17
Aug
2015

Datenschutz und IT-Recht

Esche Datenschutz-Checkliste: Gerne erteilen wir Ihnen Auskunft zu Ihren personenbezogenen Daten!

Dr. Frank Bongers

Eine sehr praxisrelevante und dabei häufig unterschätzte Herausforderung ist das Auskunftsverlangen eines Betroffenen. Betroffener ist nach dem Bundesdatenschutzgesetz (BDSG) die Person, zu der Daten gespeichert wurden. Jede Person hat nach § 34 BDSG gegenüber jeder Stelle, die personenbezogene Daten zu dieser Person gespeichert hat, Anspruch auf umfassende Auskunft über die gespeicherten Daten. Unrichtige oder unvollständige Auskünfte sind in der Praxis einer der Hauptgründe, aus denen verantwortliche Stellen von den Datenschutz-Aufsichtsbehörden angehört werden. Eine korrekte Auskunft wird durch die richtige Vorbereitung nicht nur erleichtert, die richtige Vorbereitung ist sogar Voraussetzung für die korrekte Auskunftserteilung und damit für die Vermeidung von Bußgeldern.

Datenschutzrechtliche Standard-Situationen Schritt für Schritt meistern: Dabei unterstützen die ESCHE-Datenschutz-Checklisten.

Phase 1: Vorbereitung der Auskunftserteilung

  • Regelung der Zuständigkeit für die Erteilung einer Auskunft
  • Implementierung eines Systems, das die Auffindbarkeit der Angaben, die gespeichert sind, sicherstellt. Dies betrifft
    • Sämtliche personenbezogenen Daten
    • Angabe zum Zweck der Speicherung des jeweiligen Datums
    • Empfänger oder Kategorien von Empfängern des jeweiligen Datums
    • Angabe zur Herkunft des jeweiligen Datums
  • Achtung: Der Auskunftsanspruch umfasst auch gesperrte Daten
  • Sind personenbezogene Daten zum Zweck der Werbung an eine andere Stelle übermittelt oder bei einer anderen Stelle erhoben worden: Sicherstellung der Speicherung der Herkunft der Daten sowie der Empfänger für mindestens 2 Jahre
  • Beim Einsatz von Scoringverfahren: u. a. Sicherstellung der Verfügbarkeit
    • der in den jeweils letzten 6 Monaten bis zu einem Auskunftsverlangen erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte
    • der zur Berechnung genutzten Datenarten sowie
    • der Angaben über das einzelfallbezogene Zustandekommen und die einzelfallbezogene Bedeutung der Wahrscheinlichkeitswerte
  • Wenn Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert: Dokumentation der Herkunft und der Empfänger der Daten (weil sich in diesen Fällen die Auskunft auf diese Angaben auch dann erstreckt, wenn sie nicht gespeichert sind)

Phase 2: Auskunftserteilung

  • Ggf. Aufforderung des Betroffenen, die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher zu bezeichnen
  • Ermittlung sämtlicher gespeicherter personenbezogener Daten der auskunftsverlangenden Person
  • Ggf. Entsperrung gesperrter Daten
  • Ggf. Bildung sachgerechter Oberbegriffe, welche dem Interesse des Betroffenen an der Auskunft ausreichend Rechnung tragen (z. B. Korrespondenz zum Thema x)
  • Prüfung, ob eine Auskunftserteilung ausgeschlossen ist, weil

    • personenbezogene Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen und zugleich eine Auskunft einen unverhältnismäßigen Aufwand erfordern würde
    • die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheim gehalten werden müssen
    • die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde
    • die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde, die Daten für eigene Zwecke gespeichert sind und

      • entweder aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, oder
      • die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt

  • Erstellung der Auskunft in Textform mit mindestens folgenden Angaben
    • Personenbezogene Daten
    • Daten zur Herkunft der personenbezogenen Daten
    • Empfänger oder Kategorien von Empfängern
    • Zweck der Speicherung
  • Beim Einsatz von Scoringverfahren: Erstreckung der Auskunft auf die oben in Phase 1 in Bezug auf Scoringverfahren genannten zusätzlichen Angaben
  • Wenn Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert:
    • Erteilung der Auskunft auch bzgl. solcher Daten, die nicht automatisiert oder in nicht automatisierten Dateien gespeichert sind
    • Auskunft über Daten, die noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit der Auskunftserteilung von der verantwortlichen Stelle hergestellt werden kann
    • Auskunft über Daten, die die verantwortliche Stelle nicht gespeichert hat, aber zum Zwecke der Auskunftserteilung nutzt
  • Wenn Daten nicht nur geschäftsmäßig zum Zwecke der Ermittlung gespeichert werden, sondern diese auch erhoben und verändert werden:
    • Auskunft über die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunftsverlangens übermittelten Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten des Betroffenen sowie die Namen und letztbekannten Anschriften der Dritten, an die die Werte übermittelt worden sind
    • Auskunft über die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von der Stelle zur Berechnung angewandten Verfahren ergeben
    • die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten sowie
    • das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form
    • Auskunft bzgl. der vorstehenden Punkte auch dann, wenn der Personenbezug erst bei der Berechnung hergestellt wird oder bei einer anderen Stelle gespeicherte Daten genutzt werden
  • In Bezug auf die Angaben zur Herkunft und die Empfänger: Prüfung, ob im Einzelfall das Interesse der verantwortlichen Stelle an der Wahrung von Geschäftsgeheimnissen gegenüber dem Informationsinteresse des Betroffenen überwiegt
  • Einhaltung der Textform, soweit nicht eine andere Form im Einzelfall angemessen
  • Prüfen, ob ausnahmsweise ein Entgelt für die Auskunft in Betracht kommt (zweite Auskunft im Kalenderjahr durch Stelle, die geschäftsmäßig Daten zum Zwecke der Übermittlung speichert)

Autoren: Dr. Frank Bongers und Dr. Karsten Krupna

Siehe auch:

» zur Übersicht