Das Recht auf Auskunft (gemäß Art. 15 DSGVO) gehört nach wie vor zu den datenschutzrechtlichen Betroffenenrechten, die Unternehmen – und auch Gerichte – am meisten beschäftigen. Während es in der Beratungspraxis zumeist darum geht, welche personenbezogenen Daten in welchem Ausmaß gegenüber der antragstellenden Person beauskunftet werden müssen und wie festgestellt werden kann, ob es sich bei dieser auch um die betroffene Person handelt (Identitätsprüfung), wird der Phase nach der Erteilung der Auskunft oftmals weniger Beachtung geschenkt. Dabei gilt es zu berücksichtigen, dass gemäß Art. 5 Abs. 2 DSGVO eine Rechenschafspflicht besteht, wonach der Verantwortliche (Art. 4 Nr. 7 DSGVO) die Umsetzung der Anforderungen aus der DSGVO nachweisen können muss.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat sich nunmehr in ihrem Tätigkeitsbericht 2024 (S. 109–113) dazu geäußert, wie diese Nachweispflicht – in Bezug auf die Beantwortung von Auskunftsersuchen – ihrer Ansicht nach umgesetzt werden sollte.
Auffassung der BlnBDI: keine Aufbewahrung von Klardaten
Nach Meinung der Berliner Aufsichtsbehörde ist es grundsätzlich nicht notwendig und damit auch nicht zulässig, erteilte Datenschutzauskünfte standardmäßig vollständig aufzubewahren. Stattdessen vertritt die Behörde, dass – gemäß dem Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) – eine Protokollierung der Beantwortung eines entsprechenden Ersuchens vorgenommen werden sollte. Diese Protokollierung solle den Zeitpunkt der Beauskunftung sowie die von der Auskunft betroffenen Datenkategorien mit Speicherung eines pseudonymisierten Protokolldatensatzes umfassen. Ziel dieser Vorgehensweise ist gemäß der Behörde die Reduzierung des Risikos, dass identifizierende Daten – sei es intern oder extern – unbefugt offengelegt werden. Gleichzeitig solle aber die Möglichkeit aufrechterhalten werden, unter gewissen Voraussetzungen den Personenbezug einer erteilen Auskunft wiederherzustellen.
Die BlnBDI schlägt diesbezüglich Folgendes vor:
„Ein möglicher Ansatz […] – im [!] Anbetracht eines normalen Risikoniveaus – ist bspw. die Anwendung einer Einwegfunktion auf eine kleine normalisierte Untermenge personenbezogener Daten (z. B. E-Mail-Adresse, Vor- und Nachname sowie Postleitzahl). Nach erfolgter Auskunftserteilung mit Speicherung eines pseudonymisierten Protokolldatensatzes kann der Auskunftsdatensatz gelöscht werden. Erst mit Kenntnis der Untermenge der personenbezogenen Daten – die i.d.R. von der betroffenen Person bereitgestellt werden kann – kann zu einem späteren Zeitpunkt dargelegt werden, dass die Auskunft für die betroffene Person erteilt wurde. Aus dem Ergebnis der Einwegfunktion dagegen lassen sich die Ursprungsdaten praktisch nicht zurückrechnen. Bei erhöhten Risiken bietet es sich zusätzlich an, Zufallswerte in die Einwegfunktion einfließen zu lassen. Der Zufallswert bzw. das erzeugte Pseudonym sollte anschließend in verschlüsselter Form abgelegt werden, sodass es nur durch eine Treuhandstelle entschlüsselt werden kann.“ (S. 111 im o. g. Tätigkeitsbericht)
Neben dieser Maßnahme sollten nach Meinung der Aufsichtsbehörde, wenn die Auskunft per E-Mail erteilt wird, deren Zeitstempel und Message-ID, der sendende und empfangende Server, der Zeitstempel vom Erhalt des SMTP-Quittungscodes 250 und die Bestätigungsnachricht (SMTP-Reply mit 250-Code und gegebenenfalls weiteren Informationen) protokolliert werden. Es sollte zudem eine Konfiguration des E-Mail-Servers eingerichtet werde, nach der die E-Mail mit der Auskunft bei einem Zustellfehler zurückgesendet wird. Wenn die Auskunft per Post (Einschreiben) verschickt wird, sollte die Protokollierung dagegen Datum, Sendungsnummer, Zustellstatus und -datum sowie einen Auslieferungsnachweis beinhalten.
Auffassung der BlnBDI: Maßnahmen zur Reduzierung des Manipulationsrisikos
Sofern es im Einzelfall zu einer Beschwerde über eine erteile Auskunft kommt, verweist die BlnBDI darauf, dass diese (in vollständiger Form) durch die betroffene Person vorzulegen wäre. Um sodann erkennen zu können, ob Manipulationen an der erteilten Auskunft vorgenommen wurden, schlägt die Behörde verschiedene Maßnahmen vor, u. a. den Einsatz digitaler Signaturen, die Nutzung aufgedruckter Codes, den Einbau von Seitenzahlen oder die Verwendung von ungewöhnlichem Papier, ungewöhnlicher Druckfarbe oder ungewöhnlichen Stempeln.
Einordnung
Die Berliner Aufsichtsbehörde begründet ihre Ansicht zum datenminimierenden Nachweis der Auskunftserteilung mit einer fehlenden Erforderlichkeit der Aufbewahrung vollständig erteilter Auskünfte. Allerdings stellt sich die Frage, ob die beschriebenen Maßnahmen – also die Pseudonymisierung und Protokollierung – als „milderes Mittel“ grundsätzlich gleich effektiv und (vor allem) zumutbar sind. So geht die tatsächliche Durchführung der Maßnahmen für Verantwortliche damit einher, im Falle einer Beschwerde auf Informationen der betroffenen Person angewiesen zu sein und dürfte zusätzlich zu einem großen Aufwand führen, insbesondere bei hohem Aufkommen von Auskunftsersuchen. Zudem macht die BlnBDI keine konkreten Aussagen/Empfehlungen, wie bspw. mit herauszugebenden Kopien (Art. 15 Abs. 3 DSGVO) umzugehen ist oder mit personenbezogenen Daten, die – ggf. vorher – im Rahmen einer Identitätsprüfungen von der betroffenen Person angefragt wurden.
Weiterhin wird nicht beleuchtet bzw. einbezogen, ob die in der Auskunft enthaltenen personenbezogenen Daten ohnehin noch (als Klardatum) bei dem Verantwortlichen vorliegen (da die betroffene Person z. B. noch aktiver Kunde des Verantwortlichen ist).
Andere Aufsichtsbehörden haben in der Vergangenheit angedeutet, dass erteilte Auskünfte grundsätzlich (in nicht pseudonymisierter Form) für eine beschränkte Dauer aufbewahrt werden dürfen (z. B. LDI NRW, Tätigkeitsbericht 2019, S. 53; BayLfD, OH Recht auf Auskunft 2019, S. 56–57). Dass unbefugte Personen Kenntnis von der Auskunft nehmen, könnte – nach hier vertretener Ansicht – bspw. auch durch die Ablage der erteilten Auskünfte in einem zugriffs-/passwortgeschützten Ordner ausgeschlossen werden. Die Ausführungen der Berliner Aufsichtsbehörde dürften aus Sicht von Unternehmen und anderen (verantwortlichen) Stellen schwer nachvollziehbar und äußerst praxisfern sein.