Datenschutzauskunft gemäß Art. 15 DS-GVO – Informationsumfang und Sicherheitsrisiko

Datenschutzauskunft

Die Datenschutz-Grundverordnung (DS-GVO) gilt nun seit mehr als einem Jahr. Nichtsdestotrotz dürften viele Fragen im Datenschutz noch offenstehen. Dies dürfte unter anderem auch die  sogenannte Datenschutzauskunft nach Art. 15 DS-GVO betreffen, worunter Verantwortliche zur Herausgabe aller gespeicherten personenbezogenen Daten eines Betroffenen verpflichtet werden. Oftmals dürfte Unternehmen nicht ganz klar sein, welcher Informationsumfang beim Auskunftsrecht beachtet werden muss bzw. welche Daten an den Betroffenen herausgegeben werden müssen. Weiterhin sollte im Falle einer Datenschutzauskunft sichergestellt werden, dass die personenbezogenen Daten auch der Person zugehörig sind bzw. es sich um die gleiche Person handelt, welche den Antrag beim Verantwortlichen gestellt hat. Hierbei dürften sich zahlreiche Sicherheitsrisiken ergeben, sofern Verantwortliche keine geeigneten technischen und organisatorischen Maßnahmen zum Prozess der Beauskunftung berücksichtigt bzw. vorgesehen haben. In diesem Fall bringt das Oberlandesgericht (OLG) Köln neuste Erkenntnisse mit seiner Entscheidung vom 26.07.2019, womit der Auskunftsanspruch noch umfassender erscheint, als von vielen Unternehmen bisher angenommen sein dürfte.

Welche Sicherheitsrisiken bei der Datenschutzauskunft eines Betroffenen bestehen sowie welche Erkenntnisse aus der Entscheidung des OLG Köln gewonnen werden können, erklärt Ihnen Ihr externer Datenschutzbeauftragter.

Datenschutzauskunft nach Art. 15 DS-GVO

Gemäß Art. 15 DS-GVO haben Betroffene (z. B. Kunden) das Recht darüber Auskunft zu verlangen, ob ein Verantwortlicher (im Regelfall ein Unternehmen) ihre personenbezogenen Daten verarbeitet. Ist dies der Fall, hat der Betroffene laut Art. 15 DS-GVO unter anderem das Recht folgende Informationen zu erhalten:

a) „den Verarbeitungszweck

b) die Kategorie personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“

Sofern personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt werden, sollte der Betroffene weiterhin über die geeigneten Garantien nach Art. 46 DS-GVO informiert werden.

Der Verantwortliche muss die personenbezogenen Daten, welche Gegenstand der Verarbeitung sind, dem Betroffenen in einer Kopie zur Verfügung stellen. Sollte der Betroffene weitere Kopien der Daten verlangen, kann der Verantwortliche für jede weitere Kopie ein angemessenes Entgelt verlangen. Wichtig in diesem Zusammenhang ist, dass der Erhalt der Kopie keine Rechte und Freiheiten anderer Personen beeinträchtigen darf.

Der Art. 15 DS-GVO dürfte damit zwar grob aufzeigen, was das Auskunftsrecht umfasst, der konkrete Umfang, welche Daten herausgegeben werden sollen sowie die Ausgestaltung der Informationserteilung, dürften sich jedoch daraus nicht klar erschließen.

Entscheidung des OLG Köln v. 26.07.2019 – Az. 20 U 57 18

Das Oberlandesgericht Köln hatte in seiner Entscheidung vom 26.07.2019 – Az. 20 U57 18 – weitere Erkenntnisse zu der Frage des Informationsumfangs bei einer Datenschutzauskunft geliefert.

Der Fall befasste sich mit der Auseinandersetzung zwischen einem Versicherungsnehmer (Kläger) und einer Versicherungsgesellschaft (Beklagte). Der Kläger hatte bei der Beklagten einen Lebensversicherungsvertrag nebst Berufsunfähigkeits-Zusatzversicherung abgeschlossen. Innerhalb der Laufzeit kam es zwischen beiden Parteien zum Streit. Der Kläger verlangte – neben der Gewährung der Ansprüche aus den mit dem Beklagten beschlossenen Vereinbarungen – eine Auskunft über die von ihm gesammelten personenbezogenen Daten, insbesondere in Gesprächsnotizen und Telefonvermerken. Die Beklagte berief sich dabei auf die Wahrung ihres Geschäftsgeheimnisses, welches durch den Auskunftsanspruch des Klägers unterwandert würde. Das Gericht sah jedoch die Einschränkung des Auskunftsrechts des Klägers für nicht gerechtfertigt an. Nach Auffassung des Gerichts sei eine Berufung auf das Geschäftsgeheimnis aufseiten der Beklagten nicht nachvollziehbar und begründete dies folgendermaßen:

„[…] Soweit die Beklagte den Begriff der personenbezogenen Daten auf die bereits mitgeteilten Stammdaten begrenzt sehen möchte und meint, eine Verpflichtung zur Beauskunftung über insbesondere elektronisch gespeicherter Vermerke zu mit dem Kläger geführten Telefonaten und sonstigen Gespräche bestehe nicht, ist ein entsprechendes Verständnis mit dem der DS-GVO zugrundeliegenden weit gefassten Datenbegriff nicht in Einklang zu bringen. Denn durch die Entwicklung der Informationstechnologie mit ihren umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten gibt es keine belanglosen Daten mehr (so bereits BVerfG, Urteil vom 15.12.1983, Az. 1 BvR 209/83 – zitiert nach juris). Soweit in Gesprächsvermerken oder Telefonnotizen Aussagen des Klägers oder Aussagen über den Kläger festgehalten sind, handelt es sich hierbei ohne weiteres um personenbezogene Daten.

Die Beklagte kann sich demgegenüber auch nicht mit Erfolg darauf berufen, dass ein entsprechend weit gefasster Datenbegriff ihre Geschäftsgeheimnisse verletzen würde. Ungeachtet aller sonstigen sich stellenden Fragen gilt dies schon deshalb, weil Angaben, die der Kläger selbst gegenüber seiner Versicherung gemacht hat, diesem gegenüber nicht schutzbedürftig und damit auch nicht ihr Geschäftsgeheimnis sein können. […]“

Das Gegenargument der Beklagten, ein Herausfiltern der Daten aus dem Datenbestand sei aufgrund der zur Verfügung stehenden Ressourcen nicht möglich, war nach der Meinung des Gerichts unzureichend. Unternehmen müssten sich auf die neuen datenschutzrechtlichen Vorgaben einstellen und entsprechende technische Anpassungen vornehmen, um insbesondere den Rechten Dritter zu genügen. Die Beklagte sollte dem Kläger folglich die geforderten Informationen zuleiten.

Das Gericht verdeutlichte jedoch, dass es sich bei dem Urteil nicht um eine Festsetzung handelt, wie das Auskunftsrecht im Einzelfall zu geschehen hat. Dies wäre in dem benannten Fall auch nicht möglich gewesen, da die Beklagte auf die Auskunftsanfrage des Klägers – insbesondere auf die Anfrage welche Daten über die Stammdaten hinaus von der Beklagten gespeichert und verarbeitet wurden – nicht reagiert habe.

Sicherheitsrisiko bei der Datenschutzauskunft

Neben dem Informationsumfang dürfte auch die Verifizierung des Betroffenen eine entscheidende Rolle spielen. Die jüngste Studie eines britischen Studenten, welche auf der Sicherheitskonferenz „Black Hat“ in Las Vegas vorgestellt wurde, zeigte auf, dass mehrere Unternehmen, allem Anschein nach ohne ausreichende Identitätskontrolle, personenbezogene Daten an Nutzer herausgaben. Innerhalb der Studie gab sich der Student für seine Freundin aus und gelangte mit einer gefälschten E-Mail-Adresse sowie weiterer öffentlich zugänglicher Informationen seiner Freundin an zahlreiche personenbezogene Daten von ihr. Angeschrieben wurden 150 Organisationen, wovon zumindest 72 Prozent der Unternehmen auf die Auskunftsanfrage reagierten. In diesem Zuge übermittelten knapp ein Drittel der reagierenden Unternehmen, erschreckenderweise ohne weiteren Identitätscheck bzw. Verifizierung des Betroffenen, die gespeicherten personenbezogenen Daten. 16 Prozent der antwortenden Unternehmen forderten lediglich einen schwachen Abgleich zur Identität (in Form von Geräte-Cookies oder einer schriftlichen Erklärung), welcher laut des Studenten einfach zu umgehen gewesen wäre. Weitere drei Prozent der aktiven Verantwortlichen setzten dem Ganzen noch einen drauf und verstanden die Anfrage falsch und löschten den Account, statt die personenbezogenen Daten herauszugeben.

Von den restlichen 28 Prozent der angeschriebenen Unternehmen erhielt er keine Antwort bzw. wiesen die Verantwortlichen das Auskunftsersuchen zurück. Auch Verbraucherschützer hatten über mehrmonatige Untersuchungen herausgefunden, dass Unternehmen größtenteils nicht auf solche Auskunftsanfragen reagierten. Keine Antwort bzw. die Verweigerung einer Datenschutzauskunft dürfte bereits einen Verstoß darstellen und ggf. mit einem Bußgeld geahndet werden.

Holen Sie sich fachkundige Unterstützung

So vielversprechend das Urteil des OLG Köln auch klingen mag, dürfte es keine konkrete Eingrenzung darüber geben, welche Informationen bei einer Datenschutzauskunft eines Betroffenen herausgegeben werden müssen. Vielmehr verdeutlich dies, den fast grenzenlos erscheinenden Auskunftsanspruch des Betroffenen, da auch eine Auskunft über Telefonvermerke und Gesprächsnotizen vom Betroffenen angefordert werden können. Die gängige Ansicht von Unternehmen – solche Vermerke seien lediglich belanglose Informationen – dürfte demnach nicht zeitgemäß sein, da es gemäß dem Urteil des OLG Köln in unserer modernen Informationsgesellschaft keine belanglosen Daten mehr geben dürfte. In diesem Zusammenhang sollten die Sicherheitsrisiken nicht außer Acht gelassen werden, sodass unter anderem eine geeignete Verifizierung der Betroffenen stattfinden sollte.

Unternehmen sollten dies zum Anlass nehmen, Regelungen und technische Verfahren – zur Gewährleistung der Auskunftsrechte von Betroffenen sowie um Sicherheitsrisiken einzudämmen – an die bestehenden datenschutzrechtlichen Vorgaben anzupassen. Bei der Umsetzung entsprechender Verfahren zur Gewährleistung des Auskunftsrechts sollten Unternehmen ausreichende fachkundige Unterstützung bei Ihrem betrieblichen Datenschutzbeauftragten, IT-Sicherheitsbeauftragten oder ggf. durch die Konsultation bei einem Datenschutzberater, einholen.

Weitere Informationen zum Auskunftsrecht erhalten Sie in unseren Beiträgen:

Sofern Sie weitere Fragen zu dieser Thematik haben sollten oder Hilfe bei der Umsetzung von Datenschutzmaßnahmen innerhalb Ihres Unternehmens benötigen, stehen wir Ihnen gerne mit Rat und Tat zur Seite.

Brands Consulting bietet Ihnen kompetente und fachkundige Unterstützung rund um den Bereich Datenschutz. Kontaktieren Sie uns und holen Sie sich ein auf Ihre Bedürfnisse abgestimmtes, unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen