Blog Post

Anfragen von betroffenen Personen und DSGVO: So bereiten Sie sich richtig darauf vor

Die DSGVO ist zur selben Zeit in Kraft getreten wie das Bundesdatenschutzgesetz (BDSG) in Deutschland. Mit beiden Regelwerken wurden die Rechte der Verbraucher an sie betreffenden personenbezogenen Daten erheblich gestärkt. In diesen Rechtsvorschriften ist geregelt, wie die Erhebung, Speicherung, Weitergabe, Nutzung und der Schutz personenbezogener Daten bei Unternehmen erfolgen sollen. Um die Einhaltung dieser Rechtsvorschriften zu gewährleisten, müssen Unternehmen umfangreiche Maßnahmen ergreifen. Beispielsweise müssen sie sicherstellen, dass die betroffenen Personen der Speicherung und Verarbeitung ihrer Daten zustimmen, und sie müssen Verfahren zur Beantwortung von Auskunftsersuchen operationalisieren. In diesen Rechtsvorschriften sind zusätzliche Verpflichtungen festgelegt, und weitere Gesetze schreiben den Schutz bestimmter Arten von Daten vor, z. B. von Gesundheitsdaten oder Informationen in Bezug auf Kinder.

Mit dem Auskunftsrecht gemäß Artikel 15 DSGVO wurde betroffenen Personen ein wirkungsvolles Instrument an die Hand gegeben. Sie haben damit die Möglichkeit, #Auskunftsersuchen – sogenannte #Data Subject Access Requests (DSAR) – zu stellen, um Einblick in die von einem Unternehmen gespeicherten Daten zu erhalten. Dabei ist zu erwähnen, dass insbesondere in Deutschland die bereits abgeschlossenen Gerichtsverfahren sowie die laufenden Gerichtsverfahren auf EU-Ebene zumindest in gewisser Weise ein „widersprüchliches“ Bild zeichnen, insbesondere wenn das Arbeitsrecht mit dem Auskunftsersuchen gemäß DSGVO zusammenspielt.

Die gesetzlichen Vorschriften besagen, dass betroffene Personen das Recht haben, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben sie ein Recht auf Auskunft über diese personenbezogenen Daten. Unternehmen müssen in diesem Fall umfangreiche Informationen bereitstellen.

Auslegungsspielraum

Der entsprechende Artikel der DSGVO lässt jedoch viel Interpretationsspielraum, wodurch sich für Unternehmen viele Fragen ergeben. Im Januar 2022 veröffentlichte der Europäische Datenschutzausschuss (EDSA), die zuständige Aufsichtsbehörde auf EU-Ebene für die Einhaltung der DSGVO, Leitlinien zu Betroffenenrechten (Guidelines 01/2022 on data subject rights – Right of access). Der Fokus dieser Leitlinien liegt auf dem Auskunftsrecht. Die Leitlinien bieten zusätzliche Orientierungshilfe zum Umgang mit Auskunftsersuchen und enthalten eine Vielzahl an veranschaulichenden Beispielen dafür, wie Unternehmen rechtskonform auf entsprechende Ersuche reagieren können.

Für Auskunftsersuchen werden nutzerfreundliche Kommunikationskanäle empfohlen

Ein Auskunftsersuchen kann per E-Mail oder Brief an eine offzielle Anlaufstelle gerichtet werden. Im Idealfall sollte die für das Auskunftsersuchen zuständige Person nutzerfreundliche Kommunikationskanäle anbieten, z. B. das Ausfüllen einer Anfrage auf der Unternehmenswebsite.

Wenn zu dem Anfragenden keine personenbezogenen Daten zu finden sind, muss das Unternehmen diesen davon in Kenntnis setzen und zusätzliche Informationen anfordern. Falls Zweifel bestehen, dass es sich bei der betroffenen Person tatsächlich um die Person handelt, die sie zu sein vorgibt, muss der Verantwortliche zusätzliche Informationen zur Bestätigung der Identität der betroffenen Person anfordern. Aufgrund der mitunter engen Bearbeitungsfristen ist die Einrichtung eines Verwaltungssystems hilfreich, um Anfragen und diesbezügliche Antworten im Blick zu behalten.

Über Namen, Adresse und Telefonnummer hinausgehendes Auskunftsrecht

Der Gegenstand des Auskunftsersuchens wird durch den Begriff „personenbezogene Daten“ im Sinne von Artikel 4 Absatz 1 DSGVO definiert. Neben primären personenbezogenen Daten wie Name, Adresse, Telefonnummer usw. fallen auch verschiedene weitere Daten wie medizinische Befunde, Kaufhistorie, Bonitätsbewertungen, Aktivitätsprotokolle und Suchaktivitäten unter diese Definition.

Das Auskunftsrecht bezieht sich auf die personenbezogenen Daten zu der das Ersuchen stellenden Person. Neben der Erteilung von Auskünften über die personenbezogenen Daten muss der Verantwortliche, wie in Artikel 30, 13 und 14 DSGVO erläutert, weitere Informationen zur Datenverarbeitung und zu den Rechten der betroffenen Person zur Verfügung stellen. Diese allgemeinen Informationen müssen zum Zeitpunkt des Auskunftsersuchen jedoch gegebenenfalls aktualisiert werden, um den in Bezug auf den Antragsteller durchgeführten Verarbeitungstätigkeiten Rechnung zu tragen.

Etwaige falsche oder unrechtmäßig verarbeitete Daten müssen ebenfalls zur Verfügung gestellt werden. Nicht betroffen hiervon sind gelöschte Daten, die beispielsweise einer Aufbewahrungsrichtlinie unterliegen und auf die der Datenverantwortliche keinen Zugriff mehr hat. Zudem gelten einer Pseudonymisierung unterzogene personenbezogene Daten, die so verarbeitet wurden, dass sie ohne Heranziehung zusätzlicher Informationen keiner bestimmten Person mehr zugeordnet werden können, weiterhin als personenbezogene Daten (im Gegensatz zu anonymisierten Daten, die nicht mehr als personenbezogene Daten gelten).

Auskunft in leicht zugänglicher Form

Ein Auskunftsersuchen bezieht sich auf sämtliche personenbezogene Daten in elektronischen und nichtelektronischen Ablagesystemen. Bei großen Datenmengen sollte das Unternehmen den Antragsteller bitten, den Antrag präziser zu formulieren. Die Übermittlung von Daten und anderen Informationen, die sich auf die Verarbeitung beziehen, muss in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Falls es sich bei den Daten um Codes oder andere „Rohdaten“ handelt, sollten diese nach Möglichkeit erläutert werden.

Auskunftsersuchen müssen rasch beantwortet werden

Eine Beschwerde muss innerhalb eines Monats nach Eingang bearbeitet werden. Diese obligatorische Frist kann bei Bedarf unter Berücksichtigung der Komplexität der Anfrage um weitere zwei Monate verlängert werden. Die betroffene Person muss jedoch über den Grund für die Verzögerung informiert werden.

Werden Daten nur für kurze Zeit gespeichert, muss sichergestellt werden, dass sie nicht gelöscht werden, während das Auskunftsersuchen noch in Bearbeitung ist. Bei Verarbeitung großer Datenmengen sollte der Verantwortliche routinemäßige Abläufe und Mechanismen einrichten, die an die Komplexität der Verarbeitung angepasst sind.

Grenzen und Beschränkungen des Auskunftsrechts

Zweifellos ist der Aufwand für die Bearbeitung solcher Anträge beträchtlich und übersteigt zuweilen die Grenzen des Machbaren. Daher sieht die DSGVO bestimmte Beschränkungen für das Auskunftsrecht vor.

Nach Artikel 15 Absatz 4 darf das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Der Europäische Datenschutzausschuss hat festgelegt, dass diese Rechte berücksichtigt werden müssen, wenn dem Auskunftsrecht durch Übermittlung einer Kopie Genüge getan wird und wenn der Datenzugriff auf anderem Wege (z. B. durch Einsichtnahme vor Ort) erfolgt. Das Unternehmen muss nachweisen können, dass in der konkreten Situation die Rechte und Freiheiten anderer Personen beeinträchtigt werden. Ist dies der Fall, können Informationen bei der Datenübermittlung weggelassen oder unkenntlich gemacht werden.

Gemäß Artikel 12 DSGVO können Unternehmen sich zudem bei unbegründeten oder exzessiven Anträgen weigern, aufgrund des Antrags tätig zu werden, oder ein angemessenes Entgelt verlangen. Nicht selten versuchen ehemalige Mitarbeiter, mit einem Auskunftsersuchen Mängel bei der Speicherung ihrer personenbezogenen Daten nachzuweisen und dafür eine Entschädigung zu erlangen. Je häufiger Änderungen in der Datenbank eines Unternehmens auftreten, desto häufiger kann eine betroffene Person Auskunft verlangen. Der für den Antrag verantwortliche Mitarbeiter muss einen offenkundig unbegründeten oder exzessiven Charakter einer Beschwerde nachweisen können. Anstatt die Auskunft zu verweigern, kann das Unternehmen selbst bei exzessiven Anträgen von der betroffenen Person ein Entgelt zur Deckung der Verwaltungskosten verlangen.

Im nationalen Recht können Ausnahmen zugelassen werden.

Beschränkungen des Auskunftsrechts und Ausnahmen von diesem Recht können sich auch aus den nationalen Rechtsvorschriften der Mitgliedstaaten gemäß Artikel 23 DSGVO ergeben. Für Deutschland gilt in diesem Zusammenhang das Bundesdatenschutzgesetz. Dieses steht im Einklang mit der DSGVO, mit Ausnahme einiger Ergänzungen, insbesondere in Bezug auf die Verarbeitung personenbezogener Daten durch Sicherheitsbehörden.

Auszüge aus der Checkliste der Guidelines 01/2022 on data subject rights – Right of access

Schritt 1: Wie ist das Auskunftsersuchen zu verstehen?

  • Bezieht sich der Antrag auf personenbezogene Daten?
  • Bezieht sich der Antrag auf die Anforderungen der DSGVO oder auf Anforderungen anderer Rechtsvorschriften?
  • Bezieht sich der Antrag auf Artikel 15 DSGVO?
  • Wird der Antrag von einer betroffenen Person gestellt (Identität überprüfen)?
  • Welchen Umfang hat der Antrag?

Schritt 2: Wie ist mit dem Auskunftsersuchen umzugehen?

  • Bestätigen Sie, ob personenbezogene Daten vorliegen.
  • Erteilen Sie Auskunft über die personenbezogenen Daten.
  • Holen Sie zusätzliche Informationen über den Zweck des Antrags und den Antragsteller ein.
  • Treffen Sie geeignete Maßnahmen: Übermittlung der Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form.
  • Übermitteln Sie eine Kopie oder gewähren Sie Zugang.
  • Nutzen Sie nach Möglichkeit einen Mehrebenenansatz („layered approach“) (besonders wichtig im Online-Kontext).
  • Antworten Sie unverzüglich, in jedem Fall innerhalb eines Monats / Fristverlängerung um weitere zwei Monate in Ausnahmefällen möglich.

Schritt 3: Wie kann der Datenverantwortliche alle personenbezogenen Daten abrufen?

  • Definieren Sie Suchkriterien auf der Grundlage der Angaben der betroffenen Person, sonstiger dem Datenverantwortlichen über die betroffene Person vorliegender Informationen und der Faktoren, nach denen die Daten strukturiert sind (z. B. Kundennummer, IP-Adresse, Berufsbezeichnung, Verwandtschaftsbeziehungen usw.).
  • Ermitteln Sie technische Funktionen, die gegebenenfalls zum Abrufen von Daten zur Verfügung stehen.
  • Durchsuchen Sie alle relevanten elektronischen und nichtelektronischen Ablagesysteme.
  • Stellen Sie alle die betroffene Person betreffenden Daten in einer Weise zusammen, die die Verarbeitung vollständig widerspiegelt und es der betroffenen Person ermöglicht, die Rechtmäßigkeit der Verarbeitung nachzuvollziehen und zu überprüfen.

Schritt 4: Überprüfung der Grenzen und Beschränkungen

  • Werden durch die Freigabe der Daten die Rechte Dritter beeinträchtigt?
  • Ist der Antrag unbegründet?
  • Hat der Antrag exzessiven Charakter, wird er häufig wiederholt und zielt er auf eine Entschädigung ab?

Praktische Erkenntnisse:

  • Die erforderlichen Prozesse sollten im Voraus vorbereitet und festgelegt werden, sodass das Unternehmen mit eingehenden Anträgen angemessen umgehen kann.
  • Datenmapping und Datenindexierung sollten datenquellen- und systemübergreifend erfolgen.
  • Es sollten geeignete Prozesse entwickelt werden, die erforderlich sind, um Beschränkungen unterliegende Daten zu anonymisieren, zu archivieren, zu schützen und vorzulegen, z. B. nicht zum Export zugelassene Datensätze oder ärztliche Unterlagen.

The views expressed herein are those of the author(s) and not necessarily the views of FTI Consulting, its management, its subsidiaries, its affiliates, or its other professionals.