Telemetriedaten microsoft 365 dsk verboten auskunft selfservice tool online

Erteilung der datenschutzrechtlichen Auskunft mittels eines Online Self-Service-Tools

/von

Das Thema Auskunftsrecht gemäß Art. 15 DSGVO lässt uns nicht los. Wir haben das Thema bereits mehrfach aufgegriffen, beispielsweise in unseren Artikeln Neues zum Auskunftsrecht, Recht auf Kopie, Beginn der Frist zur Beantwortung und Frist für die Erteilung von Auskünften oder auch im Rahmen unserer Serie zu den Betroffenenrechten.

Ein aktuelles Urteil des Oberlandesgerichts (OLG) Frankfurt (Az. 6 U 41/24) befasst sich mit der Frage, ob ein Self-Service-Tool eine ausreichend datenschutzkonforme Lösung für die Erteilung einer Auskunft darstellen kann. Das nehmen wir als Anlass, das Thema einmal genauer zu beleuchten.

Was ist ein Self-Service-Tool?

Ein Self-Service-Tool ist eine digitale Lösung, die es Nutzer*innen ermöglicht, über das Internet eigenständig bestimmte Aufgaben oder Prozesse abzuwickeln, ohne direkt auf die Unterstützung durch Beschäftigte der Unternehmen oder persönlichen Kontakt angewiesen zu sein. Es bietet – in der Regel über eine benutzer*innenfreundliche Oberfläche – die Möglichkeit, spezifische Informationen abzurufen, Einstellungen zu ändern oder Anfragen zu stellen.

Im Zusammenhang mit der Ausübung von Auskunftsersuchen können Self-Service-Tools genutzt werden, um betroffenen Personen direkten Zugriff auf ihre personenbezogenen Daten zu gewähren. Das bedeutet, dass betroffene Personen, z. B. Kund*innen oder Beschäftigte, selbstständig und ohne größeren Aufwand Auskünfte über die Verarbeitung ihrer Daten einholen und Einsicht in die von einem Unternehmen gespeicherten Daten nehmen können, Informationen über Verarbeitungszwecke, Datenkategorien oder Empfänger ihrer Daten erhalten, Änderungen oder Berichtigungen ihrer gespeicherten Daten beantragen können oder andere Datenschutzanfragen einreichen und den Status dieser Anfragen verfolgen können.

Self-Service-Tools unterstützen Unternehmen dabei, Standardprozesse zu vereinfachen und gleichzeitig die Rechte der betroffenen Personen zu gewährleisten. Sie bieten eine Reihe von Vorteilen für Unternehmen und betroffene Personen:

  • Effizienz und Geschwindigkeit: Unternehmen können Anfragen automatisch und zeitnah bearbeiten, was den Aufwand für manuelle Prozesse reduziert und den betroffenen Personen schneller Zugang zu den gewünschten Informationen verschafft.
  • Standardisierung und Sicherheit: Durch automatisierte Prozesse wird sichergestellt, dass die betroffenen Personen einheitliche und vollständige Auskünfte erhalten. Auch bei der Erfüllung der Rechenschaftspflicht sind automatisierte Prozesse hilfreich. Zudem kann der Zugang zum Self-Service-Tool durch Authentifizierungsmaßnahmen abgesichert werden, um sicherzustellen, dass die Daten ausschließlich der betroffenen Person zugänglich sind.
  • Kostenersparnis: Für Unternehmen entfallen teilweise aufwendige individuelle Prüfungen und manuelle Recherchen, was langfristig Ressourcen schont.

Ein kurzer Blick auf den Hintergrund des Urteils

Auch wenn es hier nicht vorrangig um das oben erwähnte Urteil des OLG Frankfurt gehen soll, müssen wir uns zumindest grob zur Einordnung damit beschäftigen. Das Urteil wurde im Kontext eines Streits zwischen einem betroffenen Nutzer und der Social Media Plattform X gefällt. Der Nutzer verlangte von dem Unternehmen eine Auskunft über die von ihm verarbeiteten personenbezogenen Daten. Das Unternehmen informierte den Nutzer mit einem Schreiben allgemein über die Datenverarbeitung und verwies ihn bezüglich seiner konkreten Daten mit einem Link auf das Self-Service-Tool des Unternehmens. Dort wird den Nutzer*innen nach einer Authentifizierung Zugang zu ihren gespeicherten Daten gewährt. Der Nutzer argumentierte, dass diese Form der Auskunftserteilung nicht den Anforderungen der DSGVO entspreche und er auf anderem Wege die Informationen hätte erhalten müssen. Zusätzlich wurde ein Schmerzensgeld aufgrund eines angenommenen immateriellen Schadens gefordert. Dieses sollte nach dem Wunsch des Klägers in das Ermessen des Gerichts gestellt werden, mindestens aber 3.000 Euro betragen, den Streitwert des Verfahrens sah der Kläger bei 8.000 Euro.

Wie wurde geurteilt?

Das Gericht argumentiert, dass eine Lösung über Self-Service-Tools zulässig sei, weil sie den Nutzer*innen eine einfache, ortsunabhängige Möglichkeit zur Information über ihre Daten biete. Auch benennt der Erwägungsgrund 63 DSGVO, ausdrücklich den Fernzugang als eine mögliche Lösung für die Erteilung einer Auskunft.

Die Entscheidung erwähnt aber auch, dass der Fernzugang über ein Self-Service-Tool in bestimmten Fällen problematisch sein kann, insbesondere wenn:

  • die betroffene Person keinen Zugang zu digitalen Geräten hat (zum Beispiel Menschen, die „analog leben“),
  • die betroffene Person keine ausreichenden IT-Kenntnisse hat, um das Tool sinnvoll zu nutzen.

Wir empfehlen, für solche Fälle den betroffenen Personen anzubieten, die Auskunft alternativ auch per Post oder in anderer, leichter zugänglicher Form, zukommen zu lassen.

In dem vorliegenden Urteil war dies jedoch nicht entscheidungsrelevant, da davon ausgegangen wurde, dass sich Personen, die sich bei der Beklagten registrieren, nicht mehr rein analog leben und daher auch nicht erwartet werden muss, dass sie im Umgang mit IT-gestützten Portalen unerfahren sind.

Auch wenn das Gericht bezüglich der elektronischen Auskunftserteilung nicht im Sinne des Klägers entschieden hat, hat es sich auch zu dem Streitwert und dem Schmerzensgeld geäußert.

Das Gericht hatte auch hier eine vom Kläger abweichende Meinung. In der Regel finden die Angaben des Klägers in der Klageschrift bei der Festsetzung nach § 3 ZPO Berücksichtigung, da sie unabhängig vom Ausgang des Verfahrens gemacht werden und daher als durchaus verlässlich gelten. Dies gilt jedoch nicht, wenn die Angabe offensichtlich zu hoch oder zu niedrig ist.

Das war hier der Fall. Das Gericht plante, den Streitwert statt der vom Kläger angegebenen 8.000 Euro auf 2.000 Euro festzusetzen. Damit war die Schmerzensgeldforderung von 3.000 Euro aus Sicht des Gerichts überzogen, insbesondere auch deshalb, weil der Kläger selbst in einem Schriftsatz 1.500 Euro als angemessen genannt hatte, die das Gericht übernahm. Für die Auskunftsansprüche setzte das Gericht weitere 500 Euro an, was dann zum Streitwert von insgesamt 2.000 Euro führte.

Jetzt könnte man zu dem Ergebnis kommen, dass es keinen Grund gibt, sich weiter mit der Thematik zu beschäftigen, da der Einsatz eines Self-Service-Tools grundsätzlich zulässig und Schmerzensgelder auch eher niedrig und selten sind. Allerdings sind bei dem Einsatz eines solchen Tools Rahmenbedingungen zu berücksichtigen, auf die wir nachfolgend näher eingehen. Denn das nächste Urteil könnte anders ausfallen, wenn das Self-Service-Tool als ungeeignet erachtet würde. Dies könnte durchaus passieren, denn auch wenn die Nutzer*innen nicht „analog lebend“ sind und daher davon auszugehen ist, dass sie über ausreichende IT-Kenntnisse verfügen, um das Tool zu nutzen, gibt es einige Anforderungen, die bei der Gestaltung eines solchen Tools zu erfüllen sind.

Empfehlungen bei dem Einsatz eines Self-Service-Tools

Trotz der klaren Vorteile von Self-Service-Tools müssen Unternehmen sicherstellen, dass die Bereitstellung solcher Lösungen einigen Anforderungen entspricht:

  • Einfache Handhabung: Das Self-Service-Tool sollte benutzer*innenfreundlich gestaltet sein und darf keine unzumutbaren technischen oder praktischen Hürden beinhalten. Das bedeutet, dass das Tool für alle Nutzer*innen verständlich und nutzbar sein muss. Erforderlich ist daher eine klare Benutzer*innenführung und gegebenenfalls ein Support für technische oder Anwendungsprobleme. Komplexe Bedienungswege oder technische Hürden könnten als Verstoß gegen Art. 12 Abs. 1 DSGVO gewertet werden.
  • Umfassende und präzise Informationen: Betroffene Personen müssen alle relevanten Informationen erhalten können, die zur Auskunft nach Art. 15 DSGVO gehören. Dazu zählen zum Beispiel die Kategorien der verarbeiteten Daten, die Verarbeitungszwecke und die Empfänger der Daten und – falls relevant – der Herkunft der Daten, sofern diese nicht von den Nutzer*innen selbst stammen.
  • Datensicherheit: Der Zugang zum Tool und die Übermittlung sensibler Daten müssen durch geeignete Sicherheitsmaßnahmen geschützt sein, um eine unbefugte Einsichtnahme oder Datenverlust zu verhindern. Dies beinhaltet auch die Notwendigkeit von Authentifizierungsmaßnahmen, um sicherzustellen, dass nur die betroffene Person Zugriff auf ihre Daten erhält.

In manchen Fällen kann es notwendig sein, auf individuelle Fragen oder komplexe Sachverhalte einzugehen, die das Self-Service-Tool möglicherweise nicht abdecken kann. In solchen Fällen müssen Unternehmen sicherstellen, dass alternative Kontaktwege für individuelle Anfragen bereitstehen.

Zwar wurde die Nutzung eines Self-Service-Tools als grundsätzlich zulässig angesehen, dennoch müssen Unternehmen sicherstellen, dass es alternative Wege für betroffene Personen gibt. Ältere oder technisch weniger versierte Nutzer*innen könnten Schwierigkeiten bei der Nutzung eines Self-Service-Tools haben. Unternehmen betroffene Personen nicht ausschließlich auf ein automatisiertes Tool verweisen. Es ist daher notwendig, ergänzende Unterstützung anzubieten, beispielsweise über einen Kundendienst oder eine Hotline.

Fazit

Self-Service-Tools können eine datenschutzkonforme Möglichkeit sein, betroffenen Personen Zugang zu ihren Daten zu gewähren, solange bestimmte Voraussetzungen erfüllt werden. Insbesondere für größere Unternehmen, die mit zahlreichen betroffenen Personen zu tun haben oder bei denen aufgrund des Geschäftsmodells große Mengen an Anfragen betroffener Personen eingehen, kann sich die Investition in solche Lösungen lohnen. Prozesse können beschleunigt und die Einhaltung gesetzlicher Vorgaben erleichtert werden. Betroffene Personen wiederum profitieren durch schnellen und unkomplizierten Zugang zu ihren Informationen.

Die Entscheidung, ob ein Self-Service-Tool für die Erteilung der Auskunft gemäß Art. 15 DSGVO ausreichend ist und inwieweit es gegebenenfalls auch für die Erfüllung weiterer Rechte der betroffenen Personen geeignet ist, muss jedoch stets im Einzelfall geprüft werden. Eine sorgfältige Planung, Implementierung und kontinuierliche Überprüfung sind daher unerlässlich, um sicherzustellen, dass das Unternehmen sowohl den Ansprüchen der betroffenen Personen als auch den gesetzlichen Anforderungen gerecht wird.

Das könnte Dich auch interessieren
usa scc standardvertragsklauseln trans-atlantic data protection framework tadpf eu-us data protection framework dpfDatenschutzabkommen zwischen der EU und den USA steht
Neues zum Auskunftsrecht der DSGVO
e-mail marketing einwilligung informationspflichten 7 uwgFallen beim E-Mail-Marketing gegenüber Bestandskunden
telefax kopieAuskunft nach Art. 15 DSGVO – was ist eine Kopie?
KI-VOSerie zur KI-Verordnung: KI-Kompetenz und verbotene Praktiken
whatsapp trustpid telegram signalMessengerdienst Telegram verstößt gegen die DSGVO