersatz geltend machen. Da hier wie bereits erwähnt mittlerweile auch häufig „Profis“ am Werk sind, sollten Auskunftsersuchen stets umgehend bearbeitet werden.
Fazit
Sofern noch nicht geschehen, sollte im Unternehmen der Prozess zum Vorgehen bei einem Auskunftsersuchen definiert werden. Dabei ist darauf zu achten, dass mehr als eine Person mit dem Vorgang vertraut ist und im Krankheits- oder Urlaubsfall einspringen kann. Die Verantwortlichen sollten regelmäßig E-Mail und auch Spam-Eingänge auf eingegangene Auskunftsersuchen überprüfen und auch die Bearbeiter des schriftlichen Posteinganges müssen sensibilisiert werden. Ein übersehenes Schreiben bedeutet schnell Ärger mit dem Verfasser oder der Aufsichtsbehörde und zieht im schlimmsten Fall eine Schadenersatzforderung oder ein Bußgeld nach sich.
