Datenschutzbehörde: „Woher haben Sie meine E-Mail-Adresse“? – Kein Antrag auf volle Auskunft nach Art. 15 DSGVO

Die dänische Datenschutzbehörde hat eine interessante Entscheidung zur Beantwortung von Auskunftsanfragen (oder eben keinen solchen Anfragen) nach Art. 15 DSGVO getroffen (Entscheidung vom 21.6.2021, PDF, Englisch)

Sachverhalt

Der Beschwerdeführer hatte einen Newsletter des betroffenen Unternehmens (Pixojet) erhalten. Am selben Tag bat er Pixojet, ihm mitzuteilen, woher Pixojet seine E-Mail-Adresse erhalten hatte. Pixojet teilte ihm mit, dass er sich für den Newsletter von Pixojet angemeldet habe und dass Pixojet sein Abonnement wieder löschen kann. Der Beschwerdeführer ging jedoch davon aus, dass er sich nie für den Newsletter angemeldet habe, und bat dann um Auskunft darüber, wann er den Newsletter abonniert habe und von welcher Quelle. 

Pixojet antwortete hierauf nicht direkt. Erst nach erneuter Nachfrage, woher Pixojet seine Informationen hatte antwortete ein Mitarbeiter des Kundendienstes, dass er sich nicht sicher ist, dass es aber nach einer manuellen Registrierung durch den Beschwerdeführer aussehe.

Der Beschwerdeführer ging weiter davon aus, dass er sich nie für den Newsletter angemeldet hatte. Er ging von einem Verstoß gegen die DSGVO aus. Sowohl, wie die Daten zu Pixojet gelangten /ggfs. über eine Drittquelle) als auch hinsichtlich der Antwort von Pixojet auf seinen Auskunftsantrag nach Art. 15 DSGVO.

Entscheidung

Die dänische Datenschutzbehörde verweist zunächst allgemein auf den Auskunftsanspruch nach Art. 15 DSGVO. Danach habe die betroffenen Personen in der Regel das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten ob personenbezogene Daten über die betroffene Person verarbeitet werden und gegebenenfalls, Auskunft über die personenbezogenen Daten und eine Reihe weiterer Informationen.

Nach Art. 15 Abs. 1 lit. g) DSGVO habe die betroffene Person das Recht, alle verfügbaren Informationen über die Herkunft der personenbezogenen Daten zu erhalten, wenn diese nicht bei der betroffenen Person erhoben wurden. 

Die Datenschutzbehörde hat die Beschwerde so verstanden, dass die betroffene Person hier der Meinung ist, Pixojet habe ihm keine Auskunft entsprechend den Vorgaben des Art. 15 DSGVO gewährt. 

Dies sieht die Aufsichtsbehörde jedoch nicht so und geht davon aus, dass kein Verstoß vorliegt. Grund: die Fragen des betroffenen stellten schon keinen Auskunftsantrag nach Art. 15 DSGVO dar.

Die dänische Datenschutzbehörde sieht laut ihrer Begründung keinen Anhaltspunkt, die Einschätzung des Unternehmens, dass die Anfragen des Beschwerdeführers nicht als Antrag auf uneingeschränkte Auskunft gemäß Art. 15 DSGVO zu verstehen sind, zu beanstanden. 

Die Behörde geht also davon aus, dass die oben dargestellten Fragen des Betroffenen keine Ausübung des vollständigen Auskunftsanspruchs nach Art. 15 DSGVO darstellen. Damit treffen das Unternehmen natürlich auch nicht alle Pflichten des Art. 15 DSGVO.

Aus der Begründung (inoffiziell übersetzt): „Die dänische Datenschutzbehörde hat dabei den Schwerpunkt auf den Wortlaut der Anfragen des Beschwerdeführers gelegt, der angibt, dass er konkret wissen möchte, wo Pixojet seine E-Mail-Adresse hatte.

Die Behörde geht also wohl nur von einer sehr begrenzten Ausübung des Auskunftsanspruchs aus; konkret in Bezug auf die Herkunft der Daten. Die dänische Datenschutzbehörde stellt dann fest, dass Pixojet den Beschwerdeführer darüber informiert hat, dass die Informationen über ihn wahrscheinlich aus einem manuellen Eintrag in den Newsletter von Pixojet auf der Website des Unternehmens stammen. Dies war aus Sicht der Behörde ausreichend, da das Unternehmen über keine weiteren Informationen verfügte.

Fazit

Die Entscheidung ist unter zwei Gesichtspunkten praxisrelevant.

Zum einen löst eine konkrete Nachfrage von Betroffenen nicht direkt die volle Verpflichtungskaskade des Art. 15 DSGVO aus. Fraglich ist freilich, ab wann dann von einer vollumfänglichen Ausübung auszugehen ist., Wohl ziemlich sicher, wenn eine Person deutlich macht, dass sie umfassend Auskunft nach Art. 15 DSGVO begehrt.

Zum anderen ist die Auskunftspflicht des Art. 15 Abs. 1 lit. g) DSGVO erfüllt, wenn das Unternehmen seinem Kenntnisstand entsprechend informiert, woher die Daten stammen. Eine weiter Aufklärungs- oder Nachforschungspflicht ist hiervon nicht umfasst.

Kunde trägt falsche E-Mail-Adresse beim Online-Shopping ein – Datenschutzverstoß des Unternehmens?

Im Rahmen des One Stop Shop Verfahrens hat die norwegische Datenschutzbehörde zu einem sehr praxisrelevanten entschieden (pdf, Englisch).

Sachverhalt

Oft kommt es vor, dass Kunden eines Online-Shops aus Versehen eine falsche E-Mail-Adresse im Rahmen des Kaufprozesses eintragen. Oft reicht ja bereits ein falscher Buchstabe oder eine falsche Top Level Domain (.de statt eigentlich .net). Die Folge: Kaufbestätigung, Rechnung etc. gehen an die falsche Adresse und damit die falsche Person (wenn diese E-Mail-Adresse vergeben ist). Genau einen solchen Fall hatte die Datenschutzbehörde zu entscheiden. Der Beschwerdeführer hatte im Bestellprozess seine eigene E-Mail-Adresse falsch eingetragen. Eine andere Person erhielt deshalb die kaufrelevanten Unterlagen. Der Beschwerdeführer ging von einem Verstoß gegen die DSGVO aus, da seiner Ansicht nach das Unternehmen Daten aus zwei Kundenkonten vermischt wurden.

Entscheidung

Die Datenschutzbehörde sah allein durch den Fehlversand von Dokumenten (sicher auch mit personenbezogenen Daten des Beschwerdeführers) an eine andere Person keinen Verstoß gegen die DSGVO.

Das von der Behörde angeschriebene Unternehmen teilte mit, dass es davon ausgeht, dass der Beschwerdeführer versehentlich die falsche E-Mail-Adresse eingegeben hat, als er einen Kauf tätigte. Infolgedessen begann der falsche Kunde, E-Mails zu den Bestellungen des Beschwerdeführers zu erhalten.

Die norwegische Datenschutzbehörde ist der Ansicht, „dass der Fehler für die Registrierung der falschen E-Mail-Adresse beim Beschwerdeführer liegt“. Daher kam die Behörde zu dem Schluss, dass das Unternehmen über angemessene Verfahren und Maßnahmen verfügt um sicherzustellen, dass personenbezogene Daten korrekt aufgenommen werden.

Spannend wäre hier natürlich noch die Frage gewesen, ob auch bei einer normalen Onlinebestellung eine Art Double Opt in Verfahren umzusetzen wäre. Meines Erachtens ist dies nicht zwingend allein wegen Art. 32 DSGVO oder Art. 25 DSGVO erforderlich. Diskutieren mag man diese Option aber sicher.

Aber Achtung: einen DSGVO-Verstoß des Unternehmens gab es dann doch. Der Beschwerdeführer kontaktierte das Unternehmen und forderte eine Berichtigung seiner Daten. Das Unternehmen reagierte auf diese Betroffenenanfrage nach Art. 16 DSGVO (Berichtigung) jedoch zu langsam. Im konkreten Fall dauerte es mehr als 6 Monate, die E-Mail-Adresse zu korrigieren. Die norwegische Datenschutzbehörde ist der Ansicht, dass dies einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt. Danach muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats reagieren. Das Unternehmen gelobte diesbezüglich Besserung und die Schaffung eines verbesserten Prozesses zur Berichtigung von Daten.

Finanzgericht: Auskunftsrecht nach Art. 15 Abs. 1 DSGVO ist nicht mit einem Akteneinsichtsrecht identisch

Das Finanzgericht Baden-Württemberg (FG) hatte sich mit der Frage des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO und dessen Geltendmachung zum Zweck der Akteneinsicht zu befassen. Im Ergebnis lehnt das FG mit Urteil vom 26.7.2021 (Az. 10 K 3159/20) einen solchen Anspruch ab.

Sachverhalt

Vor dem FG streitig war, ob dem Kläger aufgrund von Art. 15 Abs. 1 DSGVO ein Anspruch auf Akteneinsicht in die Handakten im Rahmen einer Betriebsprüfung zusteht. Der Kläger ist selbstständiger Apotheker und der Beklagte führte eine Betriebsprüfung bei diesem durch. In diesem Zuge kam es zu Besprechungen zwischen der Steuerberaterin des Klägers und der Betriebsprüferin wegen angeblicher fehlender Ordnungsmäßigkeit der Buchführung. Der Kläger begehrte Akteneinsicht im laufenden Verfahren, welche jedoch abgelehnt wurde. Am Ende lief es darauf hinaus, dass der Kläger durch seinen Prozessbevollmächtigten Klage beim Finanzgericht Baden-Württemberg einreichte. Zur Begründung führt er aus, die Klage richte sich gegen die Ablehnung der Akteneinsicht in die Handakte der Betriebsprüfung. Aus Art. 15 Abs. 1 DSGVO folge ein gebundener Anspruch auf Übersendung der Akten an den Prozessbevollmächtigten des Klägers, der nicht zeitlich eingeschränkt sei und damit auch im laufenden Betriebsprüfungsverfahren bestehe.

Entscheidung

Das FG geht davon aus, dass ein gebundener Anspruch auf Akteneinsicht nicht durch das Recht auf Auskunft über personenbezogene Daten nach Art. 15 Abs. 1 DSGVO begründet wird und lehnte die Klage als unbegründet hab.

Nach Ansicht des FG ist die DSGVO jedenfalls bei einer Betriebsprüfung, die sich neben anderen Steuerarten auch auf die Umsatzsteuer erstreckt, insgesamt anwendbar.

Danach geht das FG etwas ausführlicher als andere Gerichte in Entscheidungen zu Art. 15 DSGVO zunächst auf den Sinn und Zweck des Auskunftsanspruchs ein.

Regelungsziel der DSGVO ist der in Art. 8 Abs. 1 Charta der Grundrechte der Europäischen Union (GRC) und Art. 16 Abs. 1 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) gewährleistete Schutz natürlicher Personen bei der Verarbeitung der sie betreffenden personenbezogenen Daten. Bereits auf der Ebene der Grundrechtecharta ist das Recht jeder Person verankert, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken (Art. 8 Abs. 2 Satz 2 GRC).

Die Betroffenenrechte der DSGVO wurzeln in der Erwägung des europäischen Normgebers, dass der Einzelne selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können muss. Natürliche Personen sollen daher grundsätzlich die Kontrolle über ihre eigenen Daten besitzen (Erwägungsgrund 7 Satz 2 zur DSGVO)

Das FG macht in seiner Begründung also zunächst deutlich, wie wichtig die Betroffenenrechte und gerade das Auskunftsrecht sind.

Das Auskunftsrecht aus Art. 15 Abs. 1 DSGVO und das Recht auf Erhalt einer Kopie gemäß Absatz 3 der Vorschrift erweisen sich damit als elementare subjektive Datenschutzrechte, da erst die Kenntnis darüber, ob und in welchem Umfang ein Verantwortlicher personenbezogene Daten verarbeitet, die betroffene Person in die Lage versetzt, weitere Rechte auszuüben

Weiter geht das FG davon aus, dass die frühere Rechtsprechung des EuGH zur Datenschutz-Richtlinie auf die Auslegung des Art. 15 DSGVO anwendbar ist. Denn der europäische Gesetzgeber wolle mit der DSGVO an die Ziele und Grundsätze der Datenschutzrichtlinie anknüpfen. Daher biete die in der Rechtsprechung vorgenommene Charakterisierung des Auskunftsanspruchs aus Art. 12 Buchst. a Datenschutz-Richtlinie auch Hinweise auf das Verständnis des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO.

Aber das Auskunftsrecht diene nach der Rechtsprechung des EuGH nicht der Schaffung eines Zugangs zu Verwaltungsdokumenten, weil dies nicht die Zielrichtung des europäischen Datenschutzrechts ist (EuGH-Urteil vom 17. Juli 2014, C-141/12, Rn. 46).

Zudem stellt das FG fest, dass die Erfüllung des Anspruchs („Ob“ der Auskunftserteilung) nach Art. 15 Abs. 1 DSGVO nicht im Ermessen der Finanzbehörde stehe. Das „Wie“ der Auskunftserteilung werde durch Art. 15 Abs. 1 Halbsatz 2 DSGVO jedoch nicht geregelt, so dass hieraus allein kein Akteneinsichtsrecht abgeleitet werden könne.

Das FG arbeitet dann nach und nach Argumente dafür heraus, was den Auskunftsanspruch nach Art. 15 DSGVO von einem Akteneinsichtsrecht unterscheidet.

Einem vollumfassenden Akteneinsichtsanspruch bei der Finanzbehörde sei etwa schon aus sprachlichen Gründen zu widersprechen,

da sich Art. 15 DSGVO dem Wortlaut nach nur auf bestimmte personenbezogene Daten bezieht und nicht auf eine allgemeine Einsicht in die Akten

Zudem sei das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO auch nicht mit einem Akteneinsichtsrecht identisch. Das Akteneinsichtsrecht beruhe vornehmlich auf dem Grundsatz des rechtlichen Gehörs (Art. 103 Abs. 1 Grundgesetz) und soll den Anspruchsteller in die Lage versetzen, die Grundlagen einer Verwaltungsentscheidung nachzuvollziehen.

Und weiter: „Ein Akteneinsichtsrecht geht stets über ein bloßes Auskunftsrecht hinsichtlich der verarbeiteten personenbezogenen Daten hinaus; so ergeben sich aus einer Akteneinsicht regelmäßig auch rechtliche Stellungnahmen, Entscheidungsentwürfe und Berechnungen der Amtsträger, Dienstanweisungen oder Ermittlungsergebnisse, die schon dem Grunde nach nicht unter den Schutzbereich der DSGVO und des § 32c AO fallen.“

Das FG stellt hier meines Erachtens zurecht die verschiedenen Zielrichtungen und Zweck der beiden Ansprüche bzw. Rechte gegenüber. Ein datenschutzrechtlicher Anspruch kann auch ohne Akteneinsicht erfüllt werden, indem dem Betroffenen im Fall der Verarbeitung personenbezogener Daten die konkreten Daten sowie die Einzelangaben i.S. von Art. 15 Abs. 1 Halbsatz 2 DSGVO mitgeteilt werden. Diese Aussage des FG ist für die geführte Diskussion um die Reichweite des Art. 15 (sowohl Abs. 1 als auch Abs. 3) relevant.

Nach Ansicht des FG enthält die DSGVO keine Regelung über die Gewährung von Akteneinsicht, sondern lediglich über punktuelle datenschutzrechtliche Auskunftsrechte wie z.B. über die Zwecke der Verarbeitung, die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere Empfänger in Drittländern oder internationale Organisationen sowie falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.

Zuletzt hält das FG die Durchführung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zur Klärung der Form der Auskunftserteilung i.S. des Art. 15 Abs. 1 DSGVO für nicht geboten.

Fazit

Die Entscheidung des FG ist meiner Ansicht nach deswegen interessant, weil das Gericht sehr wohl die Bedeutung der Betroffenenrechte und des Auskunftsrechts erkennt und herausarbeitet. Dann jedoch diesen Anspruch in seiner Zielrichtung und seinem Umfang klar von einem Akteneinsichtsrecht abgrenzt und es damit ablehnt, auf Grundlage von Art. 15 Abs. 1 und 3 DSGVO komplette Akteninhalte (in denen sich auch personenbezogene Daten des Betroffenen befinden) herauszugeben.

Schwedische Datenschutzbehörde: wann werden personenbezogene Daten „unverzüglich“ gelöscht?

Nach Art. 17 Abs. 1 DSGVO hat die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

In der Praxis stellt sich oft die Frage, wie schnell denn nun Daten zu löschen sind? Was also „unverzüglich“ bedeutet (ausführlicher haben sich Philipp Quiel und ich hiermit in unserem Beitrag zur Herbstakademie 2020 „Bestimmt unbestimmt – Vorschläge zur Auslegung und Anwendung unklarer Formulierungen in der Datenschutz-Grundverordnung“ (DSRITB 2020, 1) befasst).

Generell ist bei der Anwendung von Unionsrecht (wie hier der DSGVO) zu beachten, dass bei einer unionsrechtlich autonom erfolgenden Interpretation rein nationale Rechtsverständnisse in der Regel nur sehr begrenzt zur Klärung des Regelungsinhalts einer Norm hinzugezogen werden können. Daher ist es meines Erachtens auch nicht richtig, bei der Auslegung eines europäischen Rechtsbegriffs wie „unverzüglich“ allein auf tradierte nationale Verständnisse abzustellen, wie etwa auf § 121 Abs. 1 S. 1 BGB und das Verständnis von „ohne schuldhaftes Zögern (unverzüglich)“. Hierfür wird davon ausgegangen, dass ein Zuwarten von zwei Wochen als nicht mehr unverzüglich anzusehen ist, wenn keine besonderen Umstände vorliegen (MüKom/BGB, 8. Aufl. 2018, § 121 Rn. 7).

Die schwedische Datenschutzbehörde hat nun in einem Prüfverfahren (PDF) (welches im One Stop Shop Verfahren nach der DSGVO bearbeitet wurde) entschieden, dass eine Löschung von personenbezogenen Daten innerhalb von 16 Tagen als „unverzüglich“ anzusehen war. Dies zeigt deutlich, dass bei Auslegung und Anwendung der DSGVO der rein nationale Blick oft zu kurz greift. Zum anderen gibt diese Entscheidung für die Praxis zumindest einen ersten Anhaltspunkt dafür, was aus Behördensicht eine „unverzügliche“ Löschung bedeuten kann.

Verwaltungsgericht: Recht auf Datenübertragbarkeit umfasst nicht Auswertungen oder Analysen

Gerichtliche Entscheidungen zum Recht auf Datenübertragbarkeit nach Art. 20 DSGVO sind sehr rar. Im März 2021 hatte sich nun das VG Weimar (Beschl. v. 02.03.2021, 3 E 209/21) zumindest am Rande mit dem Anwendungsbereich der Norm beschäftigt (jedoch direkt der Hinweis, dass keine tiefgehenden Ausführungen erfolgten).

Das VG hatte in einem Verfahren zum vorläufigen Rechtsschutz zu einem Antrag nach § 123 VwGO zu entscheiden. Der Antragsteller verlangte, dem Antragsgegner im Wege der einstweiligen Anordnung aufzugeben, „die Approbationsurkunde des Antragstellers über den Auftragsdatenverarbeiter D… zu verifizieren und elektronisch zu übermitteln“.

Das VG sah den Antrag jedoch nur zum Teil als begründet an. Der Antragsteller hat einen Anspruch auf eine elektronische Abschrift der Approbationsurkunde und darauf, diese an eine vom Antragsteller zu benennende E-Mail-Adresse zu versenden.

Jedoch lehnt das VG einen Anspruch auf elektronische Verifizierung ab (wobei ich ehrlich sagen muss, dass mir nicht ganz klar ist, was damit gemeint war). Es fehlte an einem Anordnungsanspruch, soweit der Antragsteller vom Antragsgegner eine elektronische Verifizierung seiner Approbationsurkunde begehrte.

Der Antragsteller stützte seinen Anspruch auf elektronische Verifizierung seiner Approbationsurkunde u.a. auf Art. 20 Abs. 1 und 2 DSGVO. Das VG ließ offen, ob und inwieweit die begehrte Verifizierung der Approbationsurkunde überhaupt vom Anspruchsinhalt des Art. 20 DSGVO umfasst ist.

Denn es fehle hier in jedem Fall an tatbestandlichen „Daten“ im Sinne der Vorschrift. Art. 20 Abs. 1 DSGVO verlangt, dass zu einer Person „sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat“ vorliegen müssen.

Nach Ansicht des VG zählen hierzu

nur diejenigen Daten, die die betroffene Person zuvor dem Verantwortlichen übermittelt hat. Von vornherein nicht erfasst sind Daten, die erst das Ergebnis einer Auswertung durch den Verantwortlichen darstellen“.

Leider begründet das VG seine Ansicht nicht näher und verweist auf die Literatur. In der Vergangenheit wurde durchaus diskutiert, was unter „bereitgestellte“ Daten fällt. Nach Ansicht (pdf) der ehemaligen Art. 29 Gruppe umfasst der Begriff auch personenbezogene Daten, die sich auf die Aktivität der betroffenen Person beziehen oder das Ergebnis einer Beobachtung des Verhaltens einer Person (jedoch nicht einer nachfolgenden Analyse dieses Verhaltens) sind (S. 12). Die Ansicht des VG scheint auch in diese Richtung zu gehen, wobei das VG auf eine „Übermittlung“ abstellt und damit wohl eine bewusste Aktivität der Betroffenen als erforderlich ansieht. Dies verlangt die Art. 29 Gruppe in ihrer Leitlinie gerade nicht.  

Wann können Verantwortliche sich weigern, einer Anfrage der betroffenen Person nachzukommen?

Nach Art. 12 Abs. 5 DSGVO muss der Verantwortliche grundsätzlich „Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34“ unentgeltlich zur Verfügung stellen. Also insbesondere auch den Auskunftsanspruch nach Art. 15 DSGVO per se unentgeltlich erfüllen. Hiervon macht die DSGVO jedoch zwei Ausnahmen.

Bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden.

Die Datenschutzbehörde des Vereinigten Königreichs (ICO) hat auf ihrer Webseite einige interessante Aussagen dazu veröffentlicht, wann ihrer Ansicht nach ein Antrag eines Betroffenen als „offensichtlich unbegründet“ bewertet werden kann.

Die kann der Fall sein, wenn:

  • die Person eindeutig nicht die Absicht hat, ihr Recht auf Auskunft auszuüben. Zum Beispiel stellt eine Person einen Antrag, bietet dann aber an, ihn im Gegenzug für irgendeine Form von Vorteil für die Organisation zurückzuziehen; oder
  • der Antrag in böswilliger Absicht gestellt wird und dazu dient, eine Organisation zu schikanieren, ohne einen anderen Zweck als die Störung zu verfolgen.

Gerade die zuerst genannte Fallgruppe kommt meiner Erfahrung nach in der Praxis durchaus öfter vor, insbesondere in streitigen Verfahren im Arbeitsrecht wird ein Auskunftsantrag durchaus verwendet, um auf der Gegenseite für Aufwand zu sorgen und um auf Fehler zu hoffen. Wenn dann aber z. B. ein monetärer Vergleich angeboten wird, wird der Antrag zurückgenommen.

Die ICO geht davon aus, dass die zweite Fallgruppe zum Beispiel vorliegen kann, wenn die betroffene Person:

  • in der Anfrage selbst oder in anderen Mitteilungen ausdrücklich erklärt, dass sie beabsichtigt, eine Störung zu verursachen;
  • unbegründete Anschuldigungen gegen die Organisation oder bestimmte Mitarbeiter erhebt, die eindeutig durch Böswilligkeit veranlasst sind;
  • auf einen bestimmten Mitarbeiter abzielt, gegen den sie einen persönlichen Groll hegt; oder
  • systematisch verschiedene Anfragen an die Organisation als Teil einer Kampagne sendet, z. B. einmal pro Woche, mit der Absicht, Störungen zu verursachen.

Die Datenschutzbehörde weist zurecht darauf hin, dass diese Fallgruppen und Beispiele natürlich stets im Einzelfall geprüft werden müssen. Organisationen müssen eine Anfrage in dem Kontext betrachten, in dem sie gestellt wird. Wenn die Person wirklich ihre Rechte wahrnehmen möchte, ist es unwahrscheinlich, dass die Anfrage offensichtlich unbegründet ist.

Zuletzt weist die ICO noch darauf hin, dass aggressive oder beleidigende Ausdrücke zwar nicht akzeptabel sind, aber die Verwendung solcher Ausdrücke eine Anfrage nicht unbedingt offensichtlich unbegründet macht.

Bayerische Datenschutzbehörde: Auskunftsanspruch von Beschäftigten kann gestuft beantwortet werden

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seinen neuen Tätigkeitsbericht (PDF) für das Jahr 2020 vorgelegt. Die Behörde äußert sich auch zu dem (praktisch wichtigen) Thema des Auskunftsanspruch von (ehemaligen) Beschäftigten gegenüber ihrem Arbeitgeber.

Nach Ansicht der Behörde genügt es, wenn Beschäftigte von ihren Arbeitgebern pauschal Auskunft über die zu ihrer Person gespeicherten Daten begehren, dass Arbeitgeber zunächst eine konkrete Auskunft zu den Personalstammdaten und im Übrigen zu den Kategorien verarbeiteter personenbezogener Daten erteilen. Für eine weitergehende Auskunft dürfen Arbeitgeber die Betroffenen bitten, ihren Anspruch zu präzisieren.

Die Behörde hält – angesichts der typischerweise größeren Anzahl unterschiedlicher vom Arbeitgeber durchgeführten Verarbeitungstätigkeiten und von verarbeiteten Daten der Beschäftigten – eine gestufte Vorgehensweise für gut vertretbar.

Schritt 1: Auskunft über die Personalstammdaten im Klartext, so dass der Beschäftigte erkennen kann, ob sie richtig sind. Das betrifft Name, Vorname, Geburtstag, Adresse und Geburtsort. Ansonsten genügt es, wenn Auskunft zu den Kategorien von personenbezogenen Daten, erteilt wird.

Schritt 2: Möchte der Betroffene mehr Daten, muss er seinen Auskunftsanspruch gemäß ErwG 63 Satz 7 DSGVO dahingehend präzisieren, auf welche Informationen und/oder Verarbeitungstätigkeiten sich das Auskunftsersuchen bezieht.

Erst nach dieser erfolgten Präzisierung ist dann der Arbeitgeber in der Pflicht, die entsprechenden Auskünfte mit konkreten Daten zu erteilen„.

Irische Datenschutzbehörde: Anforderungen an den Schutz der Vertraulichkeit von Daten bei der Kontaktaufnahme mit Unternehmen im Namen einer anderen Person

Die irische Datenschutzbehörde (DPC) hat auf ihrer Webseite einige interessante Fallbeispiele und Empfehlungen für Situationen veröffentlicht, in denen ein Dritter für die betroffene Person ein Unternehmen kontaktiert und zB Auskunft zu seinen Daten oder eine Löschung vornehmen möchte. Die DPC erläutert zunächst das Problem: eine häufige Reaktion von Unternehmen ist, dass den anfragenden Dritten gesagt wird, das Unternehmen würde nur direkt zB mit dem Kontoinhaber kommunizieren, oder die Personen werden aufgefordert, einen sehr hohen Standard an Nachweisen vorzulegen, dass sie im Namen des Kontoinhabers handeln.

Rechtliche Vorgaben

Die DPC weist zunächst auf die zu beachtenden datenschutzrechtlichen Anforderungen hin. Unternehmen sind verpflichtet, personenbezogene Daten sicher aufzubewahren und sie nicht an jemanden weiterzugeben, den sie nicht kennen sollten – in Übereinstimmung mit dem Prinzip der „Integrität und Vertraulichkeit“ in Art. 5 Abs. 1 lit. f DSGVO. Dieser Grundsatz verlangt, so die DPC, dass personenbezogene Daten nur „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen„.

Von besonderer Bedeutung ist der Begriff „angemessen“. Nach Ansicht der DPC eröffnet dieser Begriff für die Verantwortlichen die Möglichkeit, in diesen Fällen abzuwägen, welches Maß an Sicherheit in den verschiedenen Situationen angemessen ist. Unternehmen sollten Aspekte wie die Art und Sensibilität der betroffenen personenbezogenen Daten, den potenziellen Schaden, wenn personenbezogene Daten an die falsche Person weitergegeben werden, und die Wahrscheinlichkeit, dass Personen legitimerweise im Namen des Kontoinhabers sprechen, berücksichtigen.

Fallbeispiel 1

Die DPC wurde in einer Situation um Rat gebeten, in der eine Person bei dem Versuch, einen Dienstleister über einen Dolmetscher zu kontaktieren, auf Schwierigkeiten stieß. Obwohl der Dolmetscher die relevanten Kontoinformationen korrekt angab, wollte die Organisation nicht mit dem Dolmetscher verhandeln, es sei denn, er legte ein unterzeichnetes Dokument vor, das beweist, dass er die Erlaubnis des Kontoinhabers hat, in dessen Namen zu sprechen.

Die DPC sah in diesem Fall kein offensichtliches Datenschutzproblem, das die Organisation daran hindern würde, mit einem Kunden über den Dolmetscher zu verhandeln. Es war nicht ersichtlich, dass es vernünftig oder unter Sicherheitsaspekten notwendig war, eine zusätzliche Sicherheitsanforderung für die Einschaltung eines Dolmetschers einzuführen, da es kein erhöhtes Risiko eines unbefugten Zugriffs auf personenbezogene Daten gab. Selbst wenn ein zusätzlicher Sicherheitsschritt erforderlich war, um zu überprüfen, ob der Dolmetscher die Erlaubnis des Kontoinhabers hatte, war das Verlangen nach einer unterzeichneten Erlaubnis wahrscheinlich eine unverhältnismäßig hohe Schwelle, bei der die Beantwortung weiterer Sicherheitsfragen oder die Bestätigung der Kontodaten ausgereicht hätte.

Fallbeispiel 2

Einer gehörlosen Person, die einen Gebärdensprachdolmetscher benötigte, als sie mit einem Dienstleister in Kontakt trat, wurde der Zugang zu dem Dienst verweigert, da die Organisation sich weigerte, mit dem Gebärdensprachdolmetscher zu arbeiten. Die Organisation nannte „DSGVO- und Datenschutzbedenken“ als Grund für die Verweigerung des Zugangs.

Nach Ansicht der DPC verhindert oder verbietet aber die DSGVO nicht die Verwendung eines Gebärdensprachdolmetschers, eines Text-Relay-Service oder eines ähnlichen Systems, wenn eine gehörlose oder schwerhörige Person diese Dienste bei der Kontaktaufnahme mit einem Dienstleister nutzen muss. Diensteanbieter sind verpflichtet, geeignete Sicherheitsmaßnahmen zu ergreifen, um die Integrität und Vertraulichkeit der personenbezogenen Daten von Kunden zu schützen. Diese Maßnahmen dürfen jedoch diejenigen nicht unverhältnismäßig benachteiligen, die einen Gebärdensprachdolmetscher oder eine Form des Textdienstes benötigen.

Empfehlungen der DPC

Der Standpunkt der DPC ist, dass das Datenschutzrecht in der Regel Organisationen nicht daran hindert, mit jemandem zu kommunizieren, der den Kontoinhaber vertritt, wenn sie angemessene und verhältnismäßige Schritte unternommen haben, um die Einhaltung ihrer Sicherheits- und Vertraulichkeitsverpflichtungen zu gewährleisten.

Die DPC rät Organisationen, insbesondere Dienstleistern und solchen, die mit der Kundenbetreuung beschäftigt sind, bei der Planung und Umsetzung „geeigneter technischer oder organisatorischer Maßnahmen“ zum Schutz personenbezogener Daten auf einen ausgewogenen und verhältnismäßigen Ansatz bei ihren Sicherheits- und Identitätsprüfungsmaßnahmen zu achten. Im Grunde bleiben die Empfehlungen der DPC vage bzw. belassen das Risiko der Fehleinschätzung hinsichtlich der einzusetzenden Sicherheitsmaßnahmen und -prozesse bei dem Verantwortlichen. Die beiden Beispiele bieten aber zumindest eine gewisse Hilfestellung für Unternehmen. Die DPC verlangt, dass Unternehmen solche Maßnahmen umsetzen, „die sowohl ein hohes Maß an Schutz für den Einzelnen bieten, aber auch diejenigen nicht unverhältnismäßig benachteiligen, die sich nicht ohne weiteres auf diese Maßnahmen einlassen können und die möglicherweise jemanden brauchen, der in ihrem Namen Kontakt aufnimmt“.

Berliner Datenschutzbehörde: Risiken bei Betroffenenanfragen an no-reply Adressen und in Ticket- oder CRM-Systemen

In ihrem aktuellen Jahresbericht 2020 (pdf) bespricht die Datenschutzbehörde aus Berlin einen sehr praxisrelevanten Aspekt der Erfüllung von Betroffenenanfragen, etwa in Bezug auf Löschung oder Auskunft (ab S. 164). Es geht um die Frage, ob Verantwortliche Anfragen auf jeglichem Kommunikationskanal beachten und bearbeiten müssen oder ob man Betroffene auf einen speziellen Datenschutzkontakt verweisen darf?

Die Ansicht der Berliner Behörde ist sehr klar: Verantwortliche müssen sicherstellen, dass alle eingehenden datenschutzrechtlichen Anfragen die zuständige Stelle erreichen und von dieser beantwortet werden.

No-reply Adressen – ein DSGVO-Problem

Hauptargument der Behörde ist die Vorgabe des Art. 12 Abs. 2 DSGVO. Danach ist der Verantwortliche verpflichtet, der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 zu erleichtern. Zudem verweist die Behörde auf die allgemeine Verantwortlichkeitsvorschrift des Art. 24 DSGVO. Die Behörde geht davon aus, dass Verantwortliche durch technisch-organisatorische Maßnahmen sicherstellen müsse,

dass alle Datenschutzanfragen, die eingehen, an die zuständige Fachabteilung weitergeleitet und dort bearbeitet werden.“

Speziell in Bezug auf sog. No-Reply-E-Mail-Adressen, bei denen Antworten an die Absender-Adresse nicht gelesen werden, geht die Behörde davon aus, dass jedenfalls dann ein datenschutzrechtliches Problem bestehe,

wenn in ihnen nicht zumindest eine Adresse angegeben wird, an die Kund*innen sich wenden können und bei der eingehende datenschutzrechtliche Anfragen bearbeitet werden“.

Interessant hierbei ist, dass die Behörde also nicht verlangt, dass die Anfrage tatsächlich bearbeitet wird, wenn zumindest in der E-Mail an den Betroffenen deutlich gemacht wird, an welche Adresse sie sich bei Datenschutzfragen wenden können. Zumindest verstehe ich die Aussage der Behörde oben so, quasi als Minimum-Anforderung.

Genau im Satz danach wird die Ansicht der Behörde dann aber doch wieder scheinbar strenger:

„Im Ergebnis müssen Verantwortliche alle Anträge auf Geltendmachung von Betroffenenrechten bearbeiten, egal auf welchem Weg sie eingehen“.

Meiner Ansicht nach wiedersprechen sich die beiden zitierten Ansichten jedoch nicht unbedingt. Die Behörde verlangt grundsätzlich, das Betroffenenanfragen stets bearbeitet werden. Alles andere wäre ja auch überraschend. Geht es um den speziellen Fall einer no-reply Adresse, die deutlich als solche erkennbar ist und in der eine Alternative für Datenschutzanfragen angegeben wird, scheint die Behörde aber zumindest die von der DSGVO geforderte „Erleichterung“ als erfüllt anzusehen. Ich verstehe die Behörde so, dass es vor allem problematisch ist, wenn Betroffene nicht erkennen können, dass der von ihnen gewählte Kanal nicht bearbeitet wird und ihnen auch keine Alternative deutlich erkennbar angeboten wird.

Ticket- und CRM-Systeme

Interessant sind dann auch noch die Ansichten der Behörde zur Bearbeitung von Betroffenenanfragen in Ticket- oder CRM-Systemen, wie sie in der Praxis fast überall zum Einsatz kommen.

Die Behörde verweist darauf, dass bei der Nutzung von Ticket- oder CRM-Systemen darauf zu achten sei,

dass Anfragen nicht etwa automatisch gelöscht werden, wenn sie nicht einem bestehenden Kund*innenkontakt zugeordnet werden können“.

Bedeutet etwa bei Auskunftsanfragen, dass auch Personen, die keine Kunden sind, eine Negativauskunft zu erteilen ist.

Zudem berichtet die Behörde von einem Fall, in dem im Verlauf der Kommunikation zwischen dem Kundenservice und einer betroffenen Person irgendwann auch das Datenschutzteam in Kopie genommen wird, das verwendete CRM-System aber auf solche Konstellationen nicht eingestellt sei. In diesem Fall wurde dann wohl eine solche E-Mail nur ins CRM-System eingespielt, aber nicht dem Datenschutzteam zugestellt. Der Kundenservice hielt sich für die Beantwortung der datenschutzrechtlichen Anfrage nicht für verantwortlich, wusste aber auch nicht um die Problematik der fehlenden automatischen Weiterleitung an das Datenschutzteam.

Insgesamt zeigt der Bericht der Datenschutzbehörde, dass Anfragen von Betroffenen immer Ernst genommen und intern schnell der zuständigen Abteilung weitergeleitet werden müssen. Wichtig hierbei ist auch eine entsprechende Sensibilisierung der Mitarbeiter, insb. Über Schulungen, interne FAQ-Seiten oder ähnliches.