Auskunftsersuchen

Auskunftsersuchen – Muster für eine Negativauskunft

Der Inhalt dieses Beitrages stammt aus meinem E-Mail-Newsletter „Datenschutz-Tipps“ (kostenloses Abo hier). Den betreffenden Newsletter hatte ich im August 2018 gesendet. Jetzt mache ich ihn hier auf Nachfrage für Datenschutz-Coaching-Mitglieder in aktualisierter Form zugänglich.

Es geht um einen um einen Fallstrick bei Auskunftsersuchen im Zusammenhang mit sog. Negativauskünften. Negativauskünfte sind Antworten an den Betroffenen, der eine Auskunft verlangt hat, die beinhalten, dass eben keine Daten zu seiner Person gespeichert sind. Aber…da gibt es ein Problem:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Auskunftsersuchen: So ist der „DSGVO-Horrorbrief“ zu beantworten

Ich habe jetzt schon von einigen betroffenen Unternehmen und auch Mandanten Anfragen zu dem „DSGVO-Horrorbrief“ bekommen. Ich nehme das zum Anlass, in einem kleinen Video einmal den „Horrorbrief“ durchzugehen. Was muss wie beantwortet werden? Und worauf hat der Betroffene keinen Anspruch?

Ihr kennt den DSGVO-Horrorbrief nicht? Dann findet ihr mehr Infos in diesem Artikel von Roman Abashin hier.

Und hier ist ein Auszug aus dem DSGVO-Horrorbrief:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Datenschutz-Tipp Nr. 8: Auskunftsersuchen – Wie Sie richtig Auskunft nach § 34 BDSG erteilen (Teil 3)

Willkommen zum vorerst letzten Teil über die Auskunftserteilung nach § 34 BDSG. Ich werde mich heute kurz fassen. Eine kleiner grippaler Infekt möchte meinen Körper unbedingt dazu bewegen, sich in die Waagerechte zu begeben. Ich werde da nicht lange stand halten können.

Es gibt Situationen für Unternehmen, in denen Sie in den Genuss kommen, keine Auskunft erteilen zu müssen. Und das entweder, weil es gesetzliche Ausnahmen gibt, oder weil das BDSG – wie in anderen Bereichen auch – verfassungskonform auszulegen ist. Zu meinen Mandanten gehören auch Betreiber von Suchmaschinen im Internet. Stellen Sie sich einmal vor, wie da ein Auskunftsanspruch einer Person beantwortet werden soll. Man dürfte regelrechte Bücher drucken – bei einigen Personen mehrere Bände.

Wann muss denn nun nicht beauskunftet (Achtung: Behördendeutsch) werden?

Die Antwort steht in § 34 Abs. 7 BDSG. Schauen Sie da bitte einmal ins Gesetz, oder….warten Sie…ich helfe Ihnen dabei. § 34 Abs. 7 BDSG enthält folgende Regelung:

Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist.
Alles klar? Auch wenn Verweisungen rechtstechnisch durchaus sinnvoll sein können, erleichtern Sie nicht gerade das Verständnis des interessierten Lesers.

Verstehen Sie es richtig? Also dann steht die Lösung in § 33 BDSG oder was hat der Gesetzgeber wohl damit gemeint?

Sie liegen richtig. Das hat er gemeint. § 33 regelt die Benachrichtigung des Betroffenen über die Speicherung seiner Daten durch das jeweilige Unternehmen. Und dort sind Ausnahmen von der Benachrichtigungspflicht geregelt, die zumindest teilweise dann entsprechend auch für Auskunftsansprüche gelten sollen.

Da ich mich heute kurz fassen darf, präsentiere ich Ihnen jetzt einfach die geballte Zusammenfassung der Ausnahmen von der Auskunftspflicht. Leicht vereinfacht formuliert müssen Sie keine Auskunft an den Betroffenen erteilen,

  1. wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund von Aufbewahrungsvorschriften (vertragliche oder gesetzliche) nicht gelöscht werden dürfen und eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde,
  2. wenn die Daten ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen und eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde,
  3. wenn eine gesetzliche Geheimhaltungspflicht besteht oder die Geheimhaltung wegen der überwiegenden rechtlichen Interessen eines Dritten geboten ist,
  4. wenn die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Auskunfserteilung einen unverhältnismäßigen Aufwand erfordern würde,
  5. wenn die Daten für eigene Zwecke gespeichert sind und aus allgemein zugänglichen Quellen entnommen sind und eine Auskunftserteilung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist,
  6. wenn die Daten für eigene Zwecke gespeichert sind und die Auskunftserteilung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Auskunftstinteresse die Gefährdung überwiegt.

In der Praxis dürfte für die meisten Unternehmen die Nummer 5 relevant sein.
Für Suchmaschinenbetreiber habe ich Auskunftsersuchen in der Praxis unter Hinweis auf die als Nummer 5 angegebene Ausnahme erfolgreich verweigern können. Allerdings gibt es hier einen kleinen rechtlichen Leckerbissen. Denn nach Rechtsprechung des BGH gilt für Suchmaschinen (und z.B. Bewertungsportale) im Internet § 29 BDSG, nicht aber § 28 BDSG. Das sagen Sie aber natürlich niemandem weiter. Da vertraue ich auf Ihre Loyalität.

Aber Spaß beiseite. Das ist ein Beispiel dafür, dass sowohl der § 34 BDSG als auch der § 29 BDSG verfassungskonform dahingehend ausgelegt werden müssen, dass eine Auskunft für Telemediendienste im Internet, die wesentliche Dienste für die Informationsfreiheit erbringen, nicht zur Anwendung kommt, wenn eine eine Auskunftserteilung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist.

Sie merken daran, dass das BDSG mit der modernen Informationsgesellschaft und dem Internet nicht wirklich zurande kommt. Es liegt auf der Hand, dass § 29 BDSG etwas gänzlich anderes regeln sollte als Internetdienste. Dies hat allerdings in der Rechtsprechung nur das OLG Köln erkannt. Die Entscheidung wurde jedoch durch den BGH aufgehoben. Da ging es übrigens um die Bewertungsplattform „spickmich.de“.

Ich werde mich jetzt in die Waagerechte begeben und hoffe, dass ich am Montag wieder fit bin.

Bis dahin…

Letzte Aktualisierung | letzter Aktualisierungscheck: 29.05.2016

Datenschutz-Tipp Nr. 6: Auskunftsersuchen – Wie Sie richtig Auskunft nach § 34 BDSG erteilen (Teil 1)

Mal ehrlich: Hat Ihr Unternehmen schon einmal ein Auskunftsersuchen nach § 34 BDSG erhalten?

Böse Zungen behaupten sogar, dass das Auskunftsersuchen in der Praxis am häufigsten als Mittel der Anwälte zum Ärgern des Gegners genutzt werde (und ansonsten eher selten vorkomme). Und zwar dann, wenn der eigentliche Hauptanspruch des Mandanten wackelig ist. Das Eröffnen eines solchen Nebenkriegsschauplatzes wie einem Auskunftsersuchen (gleiches gilt für die Anforderung des Verfahrensverzeichnisses für jedermann) kann durchaus die Motivation der Gegenseite stärken, dem Hauptinteresse des Mandanten nachzukommen, um so vielleicht um die begehrte Auskunft umhin zu kommen.

Wie Sie auf ein Auskunftsersuchen nach § 34 BDSG in der Praxis reagieren sollten, erklären wir am besten an einem kleinen Beispiel:

Am Montag Morgen kommen Sie gut gelaunt ins Büro. Die gute Laune hält an, bis Sie einen Blick in Ihr E-Mail-Postfach werfen. Dort finden Sie eine Nachricht von Max Dornbarsch (Name frei erfunden) mit dem Betreff „Auskunft nach § 34 BDSG“ vor.

Solche E-Mails finden Sie übrigens ganz klassisch am Montag Morgen, da einige Leute gerne das Wochenende dazu nutzen, Frust und Ärger abzubauen. Aber Spaß beiseite, natürlich ist ein Auskunftsersuchen zunächst einmal ein berechtigtes Anliegen eines Betroffenen, ja ein Betroffenenrecht.

Folgender Text stand in der E-Mail:

Sehr geehrte Damen und Herren,

gemäß § 34 Bundesdatenschutzgesetz (BDSG) fordere ich Sie auf, mir folgende Auskünfte zu erteilen:

  1. Über welche gespeicherten Daten zu meiner Person verfügen Sie und woher haben Sie diese Daten?
  2. An welche Empfänger oder sonstige Stellen werden diese Daten weitergegeben?
  3. Zu welchem Zweck erfolgt diese Speicherung?

    Ich widerspreche gemäß § 28 Absatz 4 BDSG der Nutzung und Übermittlung meiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung. Sie sind daher verpflichtet, die Daten unverzüglich für diese Zwecke zu sperren.

    Ich setze Ihnen zur Erfüllung meiner Forderungen eine Frist bis zum 01.09.2010.

    Sollten Sie dieses Schreiben ignorieren, werde ich mich an den zuständigen Landesdatenschutzbeauftragten wenden. Außerdem behalte ich mir weitere rechtliche Schritte vor.

Der fachkundige, auskunftserprobte Leser kennt den Wortlaut dieses Textes vielleicht. Er stammt aus einem sehr beliebten Musterschreiben der geschätzten (und das meine ich ernst) Verbraucherzentrale Bundesverband (vzbv).

Ein solche E-Mail kann Ihnen schon einmal die Laune verderben. Wie Sie bei Laune bleiben, das dürfen Sie in diesem Tipp (und den Folgenden erfahren).

Identifikationsfragen

Bei der Beantwortung von Auskunftsersuchen nach § 34 BDSG sollten Sie zunächst daran denken, dass Sie nicht Auskünfte über Personen an Personen erteilen, die die Auskünfte gar nicht haben dürfen. Ich spreche hiermit das Thema an, dass in der Praxis durchaus Auskunftsersuchen von Personen vorkommen können, die sich als eine andere Person ausgeben. Dafür sind E-Mail und Telefon prädestiniert, denn im Gegensatz zu einem schriftlichen Auskunftsersuchen kann ich nicht wissen, ob die Person, an die ich die Auskunft erteile, wirklich die Person ist, die sie vorgibt zu sein, da die Kommunikationsform eine Zuordnung des Empfängers erschwert. Alles verstanden?

Einfacher formuliert: Sie müssen bei Auskunftsersuchen per E-Mail oder Telefon Sorge dafür tragen, dass eine gewisse Identifizierung des Anfragenden erfolgt. Wir wollen schließlich nicht – bezogen auf unser Beispiel – dass Daten über die Person Max Dornbarsch an Frau Emily Müller erteilt wird, die sich lediglich in der E-Mail als Max Dornbarsch ausgegeben hat.

Aber wie machen Sie das in der Praxis? Schließlich kann ein Betroffener seinen Auskunftsanspruch nach § 34 BDSG formlos geltend machen – und damit eben auch per Telefon oder E-Mail.

Im Falle des Telefons kann es eine Möglichkeit darstellen, den Betroffenen zurückzurufen, z.B. unter der Rufnummer, die Sie ggf. von ihm gespeichert haben, oder in dem Sie z.B. sich am Arbeitsplatz des Betroffenen zu diesem unter Angabe des Namens durchstellen lassen. So macht das in der Praxis z.B. häufig die Polizei, wenn der Beamte bei einem telefonischen Auskunftsersuchen anbietet, dass der Gesprächspartner im Zweifel bei der lokalen Polizeidienststelle anruft und sich zum Sachbearbeiter durchstellen lässt.

Oder falls Sie weitere Daten über die betreffende Person haben wie z.B. ein Geburtsdatum – dann fragen Sie am Telefon doch einfach nach dem Geburtsdatum, um sicherer zu gehen, dass der Auskunftsanspruch auch von der richtigen Person geltend gemacht wird.

Bei E-Mail-Anfragen ist die Lage schwieriger. Hier könnte die Identität durch die Vorlage von Ausweiskopien (Scans) festgestellt werden, die ergänzend angefragt werden könnten. Allerdings bestehen gegen diese Erhebung von personenbezogenen Daten aus einem Personalausweis wiederum datenschutzrechtliche Bedenken, so dass ich davon eher abraten würde. Da bis dato noch keine flächendeckende Signaturinfrastruktur besteht, sind entsprechende Identifizierungen über die elektronische Signatur, noch Zukunftsmusik.

Sie könnten aber z.B. auch per E-Mail wiederum ergänzende Informationen vom Absender der E-Mail erfragen, die dieser wahrscheinlich nur wissen kann, wenn er die betreffende Person ist, für die er sich ausgibt. Das kann z.B. ein Geburtstag oder das von ihm gewählte Pseudonym sein (z.B. der Benutzername im Bestellsystem eines Online-Shops). Die Mitteilung von Passwörtern per E-Mail sollten Sie tunlichst nicht verlangen, sofern die Zusendung wiederum in einer unverschlüsselten E-Mail erfolgt. Das gefährdet die Sicherheit der IT-Systeme und die Ihrer Kunden. Also lassen Sie das besser. Denn eine unverschlüsselte E-Mail ist aus Datensicherheitssicht nicht anders zu bewerten als eine Postkarte. Und Sie würden wohl auch nicht Passwörter auf Postkarten versenden, oder?

Manchmal hilft auch eine Internetrecherche weiter. Wenn die E-Mail z.B. von einer Domain stammt, die auf den Namen der Person registriert ist, von der sie Daten gespeichert haben, dann spricht vieles dafür, dass das die erforderlichen Identifizierungsanforderungen vorliegen. Entsprechende Recherchen können Sie in den im Internet frei zugänglichen WHOIS-Datenbanken für die jeweiligen „Top-Level-Domains“ (z.B. .de, .com, .eu, .nic usw.) selbst machen. Wenn Sie das selbst nicht können…Sie haben sicher einen halbwegs technisch versierten Mitarbeiter, der Ihnen dabei behilflich ist.

Bei schriftlichen Anfragen, die als Brief zu Ihnen gelangen, ist die Identifizierung erst einmal unproblematisch, wenn Sie Daten über die Person haben, die als Absender angegeben ist.

Vorsicht ist bei Fax-Anfragen geboten. Ein Fax ist nicht wesentlich sicherer als eine E-Mail, soweit es um die Identifizierung geht. Auch eine Faxnummer kann gefälscht werden. Sie sollten versuchen, die Person zurück zu rufen oder ergänzende Informationen per Fax zu verlangen (s.o.), um die Identifizierung der Person sicherer vornehmen zu können.

Form der Auskunft

Eine häufige Frage ist, ob Sie auf ein Auskunftsersuchen per E-Mail in einer E-Mail antworten dürfen oder nicht. Hintergrund ist die fehlende Sicherheit von unverschlüsselten E-Mails vor der unbefugten Kenntnisnahme durch Dritte.

Nach § 34 Abs. 6 BDSG ist die Auskunft grundsätzlich in Textform zu erteilen. Textform ist weniger als Schriftform, so dass auch Fax und E-Mail als Auskunftsvariante in Betracht kommen.

Zur Risikominimierung bei der Geltendmachung etwaiger Unterlassungs- oder Schadensersatzansprüche sollten Sie auf eine E-Mail-Auskunftsanfrage aber nur dann per E-Mail Auskunft erteilen, wenn Sie den Empfänger zunächst darauf hinweisen, dass E-Mail ein unsicheres Kommunikationsmedium ist, und Sie eine Auskunft nur erteilen, wenn er per E-Mail mitteilt, die Auskunft trotz der Sicherheitsbedenken dennoch per E-Mail erhalten zu wollen.

Das klingt hölzern, Sie sollten es aber tun. Viele Betroffene wissen gar nicht, wie schnell Daten aus E-Mails in fremde Hände und damit in die große weite Welt gelangen können.

Von der Textform dürfen Sie absehen, wenn wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist – so das Gesetz.

So kann es durchaus zulässig sein, eine Auskunft bei einer telefonischen Auskunftsanfrage (nach entsprechender Identifzierung, s.o.) direkt telefonisch zu erteilen, wenn die jeweilige Person es gerne möchte. Hier dürfen Sie durchaus „kundenfreundlich“ sein. Datenschutzrecht ist schließlich nicht dazu gedacht, sich „kundenunfreundlich zu verhalten. Ganz im Gegenteil.

Was die Auskunft beinhalten muss, und wie Sie ggf. drum herum kommen, dazu erfahren Sie in den kommenden Tagen mehr.

Bis dahin…

Letzte Aktualisierung | letzter Aktualisierungscheck: 29.05.2016

Datenschutz-Tipp Nr. 7: Auskunftsersuchen – Wie Sie richtig Auskunft nach § 34 BDSG erteilen (Teil 2)

Im letzten Tipp haben wir uns das Thema erarbeitet, wie Sie feststellen, ob Sie an eine Person, die Auskunft verlangt, auch Auskünfte erteilen dürfen.
Heute wollen wir einmal klären, wie die Auskunft denn in der Praxis aussehen kann. Was muss rein und was nicht…

Der Umfang der Auskunft ist zunächst vom Wunsch des Betroffenen abhängig. Wenn dieser z.B. nur Auskunft über Daten haben möchte, die zu einem bestimmten Zeitraum über ihn gespeichert waren, so besteht kein Grund dafür, ihm eine vollständige Auskunft über die fehlenden Zeiträume zu erteilen.

Wenn der Betroffene keine Einschränkung vorgenommen hat, dann ist die Auskunft in vollem Umfang zu erteilen.

Voller Umfang bedeutet, dass alle personenbezogenen Daten des Betroffenen, die in automatisierten Verfahren gespeichert sind, mitgeteilt werden müssen. Dabei ist es nicht von Belang, ob die Daten gesperrt sind oder nicht. Es sind alle Daten zu benennen, die zur Person des Betroffenen gespeichert sind.

Was in der Praxis häufig nicht bekannt ist, ist, dass auch die Bezeichnung der jeweiligen Dateien, in der die Daten gespeichert sind, zu benennen sind. In der rechtswissenschaftlichen Literatur wird dies unter Hinweis auf ein Urteil des Hessischen Verwaltungsgerichthofs (Beschluss vom 17.12.1990, Az.: 7 UE 1984) so vertreten. Begründet hat das Gericht das damit, dass sich aus den Dateibezeichnungen die Selektionskriterien für die Aufnahme in die Datei ergeben würden. Meiner Meinung nach ist diese Entscheidung nicht mehr mit der heutigen IT-Praxis ein Einklang zu bringen. In Zeiten von virtualisierten Server- und Datenbankumgebungen sind Dateibezeichnungen nicht mehr zeitgemäß. Ich würde die Nichtangabe von Dateibezeichnungen, sofern diese nicht konkret angefordert werden, derzeit nicht für rechtswidrig halten.

Neben den Angaben zu Daten, die über die Person des Betroffenen gespeichert sind, ist Auskunft über die Empfänger oder Empfängerkategorien zu erteilen.

Nach der wohl herrschenden Auffassung in der rechtswissenschaftlichen Literatur muss ein Empfänger dabei nicht Dritter, also nicht unbedingt ein anderes Unternehmen sein. Auch eine interne Weitergabe im Unternehmen soll daher vom Auskunftsanspruch umfasst sein, um interne Datenflüsse nachvollziehen zu können. Allerdings ist die Begründung hierfür ziemlich „dünn“. Die Literatur zitiert sich quasi selbst im Kreis, und eine Begründung für diesen erweiterten Umfang fehlt. Weder das Gesetz noch die Gesetzesbegründung gibt Anlass zur Annahme, dass über die interne Datenflüsse Auskunft erteilt werden müsste. Eine Ausnahme hiervon besteht lediglich meiner Überzeugung nach für Auftragsdatenverarbeiter (der ist nach § 3 Abs. 8 BDSG nicht „Dritter“). Hier ist ein Interesse des Betroffenen auf Auskunft nachvollziehbar.

Einigkeit besteht also in jedem Fall darüber, dass Sie Auskunft erteilen müssen, über die Unternehmen oder Personen, an die Sie Daten über den Betroffenen übermittelt oder im Rahmen eines Auftragsdatenverarbeitungsverhältnis weitergegeben haben. Dabei reicht eine einmalige Übermittlung aus. Dabei soll – soweit möglich – auch die Adresse der Empfänger angegeben werden.

Für den Fall, dass die Daten der Person regelmäßig bzw. nicht nur einmalig an bestimmte Kategorien von Empfängern (z.B. Adresshändler, Kreditinstitute etc.) hat der Betroffenen auch Anspruch auf Mitteilung der Empfängerkategorien.

Denken Sie bitte auch daran, dass Sie jeweils den Zweck der Speicherung der Daten über die Person angeben müssen.

Wenn Sie aufmerksam gelesen haben, dann ist Ihnen bewusst geworden, dass der Auskunftsanspruch und dessen konkrete Ausgestaltung eine ganz wesentliche Auswirkung auf Ihre IT-Systeme hat bzw. haben sollte. Wenn Ihre Datenbanken z.B. kein Zweckfeld vorsehen, dann werden Sie es ggf. schwer haben, die Zwecke im Einzelnen zu benennen.

Schwierig wird es übrigens auch, wenn Sie nicht protokollieren, wann, an wen, welche Daten über Personen übermittelt/weitergegeben wurden.

Sie tun also gut daran, technische und organisatorische Maßnahmen dafür zu treffen, dass diese Anforderung in der Praxis eingehalten werden kann. Es liegt auf der Hand, dass die Umsetzung in der Praxis manchmal nicht gerade einfach ist. Auch hier dürfen Sie kreativ werden.

Bis dahin…

Letzte Aktualisierung | letzter Aktualisierungscheck: 29.05.2016