Veranlasst durch ein Bußgeld in Höhe von 50.000 €, welches das LDA Brandenburg im vergangenen Jahr verhängte, wollen wir näher darauf eingehen, wen die Pflicht zur Bearbeitung von Betroffenenrechten trifft.
Der Inhalt im Überblick
Einsatz eines Dienstleisters für die Auskunftserteilung
Mit dem Recht auf Auskunft und wie eine solche Auskunft richtig erteilt wird haben wir uns im Blog bereits mehrfach auseinandergesetzt. Doch darf der Verantwortliche dazu auch einen Dienstleister einsetzen?
Letztlich fordert die DSGVO in Art. 12 Abs. 1 DSGVO, dass der Verantwortliche geeignete Maßnahmen treffen muss, um betroffenen Personen alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34 zu übermitteln. Dies soll in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Geeignete Maßnahmen schließen den Einsatz eines Dienstleisters nicht aus, auch wenn den Verantwortlichen selbstverständlich die Pflicht trifft, die Geltendmachung der Rechte zu ermöglichen.
Insbesondere spricht für die Zulässigkeit des Einsatzes eines Dienstleisters bei der Auskunftserteilung, dass ein Auftragsverarbeiter den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützten hat, dass dieser seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachkommen kann. Dies gehört nach Art. 28 Abs. 3 S. 2 lit. e DSGVO zum Mindestinhalt einer Vereinbarung zur Auftragsverarbeitung.
Bußgeld des LDA Brandenburg
Genau solch einen Fall hat das LDA Brandenburg im vergangenen Jahr geprüft (siehe Tätigkeitsbericht S. 29 ff.) und den Einsatz des Dienstleisters dem Grunde nach auch nicht ausgeschlossen.
Jedoch zeigte sich, dass Vorsicht bei der Auswahl des Dienstleisters geboten ist und es auch bei der Ausgestaltung durch den Dienstleister sicherzustellen ist, dass die Auskunft richtig erteilt wird. Denn aufgrund der folgend beschriebenen Probleme wurde das Bußgeld erlassen.
Die Personen deren Auskunftsbegehren von dem Dienstleister bearbeitet wurden, erlangten keine Kenntnis davon, dass es sich bei dem Dienstleister um einen Dienstleister des verantwortlichen Unternehmens handelte. Denn dieser führte die Korrespondenz im Rahmen der Auskunftserteilung unter eigenem Logo. Nach Informationen des LDA Brandenburg war nicht zu erkennen, wer der Verantwortliche der Datenverarbeitung war. Die Auskunft war somit nicht transparent.
Zudem wurden die betroffenen Personen, nach Antrag auf Auskunft, zunächst nur in englischer Sprache kontaktiert. Hierbei sollte jedoch stets, die auch bei der sonstigen Beziehung gewählte Sprache genutzt werden. So kann der Vorgabe des Art. 12 Abs. 1 DSGVO zur Einhaltung einer verständlichen und leicht zugänglichen Form, sowie einer klaren und einfachen Sprache nachgekommen werden.
Des Weiteren wurde zwischen dem Dienstleister und dem Verantwortlichen keine erforderliche Vereinbarung zur Auftragsverarbeitung im Sinne des Art. 28 DSGVO geschlossen.
Falls Sie also nun erwägen einen Dienstleister für die Beantwortung der Betroffenenanfragen einzusetzen, ziehen Sie am besten Ihren Datenschutzbeauftragten mit ein, um Fallstricke zu vermeiden.
Einsatz des Datenschutzbeauftragten für die Bearbeitung von Betroffenenrechten
Nun werden Sie sich vielleicht auch die Frage stellen, ob nicht der Datenschutzbeauftragte die Anfragen bearbeiten kann, mit denen betroffene Personen ihre Rechte geltend machen.
Dazu stellte Herr Dr. Brink (LfDI Baden-Württemberg) in einem hörenswerten Podcast-Interview – DS-Praxis der Podcast vom 14. August 2019 – fest (von der Autorin in indirekter Rede zusammengefasst):
„Es sei ein schwerer Fehler, dass Datenschutzbeauftragte sich selbst bestimmte Aufgaben an Land ziehen, die sie besser nicht machen würden. Zum Beispiel, wenn ein Auskunftsersuchen nach Art. 15 DSGVO ein Unternehmen erreiche. Wobei ein Kunde dem Unternehmen sage: Zeig mir mal die Daten die du von mir hast. Dann sei es sinnvoll, dass der Datenschutzbeauftragte das berät und begleitet [sic!]. Aber er solle nicht selbst die Informationen einsammeln, er solle auch nicht selbst antworten. Das sei nicht sein Ding.“
Natürlich ergibt sich aus Art. 39 DSGVO, dass der Datenschutzbeauftragte vor allem eine beratende Funktion hat. Gerade ein externer Datenschutzbeauftragter wird häufig keine Möglichkeit haben, ohne Unterstützung durch den Kunden, die notwendigen Informationen zusammenzustellen. Allerdings dürfte hierin auch keine Pflichtenkollision oder ein Interessenskonflikt zu sehen sein. Schließlich geht es dem Datenschutzbeauftragten in jedem Fall darum für die Einhaltung der DSGVO zu sorgen (so ja auch Art. 39 Abs. 1 lit. b DSGVO) und daher auch die Rechte der betroffenen Personen zu gewährleisten.
Weiter führte Brink aus:
„[…] die Geschäftsleitung muss sich entscheiden. Ist es aus unserer Sicht eine Datenpanne ja oder nein. Da beziehe ich natürlich den Datenschutzbeauftragten ein und legt großen Wert auf seinen Sachverstand und seinen Rat, aber die Endentscheidung muss die Geschäftsleitung treffen. Der Datenschutzbeauftragte kommt in Teufels Küche, wenn er einen Verstoß meldet. Von dem nachher die Geschäftsleitung sagt, aus unserer Sicht war das gar keiner, und noch schlimmer, wenn die Aufsichtsbehörde antwortet, keine Ahnung, warum du uns das gemeldet hast. Der Datenschutzbeauftragte hat eine beratende Funktion, er ist nicht operativ tätig.“
Auf jeden Fall, sollte der Datenschutzbeauftragte die Geschäftsführung nur hinsichtlich des Datenschutzvorfalls beraten und die Entscheidung ob gemeldet wird der Geschäftsführung überlassen. Jedoch ist nicht ersichtlich, warum der Datenschutzbeauftragte nach dieser Entscheidung den Vorfall, in Abstimmung mit der Geschäftsführung, nicht melden können soll. Schließlich ist es nach Art. 39 Abs. 1 lit. e DSGVO Tätigkeit des Datenschutzbeauftragten, Anlaufstelle für die Aufsichtsbehörde zu sein.
Schlussendlich ist hier zu hoffen,
…dass Herr Dr. Brink lediglich die eigenmächtige Meldung eines Vorfalls durch den Datenschutzbeauftragten gemeint hat. Von einer solchen möchten wir auch abraten. Falls Sie zukünftig einen Dienstleister für die Beantwortung der Betroffenenanfragen einsetzen möchten, wird Ihr Datenschutzbeauftragter Ihnen bei der Auswahl und Umsetzung sicher helfen. Ein Datenschutzkonzept wird erfahrungsgemäß nur bei guter Zusammenarbeit des Datenschutzbeauftragen mit der Geschäftsführung erfolgreich umgesetzt.
Soll Ihrer Einschätzung nach jeder Brieffehlversand von der Geschäftsführung bewertet werden? In einem mittelständischen Unternehmen mit B2C-Geschäftsmodell wird mitunter eine 6- bis 7-stellige Anzahl von Briefsendungen an Kunden vorgenommen – selbst bei höchster Sorgfalt in der Poststelle kommen da sicher Dutzende Fehler übers Jahr zusammen… ich befürchte, dass allein eine solche Anfrage bei der Geschäftsführung für Kopfschütteln und in der Folge für weniger Verständnis für den Datenschutz im Allgemeinen sorgen würde.
Ist es aber nicht so, dass der Verantwortliche Aufgaben intern delegieren kann? Nach meinem Verständnis muss kein Geschäftsführer oder Vorstand in Perosna selbst tätig werden. Solange also die Organsiation entsprechend ausgestaltet ist, können nahezu sämtliche Tätigkeiten übertragen werden. Dass am Ende ggf. die Geschäftsführung für ein etwaiges Auswahlverschulden nach Außen hin haftet, steht auf einem anderen Blatt. Es ist also grds. unproblematisch, wenn bspw. die Rechtsabteilung, Compliance oder sonstige Stellen die Einschätzung vornehmen und entsprechend ihrer Befugnisse handelt. Im Zweifel können diese es sogar besser und wurden gerade dafür eingestellt.
M.E. kann bei häufiger widerkehrenden Situationen auch ein grundsätzlich mit der Geschäftsführung abgestimmtes Vorgehen eingehalten werden und nur bei erheblichen Abweichungen des Sachverhalts auf die Geschäftsführung zurückgekommen werden. Wobei zudem regelmäßig zu prüfen ist, ob die technischen und organisatorischen Maßnahmen nicht weiter anzupassen sind, wenn bestimmte Fehler widerkehrend vorkommen. Natürlich ist auch uns bewusst, dass selbst bei höchster Sorgfalt menschliche Fehler nicht auszuschließen sind.