Datenschutz

Datenschutz-Tipp Nr. 7: Auskunftsersuchen – Wie Sie richtig Auskunft nach § 34 BDSG erteilen (Teil 2)

Datenschutz

Im letzten Tipp haben wir uns das Thema erarbeitet, wie Sie feststellen, ob Sie an eine Person, die Auskunft verlangt, auch Auskünfte erteilen dürfen.
Heute wollen wir einmal klären, wie die Auskunft denn in der Praxis aussehen kann. Was muss rein und was nicht…

Der Umfang der Auskunft ist zunächst vom Wunsch des Betroffenen abhängig. Wenn dieser z.B. nur Auskunft über Daten haben möchte, die zu einem bestimmten Zeitraum über ihn gespeichert waren, so besteht kein Grund dafür, ihm eine vollständige Auskunft über die fehlenden Zeiträume zu erteilen.

Wenn der Betroffene keine Einschränkung vorgenommen hat, dann ist die Auskunft in vollem Umfang zu erteilen.

Voller Umfang bedeutet, dass alle personenbezogenen Daten des Betroffenen, die in automatisierten Verfahren gespeichert sind, mitgeteilt werden müssen. Dabei ist es nicht von Belang, ob die Daten gesperrt sind oder nicht. Es sind alle Daten zu benennen, die zur Person des Betroffenen gespeichert sind.

Was in der Praxis häufig nicht bekannt ist, ist, dass auch die Bezeichnung der jeweiligen Dateien, in der die Daten gespeichert sind, zu benennen sind. In der rechtswissenschaftlichen Literatur wird dies unter Hinweis auf ein Urteil des Hessischen Verwaltungsgerichthofs (Beschluss vom 17.12.1990, Az.: 7 UE 1984) so vertreten. Begründet hat das Gericht das damit, dass sich aus den Dateibezeichnungen die Selektionskriterien für die Aufnahme in die Datei ergeben würden. Meiner Meinung nach ist diese Entscheidung nicht mehr mit der heutigen IT-Praxis ein Einklang zu bringen. In Zeiten von virtualisierten Server- und Datenbankumgebungen sind Dateibezeichnungen nicht mehr zeitgemäß. Ich würde die Nichtangabe von Dateibezeichnungen, sofern diese nicht konkret angefordert werden, derzeit nicht für rechtswidrig halten.

Neben den Angaben zu Daten, die über die Person des Betroffenen gespeichert sind, ist Auskunft über die Empfänger oder Empfängerkategorien zu erteilen.

Nach der wohl herrschenden Auffassung in der rechtswissenschaftlichen Literatur muss ein Empfänger dabei nicht Dritter, also nicht unbedingt ein anderes Unternehmen sein. Auch eine interne Weitergabe im Unternehmen soll daher vom Auskunftsanspruch umfasst sein, um interne Datenflüsse nachvollziehen zu können. Allerdings ist die Begründung hierfür ziemlich “dünn”. Die Literatur zitiert sich quasi selbst im Kreis, und eine Begründung für diesen erweiterten Umfang fehlt. Weder das Gesetz noch die Gesetzesbegründung gibt Anlass zur Annahme, dass über die interne Datenflüsse Auskunft erteilt werden müsste. Eine Ausnahme hiervon besteht lediglich meiner Überzeugung nach für Auftragsdatenverarbeiter (der ist nach § 3 Abs. 8 BDSG nicht “Dritter”). Hier ist ein Interesse des Betroffenen auf Auskunft nachvollziehbar.

Einigkeit besteht also in jedem Fall darüber, dass Sie Auskunft erteilen müssen, über die Unternehmen oder Personen, an die Sie Daten über den Betroffenen übermittelt oder im Rahmen eines Auftragsdatenverarbeitungsverhältnis weitergegeben haben. Dabei reicht eine einmalige Übermittlung aus. Dabei soll – soweit möglich – auch die Adresse der Empfänger angegeben werden.

Für den Fall, dass die Daten der Person regelmäßig bzw. nicht nur einmalig an bestimmte Kategorien von Empfängern (z.B. Adresshändler, Kreditinstitute etc.) hat der Betroffenen auch Anspruch auf Mitteilung der Empfängerkategorien.

Denken Sie bitte auch daran, dass Sie jeweils den Zweck der Speicherung der Daten über die Person angeben müssen.

Wenn Sie aufmerksam gelesen haben, dann ist Ihnen bewusst geworden, dass der Auskunftsanspruch und dessen konkrete Ausgestaltung eine ganz wesentliche Auswirkung auf Ihre IT-Systeme hat bzw. haben sollte. Wenn Ihre Datenbanken z.B. kein Zweckfeld vorsehen, dann werden Sie es ggf. schwer haben, die Zwecke im Einzelnen zu benennen.

Schwierig wird es übrigens auch, wenn Sie nicht protokollieren, wann, an wen, welche Daten über Personen übermittelt/weitergegeben wurden.

Sie tun also gut daran, technische und organisatorische Maßnahmen dafür zu treffen, dass diese Anforderung in der Praxis eingehalten werden kann. Es liegt auf der Hand, dass die Umsetzung in der Praxis manchmal nicht gerade einfach ist. Auch hier dürfen Sie kreativ werden.

Bis dahin…

Letzte Aktualisierung | letzter Aktualisierungscheck: 29.05.2016
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Und wer unbedingt noch mehr zu mir wissen möchte, kann sich mein Profil ansehen.

Ähnliche Beiträge

Thüringer Landesdatenschutzbeauftragter informiert über Einführung der elektronischen Gesundheitskarte
Datenschutz

Thüringer Landesdatenschutzbeauftragter informiert über Einführung der elektronischen Gesundheitskarte

Datenschutz

Mit den Worten „Elektronische Gesundheitskarte ist nun Pflicht“ beginnt der Thüringer Landesdatenschutzbeauftragte Dr. Lutz Hasse seine [Pressemitteilung] (PDF) vom 05.01.2015 zur Einführung der elektronischen Gesundheitskarte (eGK) mit Wirkung zum 1. Januar 2015. Die Pressemitteilung erläutert kurz und knapp die Funktionen der eGK: Die eGK ist aber darauf ausgerichtet, folgende zusätzliche Funktionen zu erfüllen: – Online-Abgleich…

Verpflichtung auf das Sozialgeheimnis (Muster)
Datenschutz | Empfohlen

Verpflichtung auf das Sozialgeheimnis (Muster)

Datenschutz, Empfohlen

Das Sozialgeheimnis (§ 35 SGB I) gilt – auch wenn man dies häufig anderswo falsch liest – nur für Sozialleistungsträger i.S.d. § 12 SGB I. Sozialleistungsträger sind die staatlichen Stellen, die in den §§ 18 bis 29 SGB I genannten Körperschaften, Anstalten und Behörden, die Leistungen nach den Sozialgesetzbüchern erbringen. Auch wenn „Private“ – also z.B….

Datenschutz

Interview mit LfD Bayern und Rechtsanwalt zur Zukunft der Datenschutz-Grundverordnung der EU

Datenschutz

Die Zeitschrift Computerwoche hat heute auf ihrer Internetseite ein interessantes Video mit einem Interview des bayerischen Landesdatenschutzbeauftragten Thomas Petri und Rechtsanwalt Wilfried Reiners veröffentlicht. In dem Video sprechen Thomas Petri und Wilfried Reiners über das Thema Datenschutzsouveränität und die Zukunft der europäischen Datenschutz-Grundverordnung. Ein kurzweiliges Video, das einen guten und aktuellen Überblick über den Verhandlungsstand…

Datenschutz-Grundverordnung für Kinder – Langsam wird es lächerlich
Datenschutz

Datenschutz-Grundverordnung für Kinder – Langsam wird es lächerlich

Datenschutz

Zuletzt aktualisiert: 16.12.2015 – bitte Aktualisierungshinweis am Ende des Textes beachten. Vor kurzem wurde der vermeintlich letzte Entwurf der EU-Datenschutz-Grundverordnung (DS-GVO) vor der letzten Trilogverhandlung am 15.12.2015 ins Netz gespült. Es scheint ja wirklich ernst zu werden, wenn wir den Äußerungen von Jan Albrecht als Berichterstatter des Europäischen Parlaments und klarem „Treiber“ der DS-GVO (das…

Informationspflichten nach DSGVO in Arztpraxen – doch alles nicht so schlimm?
Datenschutz

Informationspflichten nach DSGVO in Arztpraxen – doch alles nicht so schlimm?

Datenschutz

Die geschätzten Kollegen von „datenschutz nord“ hatten in ihrem Blog ein wunderschönes Beispiel für die völlig missglückten Vorschriften zu Informationspflichten in der DSGVO: Telefonieren unerwünscht – Informationspflichten nach der DSGVO Nach Art. 13 DSGVO sind einem Patienten „zum Zeitpunkt der Erhebung“ der ganze „Batzen“ der Informationen aus Art. 13 Abs. 1 und 2 DSGVO mitzuteilen….

Einvernehmlicher Widerruf der Bestellung des Datenschutzbeauftragten (mit Muster)
Datenschutz

Einvernehmlicher Widerruf der Bestellung des Datenschutzbeauftragten (mit Muster)

Datenschutz

Die DSGVO naht mit großen Schritten heran. Und auch bei den Mandanten kommt Bewegung in die Organisationen. Und bei einigen Organisationen kommt es auch zu „Um-Organisationen“ des Datenschutzes. Ein neuer Datenschutzbeauftragter muss auf einmal her. Denn der alte Datenschutzbeauftragte soll oder will nicht mehr. In diesem kurzen Beitrag geht es aber nicht um das „Loswerden…