Zur Stärkung der Rechte der Betroffenen regelt die Datenschutzgrundverordnung (DSGVO) in ihrem Kapitel III ("Rechte der betroffenen Person") umfassende Rechte der von einer Datenverarbeitung betroffenen Person. Vielfach kann der Betroffene von seinen Rechten aber nur dann Gebrauch machen, wenn er überhaupt weiß, dass personenbezogene Daten über ihn verarbeitet werden. Um also in Erfahrung bringen zu können ob, und wenn ja, in welchem Umfang personenbezogene Daten verarbeitet werden, gewährt die DSGVO dem Betroffenen in Art. 15 DSGVO ein umfassendes Auskunftsrecht.
Foto: Rawpixel.com - shutterstock.com
Die Auskunft stellt eine wesentliche Voraussetzung dafür dar, dass der Betroffene seine weiteren Rechte geltend machen kann. Das sind zum Beispiel das Recht auf Berichtung oder Löschung der über ihn gespeicherten personenbezogenen Daten.
Auskunft: Herausforderung für Unternehmen
Für Unternehmen, die personenbezogene Daten zum Beispiel ihrer Kunden oder Mitarbeiter verarbeiten, stellen die Rechte der Betroffenen und insbesondere das Auskunftsrecht dagegen eine enorme Herausforderung dar. Die Herausforderung besteht zum einen aus der Vielzahl an Betroffenen, die von ihren Rechten Gebrauch machen können und somit wichtige Ressourcen bei den Unternehmen binden.
Eine weitere Herausforderung ergibt sich vor allem aber auch daraus, dass sich der Umfang der einzelnen Pflichten im Rahmen der Auskunft nicht eindeutig aus dem Wortlaut der Verordnung entnehmen lassen. Durch diese Unklarheiten besteht für Unternehmen das Risiko einer unvollständigen oder gar falschen Auskunft. Dies wiederum bedeutet, dass Unternehmen Gefahr laufen, von der zuständigen Aufsichtsbehörde nach Art. 83 Abs. 5 lit. b) DSGVO mit einem empfindlichen Bußgeld belegt zu werden. Vor diesem Hintergrund ist es für Unternehmen besonders wichtig, bereits im Vorfeld Verfahren zu implementieren, um die zunehmenden Auskunftsersuchen in der gesetzlichen vorgegeben Form und Frist beantworten zu können.
Vorbereitung auf die Beantwortung des Auskunftsersuchens
Das Verfahren zur Beantwortung von Auskunftsersuchen sollte dabei frühzeitig vorbereitet, erprobt und umgesetzt werden. Im besten Fall steht ein solches Verfahren, noch bevor das erste Auskunftsersuchen eintrifft.
Zugleich sollte das Verfahren stetig überprüft und notfalls angepasst werden, wenn sich in der Umsetzung Probleme zeigen sollten, die man bei der initialen Erarbeitung des Verfahrens nicht bedacht hatte.
Eine gute Organisation der Auskunftsersuchen ist insbesondere deswegen von Bedeutung, da die Betroffenen frei darin sind, wie sie von ihrem Auskunftsrecht Gebrauch machen wollen. So kann es sein, dass ein Betroffener sein Auskunftsersuchen direkt an diejenige Person im Unternehmen richtet, mit welcher er bereits im Kontakt stand. Diese Person dürfte jedoch üblicherweise nicht für die Beantwortung von Auskunftsersuchen verantwortlich sein. Vor diesem Hintergrund ist es wichtig, dass das Verfahren zur Beantwortung von Auskunftsersuchen auch berücksichtigt, dass sämtliche Mitarbeiter im Unternehmen eingegangene Auskunftsersuchen unverzüglich an die im Unternehmen hierfür zuständige Person weiterleiten.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Praxishinweis 1
Mitarbeiter sollten regelmäßig über den Umgang mit Auskunftsersuchen informiert und geschult werden. Dabei sollte die Wichtigkeit des Themas Datenschutz ebenso herausgestellt werden, wie die Kontaktdaten der für die Bearbeitung von Auskunftsersuchen zuständigen Stelle im Unternehme. Zudem sollte eine zentrale Stelle eingerichtet werden, die für die Bearbeitung von Auskunftsersuchen zuständig ist.
Ist ein Auskunftsersuchen beim Unternehmen eingegangen, sollte dieses in einem ersten Schritt nach einem einheitlichen Schema geprüft werden. Dabei muss in jedem Fall geprüft werden, ob der Betroffene aus dem Auskunftsersuchen unzweifelhaft identifizierbar ist. Ist der Betroffene nicht eindeutig zu identifizieren, bestehen also Zweifel an der Identität der Person, die Auskunft verlangt, sollten weitere Informationen abgefragt werden, die zu einer hinreichenden Identifizierung erforderlich sind.
Praxishinweis 2
Die Rückfrage an den Anfragenden bei Zweifeln ist von enormer Bedeutung. Hierdurch soll vermieden werden, dass das Unternehmen eine Auskunft an einen unberechtigten Dritten erteilt. Eine solche Auskunft würde die Rechte des Betroffenen verletzen und könnte nicht nur vom Betroffenen selbst, sondern auch von der zuständigen Aufsichtsbehörde geahndet werden.
Neben der Identität des Anfragenden sollte auch der Zeitpunkt, wann das Auskunftsersuchen im Unternehmen eingegangen ist, notiert werden. Das Unternehmen muss dann unverzüglich, jedenfalls aber innerhalb eines Monats das Auskunftsersuchen bearbeiten und beantworten. Daher ist auch die Frist zur Beantwortung des Auskunftsersuchen in diesem Schritt zu notieren.
Die Frist von einem Monat kann im Einzelfall verlängert werden. Das ist allerdings nur dann möglich, wenn die Bearbeitung der Anfrage deutlich mehr Zeit in Anspruch nimmt als üblich. Der Betroffene ist darüber zu informieren, dass seine Anfrage innerhalb der verlängerten Frist beantwortet wird.
Praxishinweis 3
Als nächstes sollte geprüft werden, ob der Antrag offenkundig unbegründet oder exzessiv ist. Offenkundig unbegründete oder exzessive Anträge berechtigen das Unternehmen, vom Anfragenden entweder ein angemessenes Entgelt für die Beantwortung der Anfrage zu verlangen oder diese zu verweigern.
Will sich ein Unternehmen darauf berufen, dass eine Anfrage offenkundig unbegründet oder exzessiv ist, ist es in der Pflicht, diese Umstände notfalls zu beweisen. Eine Anfrage ist dabei offenkundig unbegründet, wenn die Voraussetzungen eines Auskunftsersuchen offensichtlich nicht vorliegen. Exzessiv sind Anträge dann, wenn sie häufig und in sehr kurzen Abständen wiederholt werden. Generell ist zu empfehlen, diese Verweigerungsgründe vorsichtig einzusetzen. Die Verweigerung einer Auskunft ohne das Vorliegen eines Verweigerungsgrundes stellt auch dann grundsätzlich einen Datenschutzverstoß dar, wenn das Unternehmen sich über das Vorliegen eines Verweigerungsgrundes geirrt hat.
Praxishinweis 4
Schließlich sollte geprüft werden, ob und wenn ja, welche personenbezogenen Daten über den Anfragenden im Unternehmen gespeichert sind. Hierzu sind sämtliche Abteilungen einzubeziehen und im Vorfeld bereits zu schulen, um abschließend ermitteln zu können, ob überhaupt personenbezogene Daten über den Anfragenden gespeichert sind. Je größer das Unternehmen ist, umso größer ist dabei die Herausforderung, alle gespeicherten Daten über den Anfragenden zu identifizieren, sodass es erforderlich ist, sich bereits im Vorfeld einen Prozess zu überlegen, der die Abfrage der einzelnen Abteilungen erleichtert.