datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert

Keine Auskunft nach Art. 15 DS-GVO „aus Datenschutzgründen“?

Einer betroffenen Person steht nach Art. 15 DS-GVO das Recht zu, von einem Verantwortlichen Auskunft über die sie betreffenden personenbezogenen Daten zu verlangen, die der jeweilige Verantwortliche verarbeitet. Dieses Recht ist bedingungslos, entsprechend ist der Verantwortliche verpflichtet, die Auskunft zu erteilen.

Kann diese Pflicht jedoch eingeschränkt werden? Eine sehr interessante Frage, doch zunächst wäre es wichtig, zu klären, auf welchem Weg eine Auskunft grundsätzlich verlangt werden kann und wie ein Verantwortlicher diese erteilen kann bzw. muss.

Auf welchem Weg kann Auskunft verlangt werden?

Ein Auskunftsersuchen seitens einer betroffenen Person ist auf unterschiedliche Art und Weise denkbar. Möglich wäre z.B. eine (eher seltene) persönliche Anfrage vor Ort, eine Anfrage per Post, auf elektronischem Wege per E-Mail oder ein Kontaktformular auf der Internetseite eines Verantwortlichen oder aber auch ganz einfach telefonisch oder per Fax. Hier hat die betroffene Person also ein Wahlrecht.

Auf welchem Weg kann (muss) Auskunft erteilt werden?

Bezüglich Kanal (dem Weg) der Auskunftserteilung macht die DS-GVO gar keine und bezüglich der Form nur wenige Vorgaben. Die Auskünfte sind gemäß Art. 12 Abs. 1 DS-GVO wie jede andere Information grundsätzlich „in leicht zugänglicher Form“ und bei einem elektronisch gestellten Auskunftsantrag gemäß Art. 15 Abs. 3 DS-GVO „in einem gängigen elektronischen Format“ zu erteilen. Mehr Aussagen werden nicht getroffen, insbesondere lässt die DS-GVO vollständig offen, was ein gängiges elektronisches Format sein soll. Unserer Ansicht nach dürften alle aktuell gängigen Office-Dokumenttypen oder PDFs, aber auch CSV- oder XML-Dateien diese Anforderung erfüllen.

Wir schließen aus dieser Vorgabe, dass es dem Verordnungsgeber darum ging, die Auskunft für die betroffenen Personen so einfach wie möglich zu gestalten. Dies sollte auch bei der Wahl des Antwortkanals berücksichtigt werden. Soweit möglich, ohne dabei einen Datenschutzverstoß zu begehen, sollte stets derselbe Kanal genutzt werden, der von der betroffenen Person gewählt wurde. Ein Datenschutzverstoß wäre zum Beispiel anzunehmen, wenn eine Antwort per unverschlüsselter E-Mail erfolgen würde.

Darf die Auskunft „aus Datenschutzgründen“ verweigert werden?

Bezüglich der Umsetzung der gesetzlichen Vorgaben in der Praxis herrscht in den Unternehmen eine große Unsicherheit. Dies führte kürzlich in einem Fall einer Auskunftsanfrage an eine Klinik dazu, dass der betroffenen Person mitgeteilt wurde, dass sie die Informationen, die Sie angefordert hat, nicht per Post erhalten könne, weil es sich dabei teilweise um Gesundheitsdaten handeln würde und die Unterlagen auf dem Postwege verloren gehen könnten, was zu einer „Datenpanne“ führen würde. Zudem wäre auch eine elektronische Übermittlung ausgeschlossen, da auch dieser Weg nicht sicher wäre. Die Auskunftserteilung wurde damit, wie es oft heißt „aus Datenschutzgründen“, zunächst verweigert. Die Auskunftserteilung könne aber, so die Auffassung der Klinik, dadurch erfolgen, dass die betroffene Person eine Kopie der Daten bei einer persönlichen Vorsprache gegen Vorlage eines Ausweises bei der verantwortlichen Stelle direkt erhalten könne.

Ist das zulässig? Kann eine betroffene Person „aus Datenschutzgründen“ gezwungen werden, persönlich vorzusprechen? Darf ihr gegenüber die Auskunft verweigert werden, solange sie nicht persönlich erscheint?

Definitiv nicht, entschied der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) nach einer Beschwerde der betroffenen Person und wies darauf hin, dass die vorgetragenen „Datenschutzgründe“ nicht gegen die Auskunftserteilung sprechen würden (Tätigkeitsbericht Datenschutz 2018 – HmbBfDI, S. 95 ff.). Die Klinik wurde durch die hamburgische Aufsichtsbehörde angewiesen, Auskunft zu erteilen. Diese wurde anschließend erteilt, indem eine Kopie der Daten auf einer Datenaustauschplattform passwortgeschützt zum Download bereitgestellt wurde. Das Passwort wurde der betroffenen Person in einem verabredeten Telefonat übermittelt. Das entspricht insgesamt auch der Vorgehensweise, die nach Erwägungsgrund 63 DS-GVO als eine Möglichkeit zur Informationsübermittlung an eine betroffene Person aufgezeigt wird.

Haben wir es wirklich mit der betroffenen Person zu tun?

Darf aber ein Verantwortlicher zur Identitätsfeststellung, wenn eine betroffene Person nicht persönlich vorspricht und einen Identitätsnachweis vorlegt eine Kopie eines solchen Nachweises, beispielsweise des Personalausweises, verlangen? Ist das überhaupt zulässig? Nach Auffassung des Bundesbeauftragten für Datenschutz und die Informationssicherheit (BfDI) ist diese Frage zu bejahen, um insbesondere missbräuchliche Auskunftsbegehren auszuschließen und damit die betroffene Person zu schützen. Hier sprechen „die Datenschutzgründe“ also eindeutig für eine solche Vorgehensweise. Allerdings gilt auch hier der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DS-GVO, so dass auf der Kopie die Angaben zu Name, Anschrift, Geburtsdatum und Gültigkeitsdauer zur Identitätsfeststellung ausreichend wären, so dass die anderen Angaben geschwärzt werden könnten.

Benötigen Sie Unterstützung bei der Auskunftserteilung an eine betroffene Person? Kontaktieren Sie uns, wir helfen Ihnen gerne!

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über Ihren Beitrag!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.