Datenschutz-Tipp Nr. 6: Auskunftsersuchen – Wie Sie richtig Auskunft nach § 34 BDSG erteilen (Teil 1)

Datenschutz

Mal ehrlich: Hat Ihr Unternehmen schon einmal ein Auskunftsersuchen nach § 34 BDSG erhalten?

Böse Zungen behaupten sogar, dass das Auskunftsersuchen in der Praxis am häufigsten als Mittel der Anwälte zum Ärgern des Gegners genutzt werde (und ansonsten eher selten vorkomme). Und zwar dann, wenn der eigentliche Hauptanspruch des Mandanten wackelig ist. Das Eröffnen eines solchen Nebenkriegsschauplatzes wie einem Auskunftsersuchen (gleiches gilt für die Anforderung des Verfahrensverzeichnisses für jedermann) kann durchaus die Motivation der Gegenseite stärken, dem Hauptinteresse des Mandanten nachzukommen, um so vielleicht um die begehrte Auskunft umhin zu kommen.

Wie Sie auf ein Auskunftsersuchen nach § 34 BDSG in der Praxis reagieren sollten, erklären wir am besten an einem kleinen Beispiel:

Am Montag Morgen kommen Sie gut gelaunt ins Büro. Die gute Laune hält an, bis Sie einen Blick in Ihr E-Mail-Postfach werfen. Dort finden Sie eine Nachricht von Max Dornbarsch (Name frei erfunden) mit dem Betreff “Auskunft nach § 34 BDSG” vor.

Solche E-Mails finden Sie übrigens ganz klassisch am Montag Morgen, da einige Leute gerne das Wochenende dazu nutzen, Frust und Ärger abzubauen. Aber Spaß beiseite, natürlich ist ein Auskunftsersuchen zunächst einmal ein berechtigtes Anliegen eines Betroffenen, ja ein Betroffenenrecht.

Folgender Text stand in der E-Mail:

Sehr geehrte Damen und Herren,

gemäß § 34 Bundesdatenschutzgesetz (BDSG) fordere ich Sie auf, mir folgende Auskünfte zu erteilen:

  1. Über welche gespeicherten Daten zu meiner Person verfügen Sie und woher haben Sie diese Daten?
  2. An welche Empfänger oder sonstige Stellen werden diese Daten weitergegeben?
  3. Zu welchem Zweck erfolgt diese Speicherung?

    Ich widerspreche gemäß § 28 Absatz 4 BDSG der Nutzung und Übermittlung meiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung. Sie sind daher verpflichtet, die Daten unverzüglich für diese Zwecke zu sperren.

    Ich setze Ihnen zur Erfüllung meiner Forderungen eine Frist bis zum 01.09.2010.

    Sollten Sie dieses Schreiben ignorieren, werde ich mich an den zuständigen Landesdatenschutzbeauftragten wenden. Außerdem behalte ich mir weitere rechtliche Schritte vor.

Der fachkundige, auskunftserprobte Leser kennt den Wortlaut dieses Textes vielleicht. Er stammt aus einem sehr beliebten Musterschreiben der geschätzten (und das meine ich ernst) Verbraucherzentrale Bundesverband (vzbv).

Ein solche E-Mail kann Ihnen schon einmal die Laune verderben. Wie Sie bei Laune bleiben, das dürfen Sie in diesem Tipp (und den Folgenden erfahren).

Identifikationsfragen

Bei der Beantwortung von Auskunftsersuchen nach § 34 BDSG sollten Sie zunächst daran denken, dass Sie nicht Auskünfte über Personen an Personen erteilen, die die Auskünfte gar nicht haben dürfen. Ich spreche hiermit das Thema an, dass in der Praxis durchaus Auskunftsersuchen von Personen vorkommen können, die sich als eine andere Person ausgeben. Dafür sind E-Mail und Telefon prädestiniert, denn im Gegensatz zu einem schriftlichen Auskunftsersuchen kann ich nicht wissen, ob die Person, an die ich die Auskunft erteile, wirklich die Person ist, die sie vorgibt zu sein, da die Kommunikationsform eine Zuordnung des Empfängers erschwert. Alles verstanden?

Einfacher formuliert: Sie müssen bei Auskunftsersuchen per E-Mail oder Telefon Sorge dafür tragen, dass eine gewisse Identifizierung des Anfragenden erfolgt. Wir wollen schließlich nicht – bezogen auf unser Beispiel – dass Daten über die Person Max Dornbarsch an Frau Emily Müller erteilt wird, die sich lediglich in der E-Mail als Max Dornbarsch ausgegeben hat.

Aber wie machen Sie das in der Praxis? Schließlich kann ein Betroffener seinen Auskunftsanspruch nach § 34 BDSG formlos geltend machen – und damit eben auch per Telefon oder E-Mail.

Im Falle des Telefons kann es eine Möglichkeit darstellen, den Betroffenen zurückzurufen, z.B. unter der Rufnummer, die Sie ggf. von ihm gespeichert haben, oder in dem Sie z.B. sich am Arbeitsplatz des Betroffenen zu diesem unter Angabe des Namens durchstellen lassen. So macht das in der Praxis z.B. häufig die Polizei, wenn der Beamte bei einem telefonischen Auskunftsersuchen anbietet, dass der Gesprächspartner im Zweifel bei der lokalen Polizeidienststelle anruft und sich zum Sachbearbeiter durchstellen lässt.

Oder falls Sie weitere Daten über die betreffende Person haben wie z.B. ein Geburtsdatum – dann fragen Sie am Telefon doch einfach nach dem Geburtsdatum, um sicherer zu gehen, dass der Auskunftsanspruch auch von der richtigen Person geltend gemacht wird.

Bei E-Mail-Anfragen ist die Lage schwieriger. Hier könnte die Identität durch die Vorlage von Ausweiskopien (Scans) festgestellt werden, die ergänzend angefragt werden könnten. Allerdings bestehen gegen diese Erhebung von personenbezogenen Daten aus einem Personalausweis wiederum datenschutzrechtliche Bedenken, so dass ich davon eher abraten würde. Da bis dato noch keine flächendeckende Signaturinfrastruktur besteht, sind entsprechende Identifizierungen über die elektronische Signatur, noch Zukunftsmusik.

Sie könnten aber z.B. auch per E-Mail wiederum ergänzende Informationen vom Absender der E-Mail erfragen, die dieser wahrscheinlich nur wissen kann, wenn er die betreffende Person ist, für die er sich ausgibt. Das kann z.B. ein Geburtstag oder das von ihm gewählte Pseudonym sein (z.B. der Benutzername im Bestellsystem eines Online-Shops). Die Mitteilung von Passwörtern per E-Mail sollten Sie tunlichst nicht verlangen, sofern die Zusendung wiederum in einer unverschlüsselten E-Mail erfolgt. Das gefährdet die Sicherheit der IT-Systeme und die Ihrer Kunden. Also lassen Sie das besser. Denn eine unverschlüsselte E-Mail ist aus Datensicherheitssicht nicht anders zu bewerten als eine Postkarte. Und Sie würden wohl auch nicht Passwörter auf Postkarten versenden, oder?

Manchmal hilft auch eine Internetrecherche weiter. Wenn die E-Mail z.B. von einer Domain stammt, die auf den Namen der Person registriert ist, von der sie Daten gespeichert haben, dann spricht vieles dafür, dass das die erforderlichen Identifizierungsanforderungen vorliegen. Entsprechende Recherchen können Sie in den im Internet frei zugänglichen WHOIS-Datenbanken für die jeweiligen “Top-Level-Domains” (z.B. .de, .com, .eu, .nic usw.) selbst machen. Wenn Sie das selbst nicht können…Sie haben sicher einen halbwegs technisch versierten Mitarbeiter, der Ihnen dabei behilflich ist.

Bei schriftlichen Anfragen, die als Brief zu Ihnen gelangen, ist die Identifizierung erst einmal unproblematisch, wenn Sie Daten über die Person haben, die als Absender angegeben ist.

Vorsicht ist bei Fax-Anfragen geboten. Ein Fax ist nicht wesentlich sicherer als eine E-Mail, soweit es um die Identifizierung geht. Auch eine Faxnummer kann gefälscht werden. Sie sollten versuchen, die Person zurück zu rufen oder ergänzende Informationen per Fax zu verlangen (s.o.), um die Identifizierung der Person sicherer vornehmen zu können.

Form der Auskunft

Eine häufige Frage ist, ob Sie auf ein Auskunftsersuchen per E-Mail in einer E-Mail antworten dürfen oder nicht. Hintergrund ist die fehlende Sicherheit von unverschlüsselten E-Mails vor der unbefugten Kenntnisnahme durch Dritte.

Nach § 34 Abs. 6 BDSG ist die Auskunft grundsätzlich in Textform zu erteilen. Textform ist weniger als Schriftform, so dass auch Fax und E-Mail als Auskunftsvariante in Betracht kommen.

Zur Risikominimierung bei der Geltendmachung etwaiger Unterlassungs- oder Schadensersatzansprüche sollten Sie auf eine E-Mail-Auskunftsanfrage aber nur dann per E-Mail Auskunft erteilen, wenn Sie den Empfänger zunächst darauf hinweisen, dass E-Mail ein unsicheres Kommunikationsmedium ist, und Sie eine Auskunft nur erteilen, wenn er per E-Mail mitteilt, die Auskunft trotz der Sicherheitsbedenken dennoch per E-Mail erhalten zu wollen.

Das klingt hölzern, Sie sollten es aber tun. Viele Betroffene wissen gar nicht, wie schnell Daten aus E-Mails in fremde Hände und damit in die große weite Welt gelangen können.

Von der Textform dürfen Sie absehen, wenn wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist – so das Gesetz.

So kann es durchaus zulässig sein, eine Auskunft bei einer telefonischen Auskunftsanfrage (nach entsprechender Identifzierung, s.o.) direkt telefonisch zu erteilen, wenn die jeweilige Person es gerne möchte. Hier dürfen Sie durchaus “kundenfreundlich” sein. Datenschutzrecht ist schließlich nicht dazu gedacht, sich “kundenunfreundlich zu verhalten. Ganz im Gegenteil.

Was die Auskunft beinhalten muss, und wie Sie ggf. drum herum kommen, dazu erfahren Sie in den kommenden Tagen mehr.

Bis dahin…

Letzte Aktualisierung | letzter Aktualisierungscheck: 29.05.2016
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.