> externer DSB

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten?

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 1Die fortschreitende technische Entwicklung führt zu steigenden Gefahren des Datenmissbrauchs. Es fallen immer mehr Daten an, die nahezu unbegrenzt gespeichert, verknüpft und ausgewertet werden können. Um dem Missbrauch von personenbezogenen Daten vorzubeugen, sowie Betroffene über die Erhebung und Verwendung der Daten zu informieren, werden Betroffenen besondere Rechte, wie das Recht auf Information bei erstmaliger Erhebung bzw. Speicherung (§ 33 Bundesdatenschutzgesetz, kurz BDSG), das Recht auf Auskunft (§ 34 BDSG), sowie das Recht auf Berichtigung, Sperrung und Löschung der Daten (§35 BDSG), zugesprochen.

Das Recht auf Information hat den Zweck, dass personenbezogene Daten nicht ohne Kenntnis der Betroffenen erhoben bzw. verarbeitet werden dürfen, da insbesondere bei einer Erhebung und Nutzung ohne Kenntnisnahme der Betroffenen die anderen Rechte eingeschränkt werden. Weiß der Betroffene nicht, dass Daten über ihn erhoben, verarbeitet oder genutzt werden, so wird er sehr wahrscheinlich nicht auf die Auskunft bestehen, wobei das Auskunftsrecht wiederrum für die Berichtigung, Sperrung und Löschung bedeutend ist. Müssen Unternehmen / Firmen, Vereine, Behörden etc. über die erstmalige Erhebung bzw. Verwendung ohne Tätigwerden der Betroffenen informieren, so liegt das Auskunftsrecht in den Händen der Betroffenen, da die verantwortlichen Stellen erst nach einem Auskunftsverlangen aktiv werden müssen. Die Unterrichtung des Betroffenen stärkt somit die Position des jeweiligen Menschen und schafft Transparenz darüber wer personenbezogene Daten über die natürlichen Personen vorhält.

Auskunftsrecht der Betroffenen

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 2Laut § 34 BDSG haben Betroffene das Recht auf Auskunft, wobei dieses Recht nur natürlichen Personen gewährt wird, da auch nur diese vom deutschen Datenschutzrecht bzw. dem Bundesdatenschutzgesetz erfasst und damit geschützt werden.

Verlangt ein Betroffener eine Auskunft, so sind die verantwortlichen Stellen dazu verpflichtet, unverzüglich bzw. spätestens innerhalb von zwei Wochen, eine Auskunft zu erteilen. Bei einem Auskunftsersuchen ist weder eine Form zu beachten noch muss der Betroffene konkretisieren, über welche Daten er Auskunft erhalten möchte.  Dies bedeutet, dass der Betroffene seinen Auskunftswunsch sowohl in schriftlicher Form mittels Brief, E-Mail, Telefax als auch in mündlicher Form per Telefon oder persönlichem Gespräch äußern kann. Zudem werden im Internet teilweise Formulare angeboten, die Betroffene ebenfalls zum Auskunftsverlangen nutzen können.

Von dem Auskunftsrecht machen Betroffene in der Praxis häufig im Rahmen von Auskunfteien, wie zum Beispiel der Schufa, Gebrauch, da zahlreiche bzw. vermutlich nahezu alle natürlichen Personen von der Datenspeicherung (böse Stimmen könnten gar „Datenkrake Schufa“ sagen) der Schufa betroffen sind. Die Auskunft kann grds., wie bereits erläutert, sowohl schriftlich als auch mündlich erfolgen. Es bietet sich die Nutzung fertiger Formulare seriöser Quellen aus dem Internet an. Ein Formular findet sich sowohl auf der Webseite der Schufa (gut versteckt) ratsamer ist allerdings der auf der Homepage der Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDi) zu findende Vordruck. Beim Ausfüllen des Schufa-Formulars sollte beachtet werden, dass zum einen kein Häkchen bei der kostenpflichtigen Bonitätsauskunft gesetzt und zum anderen die Bankdaten nicht angegeben werden, da die Auskunft einmal im Kalenderjahr kostenlos ist. Diese jährliche kostenlose Selbstauskunft steht einem jedem Betroffenen zu.

Auskunftspflicht der verantwortlichen Stellen

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 3Bei Eingehen eines Auskunftsanspruchs sollte die verantwortliche Stelle schnell handeln und umgehend ihren Datenschutzbeauftragten einschalten, da eine Beantwortung, wie bereits erläutert, unverzüglich bzw. spätestens innerhalb von zwei Wochen (kein schuldhaftes Zögern!) erfolgen muss.

Die verantwortliche Stelle muss den Betroffenen, wenn beim Auskunftsersuchen nicht explizit gefordert, über alle gespeicherten personenbezogenen Daten, über die Herkunft der Daten, über den Empfänger im Fall einer Datenübermittlung, sowie über den Zweck der Datenspeicherung informieren, wobei die Angaben – abhängig vom vorliegenden Zweck zur Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten – erweitert werden müssen. Liegen der verantwortlichen Stelle keinen personenbezogenen Daten vor, so muss sie den Betroffenen bei einem Auskunftsanspruch darüber informieren (sog. Negativauskunft).

Eine besondere Problematik stellt allerdings die sichere Identifizierung der Betroffenen dar, insbesondere wenn der Auskunftswunsch mittels E-Mail, Telefon oder Fax geäußert wird. Wenn Zweifel an der Identität des Betroffenen bestehen, sollte die verantwortliche Stelle -bevor sie dem Auskunftsersuchen nachgeht-, prüfen, ob es sich tatsächlich um den Betroffenen handelt. Welche Methode für die Identitätsprüfung geeignet ist, hängt, wie im Datenschutz üblich, von der Situation/den Gegebenheiten ab. Ein in der Praxis häufig diskutiertes Thema ist die Prüfung mittels Personalausweiskopie, da dies, bis auf wenige Ausnahmen, wie zum Beispiel für Banken gemäß Geldwäschegesetz (GwG), verboten ist. Eine geeignete Möglichkeit könnte bei Auskunftsersuchen mittels E-Mail oder Telefon, das Abfragen von vorliegenden Informationen, wie dem Geburtsdatum in Kombination mit x weiteren Informationen über den Betroffenen, sein (gängig z. B. bei Callcentern). Alternativ könnte man den Betroffenen unter der gespeicherten Nummer zurückrufen, was auch bei einem Auskunftswunsch mittels Fax dringendst anzuraten ist. Bei einer Identifizierung des Betroffenen sollte die verantwortliche Stelle dem Auskunftsersuchen nachgehen.

Grundsätzlich ist die verantwortliche Stelle zur schriftlichen Auskunftserteilung verpflichtet, außer eine andere Form ist, aufgrund von besonderen Umständen, angemessen oder die verantwortliche Stelle kann sich aus der Pflicht entziehen. Dies ist bei einem Auskunftsersuchen allerdings nur bei wenigen Ausnahmen, wie zum Beispiel bei Interesse der öffentlichen Sicherheit, möglich. Zudem sollten verantwortliche Stellen darauf achten, dass sie personenbezogene Daten, die sie im Rahmen des Auskunftsverlangens erhalten, nicht zu anderen Zwecken als der Auskunftserteilung verwenden (sog. Zweckbindung). Die Erteilung der Auskunft sollte grundsätzlich bei Verlangen unentgeltlich und bei einer geschäftsmäßigen Speicherung zum Zweck der Datenübermittelung einmal im Kalenderjahr unentgeltlich erfolgen, wobei für eine Auskunftserteilung, die der Betroffene wirtschaftlich nutzen kann, Entgelt verlangt werden kann.

Bei verspäteter, fehlerhafter oder nicht erteilter Auskunft handelt es sich um eine Ordnungswidrigkeit, die bei Einschalten der Aufsichtsbehörde zu Bußgeldern führen kann. Des Weiteren kann die Aufsichtsbehörde, Maßnahmen zur Beseitigung anordnen oder die Verarbeitung der Daten untersagen.

Müssen Sie eine Datenauskunft gemäß § 34 BDSG gegenüber einem Betroffenen erteilen? Dann nehmen Sie Kontakt zu uns auf und nutzen Sie unsere maßgeschneiderten Dienstleistungen:

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?

Der Messenger „WhatsApp“ gewinnt seit Jahren in privaten Haushalten an Bedeutung, wobei der Kommunikationskanal nicht nur junge Nutzer lockt. Mittlerweile verwendet die Mehrheit, sobald sie in Besitz eines Smartphones ist, unabhängig ihres Alters den Messenger. Die einfache Handhabung, sowie die Plattformunabhängigkeit sind einige Faktoren, die im Februar 2016 zu über einer Milliarde WhatsApp-Nutzern geführt haben. Die steigende Beliebtheit und das routinierte Arbeiten mit dieser App führt dazu, dass der Messenger auch zu dienstlichen Zwecken eingesetzt wird.

WhatsApp wird allerdings schon lange nicht mehr rein als Kommunikationskanal in Unternehmen genutzt, sondern findet auch vermehrt als Marketing-Instrument Verwendung. Unternehmen können mittels WhatsApp eine Vielzahl an Nutzern erreichen, wobei die Kontaktaufnahme oftmals viel persönlicher erfolgen kann, als dies mit einer postalischen Ansprache oder per E-Mail möglich wäre.

Die vermeintliche Simplizität der Kommunikation mittels WhatsApp führt dazu, dass sowohl Arbeitnehmer als auch Arbeitgeber oftmals bewusst rechtliche Risiken ausblenden und gegen geltendes Datenschutzrecht verstoßen.

WhatsApp als Kommunikationskanal in Unternehmen

Whatsapp Datenschutz KatastropheImmer häufiger setzen Arbeitnehmer WhatsApp als internes Kommunikationsmittel ein. In diesem Rahmen tauschen sie beispielweise Dienstpläne oder Informationen über Kunden, Patienten, Kollegen etc. aus. Doch die interne dienstliche Nutzung von WhatsApp -insbesondere auf dienstlichen Endgeräten- führt regelmäßig zu zahlreichen datenschutzrechtlichen Risiken.

Zwar verspricht WhatsApp, seit Anfang April 2016, eine Ende-zu-Ende-Verschlüsselung, welche die Inhalte der Nachrichten vor unbefugtem Lesen schützen soll. Jedoch ist es nicht ratsam, sich auf dem Versprechen über eine funktionierende und dauerhafte Verschlüsselung der Betreiber eines vermeintlich kostenlosen Dienstes auszuruhen, da zumal eine Verschlüsselung nur dann gegeben ist, wenn der Chat-Partner über die aktuelle WhatsApp-Version verfügt. Wurde die aktuelle Version noch nicht auf dem Endgerät installiert, wobei in Gruppenchats nur ein Chat-Partner über die „veraltete“ Version verfügen muss, so ist keine Ende-zu-Ende-Verschlüsselung gegeben. Näheres zur Ende-zu-Ende-Verschlüsselung von WhatsApp können Sie in dem Beitrag „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ nachlesen.

Vertraut man den Betreibern des Messengers bezüglich der Ende-zu-Ende-Verschlüsselung, steht man als Arbeitnehmer und insbesondere als Arbeitgeber (bzw. die Leiter / Entscheidungsträger der „Verantwortlichen Stelle“) vor weiteren Risiken. Zwar können die Inhalte der Nachrichten, zumindest laut der Betreiber, nicht mehr gelesen werden, allerdings wird in der Regel bereits im Installationsprozess von WhatsApp, spätestens aber mit dem Einsatz der Applikation (App), der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht. Diese (personenbezogenen) Daten werden nicht legitimiert an die WhatsApp-Server in Kalifornien (USA) weitergegeben.

Eine Datenübermittlung bedarf, laut Bundesdatenschutz, einer rechtlichen Grundlage oder einer informierten Einwilligung der Betroffenen. In der Regel liegt Beides bei der Installation und Nutzung des Messengers nicht vor. Zudem handelt es sich um eine Datenübermittlung in ein Drittland (außerhalb der europäischen Union und des europäischen Wirtschaftsraums) ohne angemessenes Datenschutzniveau. Eine datenschutzkonforme Übermittlung wäre deshalb nur möglich, wenn zum einen das Datenschutzniveau, beispielsweise durch Abschluss von EU-Standardvertragsklauseln mit daran geknüpften weiteren Maßnahmen, hergestellt wird oder andererseits eine informierte und freiwillige Einwilligung eines jeden Kontakts im Telefonbuch eingeholt wird. Dies wäre allerdings ein Aufwand, den niemand tragen könnte bzw. möchte.

Eine weitere Möglichkeit wäre, den Zugriff von WhatsApp auf das Telefonbuch, sowie auf weitere Informationen (Fotos, Notizen, etc.) mittels manueller Einstellungen am Smartphone zu verhindern. Die WhatsApp-Nutzung wäre dadurch zwar weniger risikobehaftet, aber für den Nutzer mit Sicherheit mehr als unerfreulich, da keine „usability“ (Benutzerfreundlichkeit) mehr bestehen wird.

WhatsApp als Marketing-Instrument in Unternehmen

WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe_Bild2Die Bedeutung von WhatsApp spielt allerdings nicht nur im Rahmen der internen Kommunikation eine große Rolle. Immer mehr Unternehmen fühlen sich, insbesondere aufgrund der Masse an Nutzern, verpflichtet, den Messenger als Marketing-Instrument einzusetzen. In diesem Rahmen werden nicht nur Newsletter versendet, sondern auch Inhalte mittels WhatsApp-Sharing-Button geteilt, Supportanfragen beantwortet oder ganze Beratungsgespräche ausgelagert. WhatsApp ist aufgrund der Gruppenchat-Funktion nicht nur für „persönliche“ Chats zwischen zwei Chat-Partnern, sondern vor allem zur Schaffung von Communities sehr attraktiv. Jedoch sollte sich ein Unternehmen nicht von den zahlreichen Vorteilen und Möglichkeiten blenden lassen und vor dem Einsatz des Messengers einen Blick auf die rechtlichen Grundlagen werfen.

Setzt man WhatsApp zu Marketingzwecken ein, so könnte man nicht nur gegen die allgemeinen Geschäftsbedingungen (AGB) von WhatsApp, die eine kommerzielle Nutzung des Dienstes untersagen, sondern auch gegen das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG), sowie gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) verstoßen.

Im Rahmen der geschäftlichen Ansprache, die laut den AGBs, zu unterlassen ist, ist das Risiko für das Unternehmen eher gering, da einer Sperrung üblicherweise eine Verwarnung vorausgeht. Die datenschutzrechtlichen Risiken stellen eine weitaus größere Problematik für Unternehmen dar. Denn auch in diesem Zusammenhang gilt das Verbot mit Erlaubnisvorbehalt. Im Datenschutz ist die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten grundsätzlich verboten, außer eine gesetzliche Grundlage oder informierte Einwilligung des Betroffenen erlauben die Erhebung, Verarbeitung oder Nutzung.

Datenschutz Werbung

Sollen Newsletter via WhatsApp versendet werden, so ist dem Unternehmen anzuraten, eine informierte und ausdrückliche Einwilligung der Betroffenen einzuholen, da ausschließlich § 7 S. 3 UWG unter strengen Bedingungen das Versenden von Newslettern ohne Einwilligung der Betroffen erlaubt. Für eine informierte und ausdrückliche Einwilligung sollten Unternehmen grundsätzlich das Double-Opt-in Verfahren anwenden, um eine Verifikation der Rufnummern bzw. der E-Mail-Adressen, im Fall von „gewöhnlichen“ Newslettern via E-Mail, vorzunehmen. Nutzt man allerdings die Broadcast-Funktion von WhatsApp, so sollte das Opt-In-Verfahren ausreichen, da der Nutzer die Nachrichten nur erhält, wenn der Absender als Kontakt hinterlegt ist. Eine Anmeldung, die zu Beweiszwecken gespeichert werden sollte und der Einsatz von Broadcast-Listen ist dringendst zu empfehlen.  Mittels dieser Listen können sich die anderen Nutzer, anders als bei den Gruppenchats, untereinander nicht sehen. Zudem sollte darauf geachtet werden, dass der Kunde bei der Anmeldung Informationen über den Verwendungszweck und das Widerrufsrecht erhält. Wobei der Hinweis zum Widerrufsrecht nicht nur im Rahmen der Erhebung der Rufnummer fallen sollte. Der Kunde ist in jedem Newsletter darüber zu informieren, dass er sich jederzeit aus dem Newsletter austragen kann bzw. durch Löschung der Rufnummer des Absenders kein Versand von Newslettern stattfinden kann.

Ein weiteres Problem, dass auf Unternehmen im Rahmen der Kundenkommunikation zukommt, könnte die Mitstörerhaftung sein. Zum einen ist unklar, ob das Unternehmen für Datenschutzverstöße seitens WhatsApp haften muss. Zum anderen ist der Einsatz von Communities kritisch, da in diesem Rahmen schädigende, rechtswidrige bzw. sittenwidrige Inhalte von Nutzern verbreitet werden könnten. Um das Risiko zu minimieren, ist der Einsatz von geeigneten Datenschutzerklärungen, Impressen, sowie von Nutzungserklärungen dringend anzuraten.

Der Einsatz des WhatsApp-Sharing-Buttons ist zwar auch mit Risiken verbunden, jedoch ist die Verwendung weniger risikobehaftet als die Nutzung des Like-Buttons von Facebook. Denn anderes als bei dem Like-Button sollen bei der der Verlinkung keine Daten übermittelt werden. Erst wenn der Nutzer den Link aktiviert, würde eine Datenübermittlung erfolgen. Eine Datenschutzerklärung, die über die Verwendung der Daten informiert, wäre trotzdem anzuraten.  Wird das Teilen von Inhalten an Freunde (Tell-a-Friend) mit wirtschaftlichen Anreizen verknüpft, so ist die Situation kritischer anzusehen.

Fazit

Der Einsatz von WhatsApp ist aus Datenschutzsicht kritisch. Zwar mag der Einsatz sowohl aus Unternehmens- als auch aus Kundensicht zahlreiche Vorteile bergen, jedoch stehen diesen Vorzügen eine Vielzahl an Risiken gegenüber.

Möchte oder kann ein Unternehmen -trotz der Risiken- nicht auf den Messenger verzichten, so sollte sich das Unternehmen ausreichend von seinem Datenschutzbeauftragten oder einem Datenschutzberater / Consultant beraten lassen. Eine weitere Alternative wäre der Einsatz eines Messengers, der europäische Server nutzt und damit schärferen Datenschutzrechten unterliegt.

Verwenden auch Sie WhatsApp zu Kommunikations- oder Marketingzwecken? Falls Sie bereits einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten… ansonsten nehmen Sie Kontakt zu uns auf. Gerne beraten wir Sie rund um das Thema WhatsApp und über ein datenschutzkonformes Marketing.

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.