Wie bearbeite ich ein Auskunftsersuchen nach Art. 15 DSGVO?

Die DSGVO räumt natürlichen Personen umfassende Rechte über die sie betreffenden Daten ein. Das am meisten eingeforderte Recht ist die Frage nach Auskunft über die von einem Betroffenen verarbeiteten Daten gem. Art. 15 DSGVO. In diesem Beitrag erfahren Sie, welche Fallstricke es gibt und wie Sie diese Anfragen rechtssicher beantworten.

Inhaltsverzeichnis:

1 Einleitung

2 Das Auskunftsrecht nach Art. 15 DSGVO

3 Begriffsklärung „personenbezogene Daten“ und „verarbeiten“

4 Anfrage erhalten

5 Fristen bei der Bearbeitung

6 Vorgehen bei der Bearbeitung

7 Aufbewahrung zu Nachweiszwecken

8 Toolunterstützung

Einleitung

Die DSGVO versteht den Schutz natürlicher Personen bei derVerarbeitung von Daten (und damit den Schutz von Daten natürlicher Personen)als Grundrecht. Vor dem Hintergrund der informationellen Selbstbestimmung räumt die DSGVO natürlichen Personen umfassende Rechte über die sie beziehbaren Daten ein. Diese Rechte werden gemeinhin als Betroffenenrechte bezeichnet und sind inden Artikeln 12 bis 23 der DSGVO dargelegt. Betroffene sollen ihre Rechte möglichst unkompliziert bei Verantwortlichen geltend machen können.Verantwortliche sollen diesen Anfragen unverzüglich, spätestens jedoch 30 Tagen ach Erhalt der Anfrage, entsprechen

Das Auskunftsrecht nach Art. 15 DSGVO

Das Auskunftsrecht stellt in der Praxis vermutlich das bekannteste und am häufigsten ausgeübte Betroffenenrecht dar. Eine natürlichePerson möchte wissen, ob personenbezogene Daten über sie verarbeitet werden und welche das sind.

Eine solche Anfrage stellt viele Unternehmen vor großeHerausforderungen, denn gemäß Guidelines01/2022on data subject rights - Right of access des European DataProtection Board (nachfolgend EDPB genannt) ist sowohl der Begriff der Verarbeitung sowie die Definition von personenbezogenen Daten weit auszulegen.

Personenbezogene Daten werden in Unternehmen (in derTerminologie der DSGVO „Verantwortliche“ genannt) heutzutage bewusst oderunbewusst in unterschiedlichen Formen und Systemen verarbeitet. Nebenklassischen Datenspeichern, wie einer Kundendatenbank (neudeutsch: CustomerRelationship Managementsystem / CRM) werden personenbezogene Daten auch imTicketsystem des Customer Support, in Buchhaltung, Vertragsverwaltung,Personalverwaltung, E-Mail Servern bis hin zu Logdateien in Webservern verarbeitet. Nicht zu vergessen sind Services, die von Drittparteien erbracht werden, beispielsweise eine Werbeagentur die eine Reichweitenanalyse betreibt oder ein Service zum Sammeln und Auswerten von Fehlern in Webseiten oderAnwendungen.

Der Verantwortliche ist verpflichtet, vollständig und richtig Auskunft zu erteilen. Kommt er dieser Pflicht nicht nach, setzt er sich durch den Verstoß gegen die DSGVO dem Risiko eines Bußgeldes durch die zuständige Aufsichtsbehörde oder einer Abmahnung aus.

Die Antwort des Verantwortlichen hat formalen sowie inhaltlichen Anforderungen zu genügen. Grundsätzlich sind nach Art. 12 Abs. 1DSGVO alle Informationen von Verantwortlichen an Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu vermitteln.  

Für Auskunftsersuchen sieht Art. 15 Abs. 1 DSGVO einigeMindestinhalte vor, die insbesondere auch einen Hinweis auf das Bestehen einesBeschwerderechts bei der zuständigen Aufsichtsbehörde beinhalten. Auf die weiteren inhaltlichen Anforderungen wird im Folgenden noch eingegangen.

Begriffsklärung „personenbezogene Daten“ und „verarbeiten“

Personenbezogene Daten

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alleInformationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“ oder „Betroffener“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oderindirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem odermehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Grundsätzlich ist der Begriff der personenbezogenen Daten weit zu definieren. Auch kann eine Kombination von einzeln nicht auf eine Person beziehbaren Daten gemeinsam unter diese Definition fallen. Ein weit verbreitetes Beispiel hierfür ist eine vollständige IP-Adresse zusammen mit einer Zeitangabe, die klassischerweise in Logfiles von Webservern oder inTracking und Analyse Tools wie Goolge Analystics anzutreffen sind.

Ebenso fallen Daten unter die Definition, die von anderenDaten abgeleitet werden und sich auf eine Person beziehen. Z. B.aufgezeichnete Verhaltensweisen im Rahmen eines Trackings oder Inhalte vonPersonalbeurteilungen.

Die DSGVO definiert auch pseudonymisierte Daten als personenbeziehbar. Eine Pseudonymisierung liegt vor, wenn Datensätze derart verändert wurden, dass sie nur durch die Hinzuziehung eines Schlüssels einemBetroffenen zugeordnet werden können. Das Bestehen eines solchen Schlüssels grenzt pseudonymisierte Daten von den anonymisierten Daten ab.

Tatsächlich ist das Anonymisieren von Daten in der Praxis ein nicht zu unterschätzender Vorgang. Denn über das sogenannte„Fingerprinting“ kann ein Personenbezug in einigen Fällen auch bei Wegfallen eindeutiger Identifizierungsschlüssel hergestellt werden. Fingerprinting beschreibt das Zusammenfassen mehrerer Merkmale, die einzeln keinenPersonenbezug aufweisen, in Kombination aber womöglich nur einmal oder bei einer sehr kleinen Menge von Individuen auftreten.

Fingerprinting ist im Internet sehr häufig anzutreffen und wird von der Werbeindustrie vermehrt als Ersatz für den Einsatz von Cookies zur Reichweitenanalyse, zum Verhaltenstracking und zur gezielten Ausspielung von Werbung eingesetzt.

Zu beachten ist, dass eine umkehrbare Verschlüsselung imSinne der DSGVO lediglich eine Maßnahme der Pseudonymisierung darstellt und dieAnforderungen der DSGVO für diese Daten weiterhin gelten, sie somit auch in denAnwendungsbereich von Art. 15 DSGVO fallen. 

Verarbeiten von Daten

Gemäß Artikel 4 Abs. 2 DSGVO bezeichnet Verarbeiten jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie dasErheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, dieAnpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, dieOffenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder dieVernichtung;

Auch dieser Begriff ist weit auszulegen und umfasst explizit auch nicht-elektronische Vorgänge, beispielsweise das Abheften von Verträgen inOrdnern.

Anfrage erhalten

Eingangskanäle

Der Verantwortliche hat Anfragen grundsätzlich in allenFormen zu akzeptieren, soweit sie erkennbar an den Verantwortlichen gerichtet wurden (z. B. mündlich, telefonisch, schriftlich oder per E-Mail).

Keine Pflicht zur Reaktion besteht, wenn Anfragen überKanäle gerichtet werden, die erkennbar nicht dem Verantwortlichen zuzurechnen sind (z. B. ein nicht vom Verantwortlichen betriebene Facebook Gruppe)oder erkennbar nicht zur Entgegennahme von solchen Anfragen vorgesehen sind(bspw. in einer vom Verantwortlichen angebotenen Funktion zur Bewertung vonProdukten auf einer Webseite).

Ebenfalls können Betroffenenrechtsanfragen, die an einzelneMitarbeiter per E-Mail gerichtet werden, die in den Prozess der Bearbeitung vonAnfragen nicht eingebunden sind (und somit Anfragen möglicherweise nicht als solche erkennen können), als nicht eingegangen betrachtet werden.

Dennoch sollte der Verantwortliche, im Rahmen guter Praxis, ausreichendeVorkehrungen treffen, Betroffenenrechtsanfragen auch in unüblichen Kanälen zu identifizieren und in den Bearbeitungsprozess zu übergeben.

Feststellen, ob eine Betroffenenrechtsanfrage nach Art 15 DSGVO vorliegt

Das EDPB schlägt folgende Schritte vor, um eine Anfrage grundsätzlich zu identifizieren:

1)   Betrifft die Anfrage personenbezogene Daten?

2)   Bezieht sich die Anfrage auf die Person, die dieAnfrage stellt?
(Oder auf eine Person in dessen Namen eine autorisierte Person die Anfrage stellt)?

3)   Basiert die Anfrage auf Vorschriften außerhalb der DSGVO, die der DSGVO vorgehen?

4)   Fällt die Anfrage in den Anwendungsbereich desArt. 15 DSGVO?

In den allermeisten Fällen wird sich ein Auskunftsersuchen einfach identifizieren lassen. Bestehen Zweifel, sollte der Verantwortliche beim Anfragesteller nachfragen.

Fallstricke sind jedoch beim Thema der Stellvertretung zu beachten. Sollte eine Person eine Anfrage im Namen einer anderen Person stellen, so ist neben der Feststellung der Identität des Betroffenen ebenso dieAutorisierung des Stellvertreters genau zu prüfen.

Der Erhalt einer Anfrage sollte dem Betroffenen bestätigt werden.

Fristen bei der Bearbeitung

Art. 12 Abs. 3 DSGVO schreibt vor, dass Betroffenenrechtsanfragen innerhalb eines Monats nach Eingang abschließend zu bearbeiten sind. In begründeten Ausnahmefällen kann diese Frist um weitere zweiMonate verlängert werden. Solche Ausnahmefälle können vorliegen, wenn dieKomplexität und die Anzahl der zu bearbeitenden Anfragen eine Erledigung innerhalb der ursprünglichen Frist nicht zulassen.

Der Betroffene ist über die Fristverlängerung sowie dieGründe hierfür innerhalb von 30 Tagen nach Eingang der Anfrage zu informieren.

Vorgehen bei der Bearbeitung

Identität verifizieren

Zunächst ist festzustellen, ob die Identität desAnfragestellers mit der Person übereinstimmt, für die das Auskunftsrecht geltend gemacht wird.

Auf Sonderfälle wie Stellvertretung wird in diesem Beitrag nicht weiter eingegangen. Grundsätzlich muss eine Stellvertretung demVerantwortlichen gegenüber offenbart werden. Dieser muss dann neben derIdentität des Betroffenen auch die Autorisierung des Stellvertreters prüfen.

Da in vielen Fällen Betroffenenrechtsanfragen nichtpersönlich gestellt werden, ist festzuhalten, dass allein die Angabe des Nameneines Betroffenen oder die Verwendung einer E-Mail-Adresse, die den Namen einesBetroffenen enthält, nicht ausreichen, um die Identität festzustellen. DerVerantwortliche muss daher weitere Informationen einholen, um seiner Pflicht nachzukommen.

Dabei hängt es proportional vom Schutzbedarf bzw. derVertraulichkeit der verarbeiteten Informationen ab, welche Maßstäbe einVerantwortlicher an die Identifizierung legt.

Der Verantwortliche führt eine Verhältnismäßigkeitsprüfung durch, die folgendes berücksichtigt:

- die Art der verarbeiteten personenbezogenenDaten (z. B. besondere Datenkategorien oder nicht),

- die Art des Ersuchens,

- der Kontext, in dem das Ersuchen gestellt wird,

- sowie etwaige Risiken für den Betroffenen, die sich aus einer unzulässigen Weitergabe an eine nicht-autorisierte Parteiergeben könnten.

Bei Daten mit einem hohen Risiko für Betroffene im Falle einer Weitergabe an nicht-autorisierte Parteien (im Folgenden auch als Vertraulichkeit bezeichnet), wie z. B. Informationen über die Finanzielle Situation odermedizinische Daten ist die Identität des Anfragenden zweifelsfrei sicher zustellen, z. B. auch durch Einsicht in Ausweisdokumente.

Werden Daten mit geringerer Vertraulichkeit verarbeitet, so können die Anforderungen an die Identifizierung im Verhältnis geringer ausfallen. In Betracht kommen in solchen Fällen ein Abgleich von einerInformation oder einer Kombination von Informationen, die in der Regel nur derBetroffene wissen kann. Beispielsweise neben einer eindeutigen Kundennummer noch die letzte Rechnungsnummer, Ausweisnummer, Anschrift und Geburtsdatum.

In keinem Fall darf die Feststellung der Identität jedoch als Maßnahme zu Abschreckung oder zum Abschmettern von Anfragen genutzt werden.Ebenso darf der Verantwortliche im Rahmen der Identitätsfeststellung nicht mehrInformationen einsammeln, als er für diesen Zweck benötigt.

Bietet der Verantwortliche digitale Angebote wie mobile Apps oder Webseiten an, kann eine Identität auch als verifiziert angenommen werden, wenn Anfragen unzweifelhaft über diese Kanäle zum Betroffenen gelangen undInformationen enthalten, die eine Identifizierung der Daten des Anfragenden ermöglichen (z. B. eine eindeutige Kundennummer). Voraussetzung hierfür ist, dass der Zugang zu diesen digitalen Angeboten eine Registrierung erfordert und die Verwendung durch Authentifizierungsmechanismen geschützt ist (z. B.Benutzername / Passwort, biometrische Identifizierung).

Kann die Identität eines Anfragenden nicht festgestellt werden, so hat der Verantwortliche den Anfragesteller darüber zu informieren.

Neben der Identität des Anfragestellers muss derVerantwortliche auch in der Lage sein, diejenigen Daten in seinem Datenbestand zu identifizieren, die den Anfragesteller betreffen. Dies gelingt in der Regel über Namen, eindeutige Referenz- / Kundennummern oder IP-Adressen und sollte bereits bei Design der datenverarbeitenden Prozesse und Systeme berücksichtigt werden. Der Verantwortliche sollte jedoch nicht allein zum Zweck derIdentifizierung Personenbezogene Daten erheben oder speichern.

Feststellen, ob personenbezogene Datenverarbeitet werden

Ganz formal sollte als nächstes festgestellt werden, ob derVerantwortliche personenbezogene Daten des Betroffenen verarbeitet. Ist dem nicht der Fall, ist der Betroffene hierüber zu informieren.

Beantwortung der Anfrage

Stellt der Verantwortliche fest, dass er personenbezogeneDaten über den Betroffenen verarbeitet, so hat er dies in seiner Antwort zunächst zu bestätigen. Art 15 Abs. 1 DSGVO definiert, welche Informationen demBetroffenen mitzuteilen sind:

- die Verarbeitungszwecke

- die Kategorien personenbezogener Daten, die verarbeitet werden

- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen

- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

- das Bestehen eines Rechts auf Berichtigung oderLöschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung

- das Bestehen eines Beschwerderechts bei einerAufsichtsbehörde

- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über dieHerkunft der Daten

- das Bestehen einer automatisiertenEntscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierteLogik sowie die Tragweite und die angestrebten Auswirkungen einer derartigenVerarbeitung für die betroffene Person

Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, ist der Betroffene über die mit demEmpfänger der Daten vereinbarten „geeigneten Garantien“ für den Schutz der personenbezogenenDaten zu informieren. Erwägungsgrund 108der DSGVO konkretisiert geeignete Garantien als diejenigen Maßnahmen, die sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenenPersonen auf eine der Verarbeitung innerhalb der Union angemessene Art undWeise beachtet werden.

Bei der Zusammenstellung der aufgeführten Informationen kommt es darauf an, dass diese nicht nur allgemeiner Natur sind, sondern individuell auf den Betroffenen zutreffen.

Neben den oben dargestellten Auskünften ist eine Kopie der personenbezogenenDaten bereitzustellen. Diese Daten müssen in einem gängigen elektronischenFormat zur Verfügung gestellt werden.

Der Verantwortliche kann eine Auskunft über diejenigenInformationen verweigern, die die Rechte und Freiheiten anderer Personen, etwaGeschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere dasUrheberrecht an Software, beeinträchtigen.

In der Praxis bedeutet dies, dass eine Auskunft nicht zurPreisgabe von personenbezogenen Daten Dritter führen darf und auchGeschäftsgeheimnisse nicht preisgegeben werden müssen. In diesem Maße muss derVerantwortliche z. B. Daten schwärzen oder, wenn nicht anders möglich, auf eine Preisgabe unter Angabe von Gründen vollständig verzichten. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.

Im Zusammenhang mit Profiling überwiegt jedoch stets dasInteresse des Betroffenen und der Verantwortliche hat detaillierteInformationen über die involvierten personenbezogenen Daten sowie die Logik derEntscheidungsfindung sowie der Auswirkungen der getroffenen Entscheidungen auf die Rechte und Freiheiten des Betroffenen anzugeben.

Rückmeldung an den Betroffenen

Hat der Verantwortliche alle erforderlichen Informationen und Daten zusammengetragen, sind diese an den Betroffenen zu übermitteln.

Art. 15 Abs.3 DSGVO fordert, dass Daten elektronisch übermittelt werden, sofern die ursprüngliche Anfrage auch elektronisch erfolgte und der Betroffene keine anders lautenden Instruktionen mitteilt.

Für strukturierte Daten bieten sich hier Formate wie JSON,CSV, Excel etc. an. Auch ein sogenanntes „Packen“ der Dateien mit dem gängigen ZIP-Format dürfte davon abgedeckt sein. Wichtig ist, dass der Betroffene die Daten mit frei verfügbaren Mitteln einsehen kann.

Ein nicht zu unterschätzendes Problem stellt jedoch die elektronische Übermittlung der Daten an den Betroffenen dar. Denn für die zu übermittelnden Daten gelten grundsätzlich die Anforderungen der DSGVO. Art. 5 Abs. 1 lit. f DSGVO stellt diesbezüglich klar, dass eine angemessene Sicherheit der personenbezogenenDaten gewährleistet sein muss, einschließlich Schutz vor unbefugter oderunrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigterZerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Eine einfache, unverschlüsselte Übertragung per E-Mail kann diese Anforderungen grundsätzlich nicht erfüllen. Auch bei der Verwendung verschlüsselter Archivdateien ist Vorsicht geboten. Zum einen bieten vieleArchivierungsprogramme aus Kompatibilitätsgründen noch ältere, praktisch unwirksame Verschlüsselungsalgorithmen an und zum anderen helfen der besteAlgorithmus und das längste Passwort nicht, wenn die Daten und das Passwort mit dem gleichen Medium an den Betroffenen verschickt werden.

Der Verantwortliche könnte ein Passwort für verschlüsselteDateien über einen zweiten Kanal mit dem Verantwortlichen austauschen, bspw.telefonisch. Dabei entsteht jedoch ein erhöhter bürokratischer Aufwand.

Nachfolgend wird ein Tool vorgestellt, dass unter anderem das Problem der verschlüsselten Datenübertragung löst.

Aufbewahrung zu Nachweiszwecken

Sollte es zu einer Beschwerde gegen einen Verantwortlichen kommen, ist dieser verpflichtet nachzuweisen, dass er sich gemäß den Vorschriften der DSGVO verhalten hat. Vor diesem Hintergrund kann es als berechtigtesInteresse des Verantwortlichen ausgelegt werden, wenn er entsprechendeNachweise über eine erhaltene und bearbeitete Betroffenenrechtsanfrage aufbewahrt. Dies betrifft insbesondere beschreibende Daten über die Anfrage, also wer war der Betroffene, welche Art von Anfrage wurde gestellt, wann wurde diese Anfrage erhalten, wie wurde der Betroffene identifiziert, wann wurde dieAnfrage beantwortet etc. Ob die tatsächlich ausgetauschten personenbezogenenDaten auch aufbewahrt werden sollten, lässt sich schwieriger argumentieren. DerAutor dieses Beitrags rät davon ab.

Die Dauer der Aufbewahrung könnte an die geltenden zivilrechtlichen Verjährungsfristen angelehnt werden, also in Deutschland regelmäßig3 Jahre nach § 195 BGB. Spätestens danach entfällt der Verarbeitungszweck für die Aufbewahrung und die Daten sind zu löschen.

Toolunterstützung

Die PRIVAPI GmbH bietet eine Software-as-a-Service Lösung(SaaS) namens PRIVAPI PORTAL zur Unterstützung von Verantwortlichen bei Erhalt und Bearbeitung von Betroffenenrechtsfragen nach DSGVO. Sie unterstützt bei derIdentifizierung von Betroffenen und stellt automatisch einen verschlüsseltenKanal zum Austausch von Informationen mit dem Betroffenen her. Sie ermöglicht die direkte Anbindung von Apps oder Webseiten der Verantwortlichen, überwachtBearbeitungsfristen und generiert Antworttexte automatisch oder auf Basis vonVorlagen. 

Zusammengefasst verringert das PRIVAPI PORTAL den manuellenAufwand für die Bearbeitung von Betroffenenrechtsanfragen nach DSGVO und reduziert dasRisiko, nicht den gesetzlichen Anforderungen zu entsprechen.

www.privapi.io

Weitere Blog Posts, die für Sie interessant sein könnten: