Die Erteilung von Auskunft über die Verarbeitung von personenbezogenen Daten einer betroffenen Person auf deren Anforderung hin ist eine der zentralen Pflichten für verantwortliche Stellen aus der DSGVO. Sie ist im Rahmen der Umsetzung von Betroffenenrechten von großer Bedeutung. In unserem Blog haben wir auch in diesem Jahr bereits diverse Beträge dazu veröffentlicht. Diese befassten sich z.B. mit dem Auskunftsersuchen im Falle von Identitätsdiebstahl (hier), mit der Frage, wann ein Auskunftsersuchen rechtsmissbräuchlich ist (hier), und den Anforderungen an die elektronische Auskunftserteilung (hier).
Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat nun einen Handlungsleitfaden für Kommunen und Verwaltungen zur Auskunftserteilung nach Art. 15 DSGVO herausgegeben, der sich an der EDSA-Leitlinie 01/2022 (Guidelines 01/2022 on data subject rights–Right of access) sowie der aktuellen höchstrichterlichen Rechtsprechung, insbesondere des EuGH, orientiert. Der Leitfaden richtet sich zwar an öffentliche Stellen, viele Hinweise und Empfehlungen sind aber auch für den nicht-öffentlichen Bereich relevant.
Der Leitfaden umfasst viele allgemeine Aspekte der Auskunftserteilung, die den regelmäßigen Leser*innen unseres Blogs sowie Datenschutzkoordinator*innen und Ansprechpersonen unserer Kund*innen bereits bekannt sein dürften. In diesem Beitrag werden wichtige und praxisrelevante Punkte des Leitfadens vorgestellt:
Interne Organisation
Gleich zu Beginn des Leitfadens wird auf organisatorische Fragen der Zuständigkeit im Zusammenhang mit der Antragsbearbeitung hingewiesen. So müsse sich die verantwortliche Stelle mit der internen Aufgabenverteilung und der fachbereichsübergreifenden Kommunikation befassen. Es bedarf auch Abwesenheits- und Vertretungsregelungen um die fristgerechte Bearbeitung von Auskunftsersuchen gewährleisten zu können. Dem oder der Datenschutzbeauftragten (DSB), so die SDTB, dürfe hierbei nicht pauschal die Bearbeitung des Auskunftsersuchens übertragen werden. Die DSGVO sieht hier lediglich die Unterrichtung und Beratung des Verantwortlichen hinsichtlich dessen datenschutzrechtlichen Pflichten vor. Zulässig sei laut der SDTB jedoch die vorbereitende Identitätsprüfung der betroffenen Person durch die/den DSB und die Koordination der Bearbeitung umfangreicher Auskunftsersuchen.
Meine Praxisempfehlung: Benennen Sie, falls nicht bereits geschehen, eine Person für die interne Datenschutzkoordination. Diese muss sich mit den wesentlichen Vorgaben der DSGVO vertraut machen und sollte im Hinblick auf die Aufgaben der Datenschutzkoordination sensibilisiert werden (z.B. über einen engen Austausch mit dem/der DSB oder über entsprechende Schulungen, z.B. hier). Zudem sollte eine Vertretungsperson benannt und beide Personen gegenüber den Mitarbeitenden als zentrale Anlaufstelle, insbesondere bei Auskunftsanfragen, genannt werden.
Klärung der Identität und Berechtigung des Antragstellers
Die geforderte Auskunft über die Verarbeitung personenbezogener Daten dürfe nur gegenüber der tatsächlich betroffenen oder einer wirksam bevollmächtigten Person erteilt werden. Bestehen im Einzelfall begründete Zweifel an der Identität des/der Antragsteller*in, dürften von dieser weitere Informationen zur Identitätsprüfung verlangt werden. Dies können nach Erwägungsgrund 64 der DSGVO alle vertretbaren Mittel sein, um die Identität des/der Antragsteller*in zu überprüfen. Die SDTB verweist hier auch auf die Vorlage von Ausweisdokumenten und die spezialgesetzlichen Vorgaben: Ausweiskopien sind als solche eindeutig zu kennzeichnen; die Weitergabe an Dritte ist ausgeschlossen (§ 20 Abs. 2 PAuswG; §§ 16a, 16b PassG). Auch sollte die antragstellende Person darauf hingewiesen werden, dass für die Identitätsfeststellung nicht benötigte Angaben geschwärzt werden können (z.B. Ausweisnummer, Geburtsort, Körpergröße).
Die SDTB verweist an dieser Stelle auf die Konkurrenz zwischen dem Grundsatz der Datenminimierung sowie passrechtlichen Beschränkungen und dem durch öffentliche Stellen zu beachtenden Grundsatz der Aktenwahrheit und -vollständigkeit: Die verantwortliche Stelle habe sich revisionssicher abzusichern, dass die Auskunft an die tatsächlich berechtigte Person erfolgte.
Meine Praxisempfehlung: Eine Identitätsprüfung und die hierfür erforderlichen Mittel sollten stets mit der/dem DSB abgestimmt werden. Die antragstellende Person ist zudem über die entsprechende Datenverarbeitung zu informieren. Darüber hinaus sollten öffentliche Stellen intern eine klare und einheitliche Regelung zur Identitätsprüfung vorgeben: Sofern ein nachweisbarer Aktenvermerk über die Inaugenscheinnahme eines Ausweisdokuments den Vorgaben der Revisionssicherheit nicht genügt, sondern eine Ausweiskopie erhoben und gespeichert werden muss, sollte diese ausreichend sicher und vor allem zugriffsbeschränkt abgelegt sowie nach Wegfall des Verarbeitungszwecks sowie etwaiger Aufbewahrungspflichten gelöscht werden.
Auskunftsersuchen im Falle verstorbener Personen
Neben den Hinweisen zur Antragsberechtigung und Identitätsprüfung stellt die SDTB klar, dass der Anspruch auf Auskunft nicht vererbbar sei. Sie verweist dabei auf das Urteil des BGH vom 12.07.2018 (Az. III 183/17) wonach das Recht auf informationelle Selbstbestimmung nur lebende Personen schütze.
Meine Praxisempfehlung: Etwaige Ansprüche von Erben auf Informationen über verstorbene Personen müssten auf anderem, z.B. zivil- bzw. erbrechtlichem Wege geltend gemacht werden. Hierbei ist die bereits vorhandene sowie künftige Rechtsprechung zu dem Thema zu beachten.
Umfang des Anspruchs
Sofern die antragstellende Person keine präzise Auskunftserteilung verlangt, müsse die verantwortliche Stelle stets untersuchen, was in welchem Umfang beauskunftet werden soll. Die verantwortliche Stelle dürfe sich, so die SDTB, bei sogenannten Globalauskünften, also die Auskunft über alle gespeicherten Daten einer Person, nicht auf die Unbestimmtheit des Anspruchs berufen und die Auskunft verweigern. Vielmehr müsse mit der betroffenen Person in einen Dialog getreten und diese in einem ersten Schritt durch geeignete aussagekräftige Informationen in die Lage versetzt werden, ihre Anfrage auf die für sie relevanten datenverarbeitenden Systeme und/oder Datenkategorien beschränken zu können. Die SDTB schlägt hier die Übermittlung einer ersten aggregierten (tabellarischen) Auskunft sowie die Nachfrage vor, welche weiteren Informationen und/oder Kopien verlangt werden. Im zweiten Schritt müsse dann zu diesen weiteren Daten eine präzise und vollständige Auskunft erteilt werden. Wichtig hierbei, so die SDTB: Die betroffene Person muss nicht in diesen Dialog eintreten; bei ausbleibender Mitwirkung müsse die geforderte Globalauskunft erteilt werden.
Meine Praxisempfehlung: Das Auskunftsersuchen, die weiteren Schritte zu dessen Bearbeitung sowie die Ermittlung der Bearbeitungsfrist sollten stets mit dem/der DSB abgestimmt werden. Diese/dieser unterstützt bei der Eingangsbestätigung und der ggf. erforderlichen ersten Kommunikation bzw. des Auskunftsumfangs.
Form der Auskunftserteilung
Die Auskunft kann sowohl schriftlich, als auch elektronisch oder auf Wunsch mündlich erteilt werden, wobei sie präzise, transparent, verständlich und in leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen muss.
Sofern ausdrücklich eine mündliche Auskunft verlangt wird – so die SDTB – müsse dem auch in dieser Form nachgekommen werden. Hierbei sei sicherzustellen, dass die Auskunft gegenüber der berechtigten Person erfolge und die Auskunft z.B. mittels eines Gesprächsvermerks, aktenkundig gemacht werde. Elektronische Auskünfte seien auf einem transport- und inhaltsverschlüsselten Weg zu erteilen, keinesfalls jedoch per unverschlüsselter E-Mail.
Meine Praxisempfehlung: Auch die Form der Auskunftserteilung sollte letztlich immer mit der/dem DSB abgestimmt werden, um nicht ausreichend sichere Datenübermittlungen zu vermeiden. Darüber hinaus dürfte auch hier der Aspekt der Revisionssicherheit für öffentliche Stellen zu beachten sein, weshalb die mündliche Auskunftserteilung nebst Gesprächs-/Aktenvermerk und der Umgang mit entsprechenden Ersuchen kritisch geprüft und intern einheitlich geregelt werden sollte.
Fazit
Die Bearbeitung von Auskunftsansprüchen stellt keinesfalls einen routinemäßigen Arbeitsprozess dar. Routinemäßig sollte zwar der/die DSB einbezogen werden. Im Übrigen bedarf jedes Auskunftsersuchen – wie auch andere Betroffenenansprüche – aber einer Einzelfallbetrachtung. Der Leitfaden der SDTB macht deutlich, welche unzähligen Teilaspekte die Beurteilung eines Auskunftsanspruchs und die ggf. zu erteilende Auskunft bestimmen können. Um hier eine eventuell nachfolgende Beschwerde bei der Aufsichtsbehörde möglichst zu vermeiden, ist eine enge Zusammenarbeit zwischen verantwortlicher Stelle und DSB, von der ersten Kenntnisnahme des Auskunftsverlangens bis zur finalen Rückmeldung, unerlässlich.