LDA Brandenburg beschäftigt sich mit dem Auskunftsanspruch

Die Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) hat gestern seinen Tätigkeitsbericht für 2020 veröffentlicht. Erfreulicherweise beschäftigt sich der Tätigkeitsbericht an verschiedenen Stellen mit dem Auskunftsanspruch von Betroffenen. Dieses bereitet Unternehmen immer wieder Probleme. Wir fassen alle Hinweise der Behörde aus dem Tätigkeitsbericht zusammen.

Das Auskunftsrecht ist immer praxisrelevant

Am 3. Mai 2021 hat die Brandenburgische Landesbeauftragte für Datenschutz ihren 151-seitigen Tätigkeitsbericht Datenschutz 2020 veröffentlicht. Erfreulicherweise geht der Tätigkeitsbericht der Behörde dorthin, wo es weh tut: Zum datenschutzrechtlichen Auskunftsanspruch gem. Art. 15 DSGVO. Wie praxisrelevant das Thema ist, sieht man daran, dass wir es regelmäßig in den Fokus nehmen, zuletzt z.B. mit dem Beitrag Auskunftsrecht: DSGVO-Wissen für Betroffene & Unternehmen.

Recht auf Auskunft macht Suche in allen Unternehmensteilen erforderlich

Auf Seite 47 des Tätigkeitsberichts berichtet die Behörde über einen Fall, der häufiger vorkommen dürfte: Ein verantwortliches Unternehmen verarbeitet Daten in verschiedenen Unternehmensteilen. Irgendwie kriegt man die Daten des Betroffenen nicht zusammen und erteilt eine Negativauskunft. Dabei werden durchaus irgendwo personenbezogene Daten des Antragstellers gespeichert.

Was war passiert?

Ein Betroffener machte eine Auskunft gegenüber einer Geschäftsstelle eines bundesweit tätigen Anbieters von „Wirtschaftsinformationen und Inkassodienstleistungen“ geltend. Die Anfrage wurde intern fälschlicherweise nur auf den Unternehmensbereich „Bonität“ bezogen. Da dort keine Einträge zum Betroffenen gefunden wurden, wurde dem Antragsteller eine Negativauskunft erteilt. Das Unternehmen hatte jedoch versäumt auch im Inkasso-Bereich Nachforschungen anzustellen. Hier gab es tatsächlich ein noch bis 2019 betriebenes Verfahren durch das Unternehmen.

Beschwerde bei der Aufsichtsbehörde für Datenschutz

Aufgrund der Negativauskunft beschwerte sich der Antragsteller bei der Aufsichtsbehörde. Gegenüber dieser gab sich das Unternehmen noch weiter ahnungslos – der Betroffene sei ihr gänzlich unbekannt. Die Aufsichtsbehörde musste dem Unternehmen erst das eigene Aktenzeichen des Inkasso-Vorgangs unter die Nase reiben, damit diese auf die richtige „Fährte“ gelenkt wurde. Im Inkasso-Bereich wurde man schließlich fündig.

Die Aufsichtsbehörde beließ es bei einer Verwarnung, da das Unternehmen bisher nicht durch Datenschutzverletzungen in der Vergangenheit aufgefallen war und zusicherte, in Zukunft eine vollständige Suche durch alle Unternehmensteile durchzuführen und die Mitarbeiter auch entsprechend zu schulen.

Die Hinweise der Aufsichtsbehörde bleiben leider recht vage hinsichtlich des involvierten Unternehmens. Insbesondere behandelt das LDA in der Darstellung das Unternehmen so, als ob es sich um ein einziges Unternehmen mit verschiedenen Abteilungen bzw. Niederlassungen handelt. An anderer Stelle wird dann wieder von „alle Unternehmensbereiche“, „das Unternehmen“, „andere Gesellschaft des Unternehmensverbundes“ gesprochen. Das LDA geht leider an keiner Stelle auf Themen wie gemeinsame / getrennte Verantwortlichkeit ein, weshalb man nur vermuten kann, dass es sich tatsächlich um schlicht verschiedene Niederlassungen eines Unternehmens handelte.

Auskunftspflicht trotz Klageabsicht gegenüber Anwalt

Ein weiterer Fall, bei dem es die Behörde bei einer Verwarnung gem. Art. 58 Abs.2 lit.b DSGVO gegenüber dem Unternehmen, hier einer Versicherung, beließ, hatte die Nichterteilung einer Auskunft zum Gegenstand.

Nach einem Verkehrsunfall erhielt der Antragsteller von einer Autovermietung ein Angebot für einen Leihwagen; die Daten des Antragstellers wurden anscheinend von der gegnerischen Versicherung der Autovermietung zur Verfügung gestellt. Der Antragsteller begehrte nun gegenüber der Versicherung die Angabe der Rechtsgrundlage der Übermittlung seiner Daten an die Autovermietung und stellte zusätzlich einen Antrag auf Auskunft gem. Art. 15 DSGVO. Da dieser Antrag unbeantwortet blieb, beschwerte sich der Antragsteller bei der Aufsichtsbehörde.

Für die Versicherungen sicherlich interessant ist der Hinweis der Aufsichtsbehörde, dass eine Datenübermittlung an einen Dienstleister auf Grundlage des Code of Conducts der Versicherungswirtschaft (hier wohl Art. 22 CoC) einen Verstoß gegen das Datenminimierungsgebot nach Art. 5 Abs.1 lit. c DSGVO darstellen kann, soweit der Berechtigte eigentlich gar kein Interesse an der Wahrnehmung der Dienstleistung durch den Dienstleister (hier als Datenempfänger) hat. Doch zurück zum Auskunftsanspruch.

Warum erteilte die Versicherung keine Auskunft?

Die Versicherung unterließ eine Auskunft, da

• der Anwalt seine Vollmacht nicht ausreichend nachgewiesen habe, womit die Auskunft gegenüber einem Unberechtigten erfolgt wäre;
• der Anwalt schon angedeutet hatte, die Auskunft „rechtsmissbräuchlich“ für eine Klage vor dem Zivilgericht zu verwenden.

Die Aufsichtsbehörde bewertete dies Versagung der Auskunft als Verstoß gegen Art. 12 Abs. 2 bis 4 DSGVO, wonach dem Betroffenen die Ausübung des Auskunftsrechts „so leicht wie möglich“ zu machen sei. Hier hätte der Anwalt daher auf die fehlende Vollmacht als „Hindernisgrund“ fristgerecht hingewiesen werden müssen. Die Übergabe der Auskunftsdokumente gegenüber einem Anwalt kann daher von der Vorlage einer Bevollmächtigung abhängig gemacht werden. Auch wird der Versicherung der Vorwurf gemacht, die Auskunft unmittelbar an die betroffene Person richten zu können.

Ein wichtiger und richtiger Hinweis ist, dass das Recht auf Auskunft ohne Begründungserfordernis besteht. Wird eine solche daher doch abgegeben („ich brauche ihre Auskunft, um sie zu verklagen!“), sind solche Äußerungen irrelevant. Wer hat, der hat. Und wer einen Auskunftsanspruch hat, hat einen Auskunftsanspruch.

Konkrete Auskunft über Datenübermittlung an verschiedene Empfänger

Ein weiterer Fall handelt von einem Beschwerdeführer, der vom Landesbetrieb Landesvermessung und Geobasisinformation wissen wollte, an welche Empfänger dieses seine personenbezogenen Grundstücksdaten weitergegeben hatte. Der Landesbetrieb hatte die Angaben zu den genauen Empfängern gespeichert und vorliegen. In seiner Antwort teilte man dem Beschwerdeführer aber lediglich die Kategorien von Datenempfängern mit wie Kaufinteressierte, Makler oder Behörden des Landkreises mit. Dabei stütze man sein Handeln auf den Wortlaut des Artikels 15 Abs. 1 lit. c DSGVO. Es bestehe sozusagen eine freie Auswahl, ob die Kategorien von Datenempfängerinnen und Datenempfängern oder die konkreten Stellen benannt werden.

Die Aufsichtsbehörde hingegen war der Ansicht, dass

„die Kenntnis der Identität der konkreten Datenempfängerinnen und Datenempfänger neben der allgemeinen Information der betroffenen Person auch dazu dient, die Rechtmäßigkeit der Datenübermittlung zu überprüfen. Zweck der Vorschrift ist es, der betroffenen Person zu ermöglichen, die Weitergabe ihrer Daten auch über längere Übermittlungsketten hinweg nachzuvollziehen. Nur so kann sie bei allen Stellen, die ihre Daten erhalten haben, weitere Auskunftsansprüche stellen oder andere Betroffenenrechte wie beispielsweise die Löschung bzw. Berichtigung ihrer Daten oder die Einschränkung der Verarbeitung bewirken.“

Die Begriffe Empfänger und Kategorien von Empfängern stünden also nicht alternativ nebeneinander, da andernfalls der Normzweck verfehlt werden würde, wenn die auskunftspflichtige Stelle lediglich Kategorien von Empfängern nennt, obwohl ihr Angaben über die konkreten Datenempfänger vorliegen. Nur wenn die Weitergabe des konkreten Datenempfängers durch eine anderweitige gesetzliche Regelung ausgeschlossen ist oder zulässigerweise ausschließlich Angaben zu den Kategorien von Empfängern vorliegen, könne die Auskunft in diesen Ausnahmefällen auf Kategorien beschränkt werden.

Technisch organisatorische Maßnahmen für sichere Auskunftserteilung

Eine technisch unsichere Auskunftserteilung kann einen Datenschutzverstoß gegen Art. 32 DSGVO darstellen. Ignoriert ein Unternehmen Hinweise der Aufsichtsbehörde zur Rechtmäßigkeit einer Datenverarbeitung in gleicher Sache, kann bei einem weiteren Verstoß ein Bußgeld fällig werden.

Was war passiert?

Vorliegend hatte ein Unternehmen im Rahmen einer Auskunftserteilung zwei E-Mails an den Betroffenen versendet. Die erste E-Mail enthielt eine passwortgeschützte Anlage, in der alle für die Auskunft relevanten Informationen bereitgestellt wurden. Nun benötigt der Empfänger noch ein Passwort zum Öffnen der Anlage. Dieses wurde ihm vom Unternehmen ca. 2 Minuten später per Klartext zugeschickt. Die Aufsichtsbehörde rügte dieses Vorgehen zunächst.

Die Aufsichtsbehörde störte sich insbesondere an folgenden Umständen:

• Der Anhang betraf sensible Inhalte (welcher Art, wird leider nicht näher ausgeführt)
• Zwar sei der Anhang passwortgeschützt, aufgrund der zeitlichen Nähe zwischen der ersten E-Mail mit der gesicherten Auskunft und der zweiten E-Mail mit Passwort in Klartext, hätte ein Angreifer, der beide E-Mails abfängt, ohne weiteres eine Zugriffsmöglichkeit auf die gesicherten Inhalte. Die Behörde bewertete den zeitlichen und inhaltlichen Zusammenhang der beiden E-Mails als maßgeblich.
• Ein Passwortversand in Klartext sei über lediglich TLS-Verschlüsselung (= Transportverschlüsselung), unzureichend. Hier wäre ein Zugriff unberechtigter Dritter nur durch eine Ende- zu Ende-Verschlüsselung sichergestellt.

Die Aufsichtsbehörde empfiehlt entweder die telefonische Mitteilung des Passworts oder den Einsatz einer Ende-zu-Ende Verschlüsselung für die Übermittlung sensibler Auskunftsinhalte. Da ersteres mühsam und umständlich sein kann (diktieren sie mal ein > 8 Ziffern langes Passwort) und letzteres nicht in jedem Fall sichergestellt ist, sollte die Bereitstellung auf einem Portal erörtert werden, über das die geforderten Auskünfte datenschutzkonform bereitgestellt werden können.

Bußgeld in sechsstelliger Höhe

Das Unternehmen stellte den Prozess während des Verfahrens um und teilte dies der Aufsichtsbehörde mit. Doch durch eine Beschwerde gegenüber der Aufsichtsbehörde bekam diese später Wind davon, dass der Prozess nicht vollständig umgestellt wurde, sondern nur für einen Teil des Kundenstamms. Nun wurde die Aufsichtsbehörde fuchsig. Da das Unternehmen schon in der Vergangenheit auf die Datenschutzwidrigkeit des Vorgehens hingewiesen wurde, verhängte die Aufsichtsbehörde ein sechsstelliges Bußgeld.

Das Wesentliche zusammengefasst

Was kann man aus dem Tätigkeitsbericht also mit Blick auf die Erfüllung von Auskunftsrechten mitnehmen? Es gibt keine größeren Überraschungen, das meiste dürfte schon bekannt sein:

• Es muss im Unternehmen einen effektiven Prozess geben, der sicherstellt, dass in allen Unternehmensteilen personenbezogene Daten gefunden werden. Ansonsten kann es schnell passieren, dass man eine falsche Negativauskunft erteilt, was an sich schon einen DSGVO-Verstoß darstellt.
• Wird man von einem Anwalt kontaktiert, der die Rechte seines Mandanten wahrnimmt, kann man die Erteilung der Auskunftsrechte vom Nachweis einer Bevollmächtigung abhängig machen. Zumindest sollten die Gründe für eine Verweigerung der Auskunft benannt werden – nichts tun ist immer die schlechteste Lösung.
• Die Gründe, weshalb jemand Auskunft begehrt, haben für den Anspruch keine Bedeutung. Der Verantwortliche darf die Auskunft nicht wegen Äußerungen des Betroffenen zu seiner zukünftigen Absicht verweigern.
• Die Auskunftserteilung per E-Mail kann – insbesondere wenn sie sensible Daten betrifft – problematisch sein. Im Zweifel sollte ein Portal genutzt werden, über das Betroffene über eine gesicherte Verbindung ihre Daten herunterladen können.
• Sind dem Verantwortlichen die konkreten Datenempfänger bekannt, steht dieser nach Ansicht des LDA Brandenburg in der Pflicht, diese dem Betroffenen mitzuteilen und sich nicht lediglich auf die Kategorien der Empfänger zu beschränken.