DSGVO/GDPR: Die Auskunft darf nicht zur Datenpanne führen

Erteilung der Auskunft muss richtig implementiert werden

In Artikel 15 der DSGVO werden als Informationen, die bei der Auskunft mitgeteilt werden müssen, genannt:

• die Verarbeitungszwecke
• die Kategorien personenbezogener Daten, die verarbeitet werden
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
• bei Übermittlung an ein Drittland oder an eine internationale Organisation besteht für Betroffene das Recht, über die geeigneten Garantien für den Datenschutz im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Auch wenn viele dieser Punkte eigentlich dem zu erstellenden Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO) zu entnehmen sein sollten, kann es leicht passieren, dass Unternehmen unvollständige Angaben in ihrer Auskunft machen.

Eine Verletzung der Vorgaben im Bereich der Betroffenenrechte kann jedoch Sanktionen der Aufsichtsbehörden nach sich ziehen, da gerade das Auskunftsrecht grundlegend ist für die notwendige Transparenz im Datenschutz.

Doch ein Unternehmen kann nicht nur Fehler dadurch begehen, dass die Auskunft unvollständig ist.

Fristen müssen eingehalten, Daten Dritter geschützt werden

Zu der DSGVO gehören die sogenannten Erwägungsgründe, die ebenfalls bindenden Charakter haben. Dort und in Artikel 12 DSGVO (Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Personen) findet man unter anderem die Vorgabe, dass ein Unternehmen Anträge von Betroffenen, wie zum Beispiel ein Auskunftsersuchen, unverzüglich, spätestens aber innerhalb eines Monats beantworten soll. Die Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.

Das klingt nach viel Zeit, ist es in der Praxis aber nicht, so dass es wichtig ist, ein internes Verfahren zu etablieren, dass die Vollständigkeit und Fristeinhaltung bei der Auskunft sicherstellt.

Neben der Fristvorgabe gibt es weitere wichtige Punkte, die die DSGVO vorschreibt:

• Die Auskunft muss kostenlos erteilt werden, außer bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen, wie es die DSGVO ausdrückt.
• Werden Kopien der Daten im Rahmen einer Auskunft an einen Betroffenen übermittelt, dürfen die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.

Das bedeutet insbesondere: Wenn die Daten eines Betroffenen für die Auskunft kopiert werden, dürfen sich in der Datenkopie keine Daten anderer Personen befinden. Offensichtlich würde sonst die Auskunft zu einer Verletzung des Datenschutzes für andere Personen führen.

Anfragender und Empfänger der Auskunft müssen geprüft werden

Die Erteilung einer Auskunft kann auch auf anderem Wege zur Verletzung des Datenschutzes führen. Man stelle sich vor, eine Person will Auskunft über personenbezogene Daten, die angeblich die eigenen sind. Doch in Wirklichkeit ist es ein Dritter, der die Daten bekommen möchte. Für diese Übermittlung der Daten würde die Rechtsgrundlage fehlen, es käme zu einer Datenschutzverletzung.

Man kann sich zudem vorstellen, dass es besonders bei elektronischen Verfahren passieren könnte, dass jemand eine Identität vortäuscht und dann über ein Auskunftsverlangen an die Daten seines „Opfers“ kommen möchte.

Die DSGVO besagt aber ausdrücklich: Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt. In den bereits erwähnten Erwägungsgründen findet man aber auch:

• Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen.
• Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.

Die Aufsichtsbehörden für den Datenschutz haben sich deshalb bereits damit befasst, wie sich die Identität einer anfragenden Person am besten elektronisch überprüfen lässt, damit das Auskunftsrecht auch elektronisch ausgeübt werden kann, ohne digitalen Betrugsversuchen Tür und Tor zu öffnen.

So sagt die DSGVO, dass der Verantwortliche zusätzliche Informationen anfordern kann, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Wie dieser Identitätsnachweis am besten gelingen kann, hat zum Beispiel der Landesbeauftragte für den Datenschutz Baden-Württemberg näher betrachtet.

Abhängig von dem Schutzbedarf der jeweiligen Daten, die über die Auskunft bereit gestellt werden sollen, gilt es für Unternehmen ein angemessenes Verfahren zu wählen, darunter zum Beispiel die Bereitstellung eines Links zu einer HTTPS-geschützten Website, über die die betroffene Person die Ausweiskopie sicher an den Verantwortlichen übermitteln kann, das klassische Postident-Verfahren als auch ein Video-Ident-Verfahren, die Nutzung der Online-Ausweisfunktion des Personalausweises und die Identifizierung über ein Nutzerkonto mit Zwei-Faktor-Authentifizierung.

Die Aufsichtsbehörde betont dabei, dass Verantwortliche selbst entscheiden müssen, welche Identifizierungsmethode sie für Auskunftsersuchen von betroffenen Personen wählen, unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen.

Dies ist ein weiterer Grund, warum Unternehmen die Umsetzung der Betroffenenrechte genau planen und in einem geeigneten, internen Verfahren implementieren sollten, bevor es zu den ersten oder aber vermehrten Auskunftsverlangen kommt.