[E-Mail:] „Sehr geehrte Damen und Herren,
bitte teilen Sie mir gem. § 34 BDSG mit, welche Daten Sie über mich gespeichert haben.
Mit freundlichem Gruß,
Name“

So oder ähnlich werden in jüngster Zeit vermehrt „Auskunftsersuchen“ an Unternehmen gerichtet. Immer per E-Mail. In letzter Zeit scheinen sich diese Auskunftsersuchen zu häufen, auch vor diesem Hintergrund war und ist Skepsis angebracht, wie ernst (im Sinne von: „Es interessiert mich tatsächlich, welche Daten über mich gespeichert sind“) solche Ersuchen zu verstehen sind und vor allem, ob diese auch berechtigt sind, genauer: Ob der Anfragende auch tatsächlich Betroffener im Sinne des Bundesdatenschutzgesetzes (BDSG) ist, oder ob auf diese Weise nicht eher versucht wird, Daten- bzw. Adressbestände aufzubauen bzw. zu ergänzen.

Wie sollte mit solchen Auskunftsersuchen umgegangen werden?

Zum einen ist es quasi ein daten­schutzrechtliches „Grundrecht“, genau zu erfahren, welche Daten über mich gespeichert sind und zu welchen Zwecken diese verarbeitet (und ggfls. auch an Dritte übermittelt) werden. Zum anderen wiederum besteht bei dubiosen Auskunftsersuchen die Gefahr, ein anderes daten­schutz­rechtliches „Grundrecht“ zu verletzen, nämlich personenbezogene Daten an Dritte unbefugt zu übermitteln – wenn nicht die Identität des Anfragenden zweifelsfrei festgestellt wird.

Eine Zwickmühle….?

Nicht unbedingt. Allerdings nur dann nicht, wenn dem Anfragenden vermittelt werden kann, dass nicht nur seinerseits die Voraussetzungen des Auskunftsrechts vorliegen müssen, sondern seitens der verantwortlichen Stelle auch diejenigen der Auskunftspflicht. Lassen Sie mich dazu ganz kurz auf die relevanten Anforderungen des § 34 BDSG eingehen („einfache“ Auskunft ohne Besonderheiten wie Adresshandel, Auskunf­teien etc.). Nach § 34 Abs. 1 BDSG

  • hat [die verantwortliche Stelle]
  • dem Betroffenen
  • auf Verlangen

Auskunft zu erteilen über […] die zu seiner Person gespeicherten Daten, […] den Empfänger oder die Kategorien von Empfängern […] sowie […] den Zweck der Speicherung.

Liest sich zunächst recht einfach – kann in der praktischen Umsetzung jedoch durchaus schwierig sein. Tatsächlich ist die einzige „greifbare“ Voraussetzung lediglich ein Auskunftsverlangen des Betroffenen, ohne dass hierzu ein (nachzuweisendes) rechtliches Interesse o.ä. vorliegen müsste. Auch ein bestimmtes Schriftformerfordernis wird nicht verlangt, so dass das Auskunftsverlangen auch durchaus per E-Mail oder auch mündlich gestellt werden kann. Allerdings besteht die Auskunfts­pflicht tatsächlich nur gegenüber dem Betroffenen – und zur Feststellung der Identität des Betrof­fen­en kann die verantwortliche Stelle innerhalb ihres Ermessensspielraums selbst bestimmen, welche Identifikationsmerkmale zusätzlich zu bspw. Name und Adresse noch anzugeben sind, um sowohl den Anfragenden, als auch den ent­sprechenden Datensatz zutreffend zu identifizieren. Wenn dies seitens des Anfragenden nicht erfolgt und/oder Betroffener und Datensatz nicht zweifelsfrei zuzuordnen sind, entfällt die Auskunftspflicht – da keine personenbezogenen Daten vorliegen.

Empfehlung

Vor diesem Hintergrund empfehlen wir dringend, bei ähnlich „einfach“ formulierten Auskunfts­ersuchen wie dem eingangs zitierten, vom Anfragenden weitere Identifikationsmerkmale zu erfragen, aufgrund derer zweifelsfrei bestimmt werden kann, ob der vermeintlich Anfragende auch der Betroffene ist und eine Zuordnung eines Datensatzes (so er denn tatsächlich vorliegt) möglich ist. Dies können je nach Umfang des Datensatzes und Art der Kundenbeziehung eines oder mehrere zusätzliche Daten sein, die zunächst der Anfragende liefern muss, bevor eine Auskunft erteilt wird. Ein Großteil zweckfremder Anfragen kann vermutlich bereits auf diese Weise gefiltert werden. Ergänzend sollte der Anfragende darauf hingewiesen werden, dass für die weitere Kommunikation nur bereits bekannte bzw. bestehende Adressinformationen (sei es eine bereits bekannte E-Mail-Adresse oder postalische Adresse) genutzt werden. Soweit E-Mail als Medium verwendet wird, sollte mit dem Hinweis auf die Unsicherheit unverschlüsselter E-Mails grundsätzlich eine postalische Kommunikation empfohlen werden.