Wenige Themen bzw. Anforderungen aus der DSGVO erfahren so viel Aufmerksamkeit wie der Auskunftsanspruch. Das verwundert nicht, gilt dieser doch als eines der stärksten Betroffenenrechte. Und auch nach mehreren Jahren, in welchen die DSGVO anzuwenden ist, sind viele Fragen noch nicht hinreichend geklärt.
Der Inhalt im Überblick
Herausforderung Praxis
Dies bemerken wir auch in der Beratungspraxis, verwundert aber bei genauerer Betrachtung kaum, gilt die DSGVO doch branchenübergreifend für alle Unternehmen und insoweit auch für maximal heterogene Verarbeitungszwecke. Manchmal betrifft dieses aber auch „nur“ die Umsetzung als Prozess.
Tätigkeitsberichte können helfen
Ausgangspunkt ist natürlich die DSGVO selbst. Und ob Unternehmen deren Anforderungen und Pflichten hinreichend nachgekommen sind, entscheidet am Ende grundsätzlich ein Gericht. Zuvor sind jedoch die Aufsichtsbehörden am Ball, deren Aufgabe es insbesondere ist, die Anwendung der DSGVO zu überwachen und durchzusetzen. Insoweit begründen diese nicht zwingend den Schlusspunkt eines Verfahrens, stellen mit ihren Einschätzungen und Rechtsansichten in jedem Fall aber zumindest einen Gradmesser dar, wie bei bestimmten Fragestellungen verfahren werden sollte. Durchaus hilfreich kann daher die regelmäßige Durchsicht der jährlich veröffentlichten Tätigkeitsberichte sein.
Auskunftsrecht in Arztpraxen
Der Auskunftsanspruch gilt auch ggü. Arztpraxen. Patienten haben einen Anspruch auf eine kostenfreie Kopie ihrer personenbezogenen Daten. In der Praxis würden diese jedoch häufig unter Hinweis auf § 630g Abs. 2 BGB und die darin normierte Kostentragung abgelehnt werden. Diese Einschränkung überzeugt die Aufsichtsbehörde Bremen (S. 37ff) jedoch nicht. Mache eine betroffene Person vom Auskunftsrecht Gebrauch und wird die Auskunft nicht auf bestimmte Daten beschränkt, sei vollumfänglich Auskunft zu erteilen. Dies umfasse auch die Erstellung einer kostenfreien Kopie der verarbeiteten personenbezogenen Daten. Dies könne auch dazu führen, dass eine vollständige Kopie der „Rohdaten“ der Patientenakte zu erstellen und den Patienten zur Verfügung zu stellen ist.
Das Einsichtsrecht in die Patientenakte mit dem Recht auf Erstellung von elektronischen Abschriften bestehe grundsätzlich neben dem datenschutzrechtlichen Auskunftsrecht, gehe diesem aber keinesfalls vor. Hierbei beruft man sich ergänzend auf eine Entscheidung des Landgerichts Dresden (Urteil vom 29. Mai 2020, Az. 6 O 76/20). Diese Rechtsansicht teilt auch die Aufsichtsbehörde Hessen, welche für Arztpraxen ein Muster zur Erteilung von Auskünften nach Art. 15 DSGVO zur Verfügung stellt.
Informationen über technische und organisatorische Maßnahmen (TOM)
Immer wieder sehen sich Verantwortliche der Frage ausgesetzt, ob diese im Rahmen einer Auskunftsanfrage nach Art. 15 DSGVO auch Informationen über technische und organisatorische Maßnahmen erteilen müssen. Dazu hat sich die Aufsichtsbehörde Liechtenstein (S. 19) erfreulich eindeutig geäußert: Nein.
Dies ergebe sich nicht aus Art. 13 – 15 DSGVO. Zwar müsse das Verzeichnis der Verarbeitungstätigkeiten eine allgemeine Beschreibung der TOMs enthalten, allerdings ist das Verzeichnis gleichermaßen nicht gegenüber Betroffenen offenzulegen.
Unzulässigkeit der postlagernden Zustellung einer Datenkopie
Zu den Herausforderungen im Umgang mit Art. 15 DSGVO gehört aus Sicht des Verantwortlichen oft auch, die hinreichende Identifikation der betroffenen Person zu gewährleisten. Die DSGVO selbst enthält dazu keine Anhaltspunkte, welche „zusätzlichen Informationen“ zur Identifizierung herangezogen werden können. Auch die korrespondierende DSK-Veröffentlichung (KPNr. 6) hilft hier nicht weiter. Vor diesem Hintergrund weigerte sich die SCHUFA Holding AG einer Anfrage nachzukommen. Die Besonderheit bestand darin, dass die betroffene Person die Erteilung der Auskunft postlagernd an eine seinerseits konkret benannte Filiale der Deutschen Post AG in Deutschland erfolgen sollte. Eine aktuelle Anschrift im Ausland oder eine etwaige Voranschrift in Deutschland wurde nicht mitgeteilt.
Der Verantwortliche, so die Aufsichtsbehörde Hessen (S. 172 ff.), müsse aber gewährleisten, Auskünfte ausschließlich an die betroffene Person, zu welcher Datensätze bestehen, zu erteilen. In der Folge müsse der Verantwortliche jedoch in die Lage versetzt werden, die auskunftsersuchende Person zunächst zweifelsfrei zu identifizieren, um nachgelagert ggf. vorhandene Datensätze dieser zuordnen zu können. Ferner sei es der Verantwortlichen ohne Mitteilung einer Anschrift nicht möglich, Rückfragen stellen zu können. Aber auch im weiteren Prozess der Postlagerung sah die Aufsichtsbehörde zahlreiche Probleme und eine Unterlassung einer Auskunftserteilung mittels postlagernder Übermittlung seitens der Verantwortlichen aus datenschutzrechtlicher Sicht nicht nur nicht zu beanstanden, sondern vielmehr geboten.
Kein Grund zur Panik
Unternehmen und deren geschäftliche Aktivitäten entwickeln sich stets weiter. Ein Datenschutzbeauftragter mit hinreichender fachlicher Qualifikation hilft dabei, die gesetzlichen Anforderungen und darin enthaltende unbestimmte Rechtsbegriffe praxistauglich umzusetzen. Bevor die Aufsichtsbehörde nachfragt.
Ich hätte eine Frage bezüglich der Passage „Zwar müsse das Verzeichnis der Verarbeitungstätigkeiten eine allgemeine Beschreibung der TOMs enthalten […]“. Woraus ergibt sich, dass ich solche TOMs in mein VVT integrieren muss und wie kann das Ganze praktisch gehandhabt werden (Bsp.)?
Nach Art. 30 Abs. 1 lit. g DSGVO muss, eine Beschreibung der TOMs nach Art. 32 DSGVO aufgenommen werden, die der Verantwortliche trifft, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Insoweit ist ein Verweis auf die dokumentierten TOMs gut vertretbar. Es kann noch ergänzt werden, dass je nach Unternehmen bzw. Geschäftszweck für bestimmte Fachbereiche unterschiedliche TOMs gelten können. Bei korrespondieren Verarbeitungen gelten dann unterschiedliche TOMs.
Das ergibt sich aus Art. 30 Abs. 1 lit. g DSGVO.