Betroffenenrechte

Auskunftsersuchen – Muster für eine Negativauskunft

Der Inhalt dieses Beitrages stammt aus meinem E-Mail-Newsletter „Datenschutz-Tipps“ (kostenloses Abo hier). Den betreffenden Newsletter hatte ich im August 2018 gesendet. Jetzt mache ich ihn hier auf Nachfrage für Datenschutz-Coaching-Mitglieder in aktualisierter Form zugänglich.

Es geht um einen um einen Fallstrick bei Auskunftsersuchen im Zusammenhang mit sog. Negativauskünften. Negativauskünfte sind Antworten an den Betroffenen, der eine Auskunft verlangt hat, die beinhalten, dass eben keine Daten zu seiner Person gespeichert sind. Aber…da gibt es ein Problem:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Wie lange muss ich die Löschung von Daten von Betroffenen nachweisen können?

Einige Unternehmen (und auch öffentliche Stellen) haben schon Bekanntschaft mit Art. 17 Abs. 1 DSGVO gemacht. In der Norm geht es um den Anspruch auf Löschung von personenbezogenen Daten, der von Betroffenen geltend gemacht werden kann.
In diesem Beitrag geht es nicht um den Anspruch auf Auskunft des Betroffenen zu den zu seiner Person verarbeiteten Daten, sondern eben um deren Löschung.
Ferner geht es auch in diesem Beitrag nicht darum, ob nun gelöscht werden muss und auch nicht wie die Löschung nachgewiesen werden muss.

Sondern allein um diese Frage: Wie lange muss ich nachweisen können, dass ich Daten gelöscht habe?

Die Beantwortung der Frage ist sicher nicht ganz einfach. Und wenn wir zwei Datenschutzrechtler zu der Frage befragen würden, dann würden wir sicher drei verschiedene Meinungen hören.

Genauso trefflich lässt sich schon darüber streiten, wie und in welchem Umfang ich die Löschung von Daten nachweisen können muss. Reicht dazu ein Vermerk, dass ich an Datum XYZ den Datensatz mit der Nr. 1234x gelöscht habe oder muss ich etwa protokollieren, dass ich die Daten „Max Müller, Musterstraße 123, 12345 Musterstadt, E-Mail-Adresse: mueller@mueller.geocities.com, Geburtsdatum: 10.01.1955, Lebensmittelunverträglichkeit: Erdbeerallergie“ am 12.11.2018 gelöscht habe?

Sollte – was durchaus vertreten wird – Letzteres richtig sein, dann „gestalten“ wir uns das sog. Protokollierungsdilemma. Dann sind in den Protokolldaten (Sekundärdaten) nämlich auf einmal mehr Daten als in den Primärdaten. Aus Sicht der Datenminimierung sicher keine gute Idee!

Aber darum geht es in diesem Beitrag ja – wie gesagt – nicht. Vielmehr geht es darum, wie lange ich nun die Löschung nachweisen können muss. Sind es 6 Monate oder ein Jahr, vielleicht 5 Jahre oder 10 Jahre oder gar bis der Betroffene verstorben ist?
Problematisch ist in dem Kontext, dass zu diesem Thema gerne vorgebracht wird, dass aufgrund der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO quasi für ewig die Information über die Löschung vorgehalten werden muss.

Nun…ich sehe das nicht so. Mag sein, dass ich da zu sehr die Anwaltsbrille aufhabe. Aber ich sehe das nun einmal für die Mandanten gerne strategisch – aus einer Sicht des Risikos. Konkret: Wie kann das Risiko, dass einem Mandanten hier wegen eines nicht mehr vorhandenen Löschnachweises Sanktionen drohen, minimiert werden?
Zur Beantwortung dieser Frage müssen wir uns einfach nur einmal anschauen, wie so ein Fall in der Praxis ablaufen würde. Das könnte wie folgt aussehen:

  1. Betroffener verlangt Löschung von Daten am 10.11.2015.
  2. Mandant löscht die „Primärdaten“ am 12.11.2015 und dokumentiert dies in einem Löschprotokoll/-vermerk.
  3. Betroffener verlangt am 14.11.2018 Auskunft bei Mandanten zu seinen Daten? Mandant teilt mit, dass keine Daten zur Person gespeichert wären (mit Ausnahme derer aus diesem Auskunftsersuchen).
  4. Betroffener beschwert sich bei der Aufsichtsbehörde.
  5. Aufsichtsbehörde wendet sich an Mandanten und verlangt Auskunft bzw. Nachweis der Löschung.
  6. Mandant teilt der Aufsichtsbehörde mit, dass keine Nachweise mehr vorhanden sind.

Und dann die Frage: Kann die Aufsichtsbehörde nun ggf. ein Bußgeld verlangen, weil ein Verstoß gegen die DSGVO vorliegt?

Antwort: Das wird sie wohl kaum können. Natürlich könnte man sich auf den Standpunkt stellen, dass die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO, also die Pflicht die Einhaltung der Vorschriften zum Datenschutz nachweisen zu können, „ewig“ gelte. Das würde jedoch nicht nur den Schutz personenbezogener Daten ad absurdum führen (s.o. „Protokollierungsdilemma“), sondern auch die ebenfalls zu berücksichtigenden Grundrechte der Unternehmen wie z.B. das Recht auf unternehmerische Freiheit des Art. 16 der Grundrechte-Charta der EU (GRCh) unverhältnismäßig einschränken.

Als Anwalt würde ich bei der Umsetzung von Betroffenenrechten wie z.B. der Auskunft und Löschung von Daten, immer vor allem dem Fokus darauf setzen, wie lange hier im Falle einer etwaigen Rechtsverletzung ein Bußgeld denkbar wäre. Und zur Beantwortung der Frage müssen wir einen kleinen Blick auf das Ordnungswidrigkeitenrecht werfen.

Nach § 41 BDSG gelten für Bußgelder, die nach Art. 83 DSGVO verhängt werden (sollen), die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Das bedeutet aber auch, dass die Verjährungsvorschriften des OWiG Anwendung finden.

Entscheidend für die Verteidigung von Mandanten in Bußgeldangelegenheiten gegenüber Aufsichtsbehörden ist dann der § 31 OWiG. Denn dort ist die sog. „Verfolgungsverjährung“ geregelt. Und aus § 31 Abs. 2 Nr. 1 OWiG ergibt sich, dass ein Bußgeld wegen eines Verstoßes gegen die DSGVO (oder das BDSG) in drei Jahren verjährt ist. Im Gegensatz zum Zivilrecht beginnt die Verjährungsfrist aber nicht zum Ende des Jahres, sondern ab Begehung der Tat.
Der Tag der Begehung (also z.B. eine fehlerhafte Auskunftserteilung, eine rechtswidrige Datenverarbeitung etc.) zählt dabei als erster Tag der Verjährungsfrist mit.

Im o.g. Beispiel wäre also die „Tat“ der Datenlöschung (und deren Nachweis) am 12.11.2015 begangen worden. Und dabei ist aus anwaltlicher Sicht erst einmal völlig egal, ob es überhaupt eine Rechtsverletzung gab oder nicht. Denn spätestens mit Ablauf des 11.11.2018 wäre die „Tat“ wegen einer dann eingetretenen Verfolgungsverjährung nicht weiter zu ahnden gewesen. Das heißt, eine Aufsichtsbehörde könnte kein Bußgeld mehr verhängen. Es wäre Verjährung eingetreten.

Fazit: Daher empfehle ich Mandanten, den Nachweis der Löschung von Daten für drei Jahre aufzubewahren. Eine Verfolgung einer etwaigen Ordnungswidrigkeit im Hinblick auf eine Verletzung von Betroffenenrechten wäre dann verjährt.

Mit Eintritt dieser Verfolgungsverjährung wäre dann aber auch seitens des Unternehmens zu prüfen, ob ein weiteres Erfordernis für die Speicherung des Nachweises besteht. Das tut es jedoch in der Regel nicht. Insbesondere auch dann nicht, wenn sich aus den Sekundärdaten des Löschungsnachweises wiederum personenbezogene Daten des Betroffenen entnehmen lassen.

Aber Achtung: Wenn die Aufsichtsbehörde während der Verjährungszeit gegen das Unternehmen tätig geworden ist, kann eine Unterbrechung der Verjährung eingetreten sein. Im Zweifelsfall sollte hier dann besser bzgl. der Dauer der Aufbewahrung von Nachweisen mit einem Rechtsanwalt Rücksprache gehalten werden.

Und kleiner Tipp für Anwälte: Wenn in einem Fall klar Verfolgungsverjährung vorlag, bevor die Aufsichtsbehörde ein Bußgeld verhängt hat, dann sind die Kosten und notwendigen Auslagen des Betroffenen der Staatskasse aufzuerlegen (OLG Celle, NJW 1988, 1225). Der Mandant darf sich dann etwas freuen.

Datenschutzbeauftragte im Konflikt zwischen Betroffenem und Unternehmen

Gerade externe Datenschutzbeauftragte gelangen gerne einmal in einen Konflikt. Und zwar dann, wenn ein Betroffener sich mit einer Beschwerde direkt an den Datenschutzbeauftragten wendet. Und dieser stellt dann bei der Prüfung eines Sachverhalts fest, dass die Beschwerde des Betroffenen auch noch begründet ist. Mist.

Nun hat der Datenschutzbeauftragter einen Konflikt, wenn sein Auftraggeber (z.B. das Unternehmen, das ihn zum DSB benannt hat) von ihm erwartet, dass er gegenüber dem Betroffenen darlegt, dass die jeweilige Verarbeitung sehr wohl okay ist, obwohl der DSB selbst meint, dass das dies mitnichten der Fall ist und der Betroffene Recht hat.

Passend dazu wurde mir folgende Frage von einem externen Datenschutzbeauftragten gestellt, die ich etwas umformuliert und verkürzt hier wiedergebe:

Ich habe einen Aspekt zu Betroffenenanfragen (…)

Da Betroffenenanfragen ja dank der Veröffentlichung meiner (eDSB) Kontaktdaten im Zweifelsfall direkt bei mir landen können, kann ich schnell zwischen die Stühle geraten.

Gehen wir mal davon aus, dass ich den Kunden dahingehen beraten habe, dass etwas so ggf. nicht (ganz) rechtskonform ist, der Kunde will den Kurs aber weiter so fahren.

Später bekomme ich eine „Anfrage“, man könnte auch „Ärgerbrief“ sagen: „So geht das ja wohl nicht, was sind Sie denn für ein DSB?!“

Nun stellt sich für diesen externen Datenschutzbeauftragten die Frage, wie hier geschickt reagiert werden kann. Auf der einen Seite möchte man als DSB sicher sein „Gesicht“ wahren und auf der anderen Seite nicht seinen Kunden „in die Pfanne hauen“.

Hier haben wir den Fall, dass die Empfehlung für eine Reaktion in diesem Fall weniger im Datenschutzrecht, sondern vielmehr in der Kommunikation und der Lenkung von Kommunikation liegt.

Bevor ich darstelle, wie diese Probleme im Vorwege besser vermieden werden können, kommt hier zunächst meine Empfehlung für eine Reaktion im konkreten Fall.

Empfehlung für eine Reaktion auf einen „Ärgerbrief“

Wenn Betroffene sich direkt an Datenschutzbeauftragte wenden, dann ist immer genau auf die Worte zu achten. Und vor allem auf das, was mit den Worten bezweckt werden soll. Im juristischen Bereich sprechen wir von dem Begehren, also dem, was der Betroffene tatsächlich möchte.

Wichtig für den weiteren Umgang ist zudem, wie hoch das „Eskalationsrisiko“ eingeschätzt wird. Also die Frage danach, ob der Betroffene sich im nächsten Schritt vielleicht an die Aufsichtsbehörde wendet. Sicher lässt sich dies nie klar einschätzen. Und nur weil jemand mit der Aufsichtsbehörde droht, heißt das noch lange nicht, dass das auch passieren wird. Manchmal beißen bellende Hunde nämlich gar nicht.

Wenn man sich sicher ist, dass eine Eskalation unwahrscheinlich ist, bietet sich an, gar nicht mehr zu reagieren. Ausgenommen hiervon sind die Fälle, in denen das Begehren des Betroffenen sich auch auf die Geltendmachung von Betroffenenrechten richtet (also z.B. Auskunft, Löschung, Berichtigung etc.). Hier ist Vorsicht und vor allem die Einhaltung der Monatsfrist nach Art. 12 Abs. 4 DSGVO geboten.

Wenn ihr euch allerdings nicht sicher seid, dann empfehle ich, zu reagieren. Dies sollte aber relativ unbestimmt und „einfühlsam“ erfolgen. Ich habe hier ein Video für Datenschutz-Coaching-Mitglieder bereitgestellt, in dem ich näher darauf eingehe, wie psychologisch mit Betroffenen bei Auskunftsersuchen umgegangen werden sollte.

Jedenfalls bietet sich bei einem „Ärgerbrief“ oder einer „Ärger-Mail“ mit Eskalationsrisiko z.B. folgender Text an, mit dem ihr als DSB euer Gesicht wahren und zugleich den Kunden nicht „bloßstellt“. Apropos „bloßstellen“. Für externe Datenschutzbeauftragte ist es meiner Meinung nach ein schmaler Grat, der hier zu wandern ist. Denn wenn aus einer Antwort des Datenschutzbeauftragten hervorgehen sollte, dass dieser die Datenverarbeitung des Verantwortlichen für rechtswidrig hält, dann kann hieraus u.U. eine Verletzung einer vertraglichen Nebenpflicht des Vertrages über die Erbringung der Dienstleistungen des Datenschutzbeauftragten gesehen werden. Das wird zwar nicht regelmäßig der Fall sein, aber das Risiko besteht zumindest. Daher ist etwas Vorsicht bei den Formulierungen geboten.

In ähnlicher Weise kann es aber für den Datenschutzbeauftragten selbst ein Problem darstellen, wenn er möglicherweise hier ein „Problem“ herunterspielt und damit selbst offenlegt, dass er seinen Pflichten zur Überwachung der Einhaltung der DSGVO beim Unternehmen vielleicht nicht oder nicht sorgfältig genug nachgekommen ist. Es ist also – wie gesagt – ein schmaler Grat.

Wenn nun also ein Datenschutzbeauftragter eigentlich meint, dass die Verarbeitung des Unternehmens rechtswidrig ist, das Unternehmen dies aber anders sieht, dann kann gegenüber dem Betroffenen z.B. so formuliert werden:

Sehr geehrte Frau / sehr geehrter Herr,

vielen Dank für Ihre Nachricht. Ich habe diese zum Anlass genommen, noch einmal mit der zuständigen Abteilung des Unternehmens zu sprechen. Man ist dort jedoch der Auffassung, dass die Verarbeitung rechtmäßig ist.

Auf die Datenschutzhinweise des Unternehmens, die Sie hier finden, habe ich ja bereits schon hingewiesen. Sollten Sie noch weitere Fragen haben, können Sie sich gerne an das Unternehmen oder mich wenden.

Mit freundlichen Grüßen

Beim Wort „Unternehmen“ sollte natürlich dann der jeweils richtige Name des Unternehmens angegeben werden.

Der letzte Absatz mit dem Verweis auf die Datenschutzhinweise ist wichtig. Denn in den Datenschutzhinweisen sollte sich dann die Information finden, dass ein Beschwerderecht bei der Aufsichtsbehörde besteht. Natürlich könnte man auch direkt in der Antwort auf das Beschwerderecht hinweisen. Das wäre aus Sicht einer Deeskalation jedoch kontraproduktiv, denn dann würde der Betroffene quasi noch einmal mit der Nase darauf gestupst werden, sich an eine Aufsichtsbehörde zu wenden. Und genau das wollen sicher Datenschutzbeauftragte und Unternehmen nicht.

Wie dieser Konflikt besser vermieden werden kann

Um es vorwegzunehmen: Ich kann jedem Unternehmen nur empfehlen, Anfragen von Betroffenen nach Möglichkeit so zu steuern, dass diese nicht direkt an den Datenschutzbeauftragten, sondern an ein internes „Datenschutzteam“ (DST) gehen. Das kann dann entweder (meine Empfehlung) ein echtes Datenschutzteam sein oder eine entsprechende Sparte der Support-Abteilung bzw. des Kundendienstes. Wer mehr über Datenschutzmanagement und die Umsetzung durch ein DST erfahren möchte (gerade für KMU), dem empfehle ich diesen Beitrag von mir hier (inkl. Muster eines Datenschutzhandbuchs).

Allerdings kann ein Unternehmen nicht verhindern, dass ein Betroffener sich direkt an den Datenschutzbeauftragten wendet. Schon vor Geltung der DSGVO war die Rechtslage im „alten“ BDSG so, dass der Datenschutzbeauftragte „Anlaufstelle“ für Betroffene war. Wörtlich hieß es dort: „Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.“

Eine entsprechende Regelung gibt es auch in der DSGVO. Denn nach Art. 38 Abs. 4 DSGVO können „betroffene Personen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.“

Wenn der Betroffene also möchte, kann er sich jederzeit direkt an den Datenschutzbeauftragten wenden. Übrigens ist der Datenschutzbeauftragte in diesen Fällen durch den Verweis von § 38 Abs. 2 BDSG auf § 6 Abs. 5 Satz 2 BDSG zur Verschwiegenheit bzgl. der Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit er nicht davon durch die betroffene Person befreit wird. Hier kann man sich als Datenschutzbeauftragter also theoretisch (und manchmal praktisch) auch noch einmal in die Nesseln setzen.

Also noch ein Grund mehr für Unternehmen übrigens, eine „Anlaufstelle“ für Datenschutzanfragen einzurichten, die nicht der Datenschutzbeauftragte ist. Aber wie lenke ich die Kommunikation nun so, dass Anfragen auch tatsächlich bei dieser Anlaufstelle und nicht beim Datenschutzbeauftragten landen? Das kann ich „neudeutsch“ etwas „nudgen“. Das bedeutet, dass ich den Betroffenen in die gewünschte Richtung „stupsen“ kann. Das sollte also kein Drücken oder Pressen sein, sondern ein „Stups“ in die richtige Richtung. Und das ist gar nicht schwer. Natürlich muss in den Datenschutzhinweisen eine Kontaktmöglichkeit zum Datenschutzbeauftragten angegeben werden.

Ich sollte es dem Betroffenen dann aber so einfach wie möglich machen, Fragen zum Datenschutz zu stellen. An ein Support-Team. Hierfür gebe ich eine klare E-Mail-Adresse oder ein Kontaktformular (bitte mit verschlüsselter Übertragung der Formulardaten) für Datenschutzfragen an. Es sollte dem Betroffenen sozusagen entgegenspringen, dass er – wenn er Fragen hat – sich am besten direkt über den angegebenen Weg beim Unternehmen melden kann. Mit dem Gefühl, dass es dort die schnellste Hilfe gibt.

Und das hat immense Vorteile. Gerade, wenn ein Unternehmen viele Datenschutzanfragen bekommt, wird der Datenschutzbeauftragte nicht überlastet. Und er wird vor allem auch „aus der Schusslinie“ genommen. Die Betroffenenrechte selbst sind zudem primär gegenüber dem „Verantwortlichen“, also dem Unternehmen geltend zu machen. Der Datenschutzbeauftragte kann bezüglich der Geltendmachung von Betroffenenrechten lediglich „zu Rate gezogen“ werden – so die Formulierung in Art. 38 Abs. 4 DSGVO. Es passt also auch in der Sache selbst, wenn ein Unternehmen diesen Weg einer Anlaufstelle (außerhalb des Datenschutzbeauftragten) wählt.

Durch diese Herangehensweise wird ein möglicher Konflikt des Datenschutzbeauftragten im Hinblick auf seine Rolle als Ansprechpartner für Betroffene auf der einen Seite und – auf der anderen Seite – seiner Aufgabe, die Einhaltung der DSGVO beim Unternehmen zu überwachen bzw. überwacht zu haben, von Anfang an besser vermieden.

Gleichwohl macht es erfahrungsgemäß Sinn, den Datenschutzbeauftragten in Anfragen einzubinden, wenn diese nicht durch maximal zwei Antworten abgeschlossen werden können oder wegen anderer Umstände eine Beschwerde bei der Aufsichtsbehörde zu befürchten ist.

Der Datenschutzbeauftragte wird dann sozusagen als 2nd-Level-Support eingebunden, der also bei komplexeren Eingaben von Betroffenen hinzugezogen wird.

Letztlich muss das alles zum Unternehmen und in die bestehenden Abläufe passen. Es spricht jedoch vieles dafür, den Datenschutzbeauftragten nicht direkt als „einzigen“ Ansprechpartner nach außen darzustellen. Manchmal wird dies allerdings – gerade bei kleineren Unternehmen – kaum anders möglich sein. Dessen bin ich mir bewusst. Wenn die Ressourcen es jedoch hergeben, würde ich unbedingt die o.g. Vorgehensweise bzw. eine ähnliche empfehlen.

Aufzeichnung des Webinars „DSGVO-Coaching: Modul 5 – Die DSGVO-Betroffenenrechte“

Liebe Coaching-Teilnehmer, Hier findet ihr die Aufzeichnung des Webinars „DSGVO-Coaching: Modul 5 – Die DSGVO-Betroffenenrechte“: Die Folien der Präsentation (PDF) könnt ihr hier herunterladen.
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden