Die Betroffenenrechte, unter anderem auch das Auskunftsbegehren nach Art. 15 DSGVO, zählen zu den bedeutungsvollsten Instrumenten der DSGVO und sollten in jedem Fall konform umgesetzt werden. Andernfalls drohen dem Verantwortlichen sogar Bußgelder.

Nach Art. 15 DSGVO steht es dem Betroffenen zu, vom Verantwortlichen umfangreiche Auskunft über die Verarbeitung der ihn betreffenden personenbezogenen Daten zu verlangen. Der Anspruch reicht nach Lesart der Verordnung so weit, dass der Betroffene beispielsweise eine Kopie „seiner“ Daten verlangen kann (Art. 15 Abs. 3 DSGVO).

Angesichts des weitreichenden Umfangs der Auskunft wird in der Regel eine Personenidentifikation gefordert, um nur der berechtigten Person die sensiblen Informationen mitzuteilen und damit Datenpannen und den Missbrauch dieser Rechte zu vermeiden. Je sensibler die angestrebten Daten sind, desto höhere Bedeutung geht von der Personenfeststellung und damit der Kontrolle bei der Umsetzung des Betroffenenrechts aus. Bei begründeten Zweifeln an der Identität des Betroffenen kann der Verantwortliche weitere Informationen anfordern, „die zur Bestätigung der Identität der betroffenen Person erforderlich sind.“ (Art. 12 Abs. 6 DSGVO).

In einfachgelagerten Fällen und bei Kenntnis der Person reicht eine Beantwortung der eingegangenen Anfrage per E-Mail aus; hat die Auskunft nach Art. 15 DSGVO umfangreichere personenbezogene Daten zum Gegenstand, sollte sich der Verantwortliche von der Identität des Anfragenden überzeugen, z.B. durch Nachfragen der Anschrift oder des Geburtsdatums der Person. Denn werden beispielsweise Patientendaten an die falsche Person versandt, liegt ein Datenschutzverstoß vor, der neben Maßnahmen der Aufsichtsbehörde (mit drohendem Bußgeld) auch eine Strafbarkeit des auskunftsgebenden Arztes bzw. der auskunftsgebenden Person aus diesem Pflichtenkreis zur Folge haben kann.

Damit einhergehend stellt sich ferner die Frage nach einem angemessen sicheren Kommunikationsweg für die Mitteilung der begehrten Auskunft. Dies kann per (verschlüsselter) E-Mail in elektronischer Form oder aber bei erhöhten Anforderungen auch auf dem postalischen Weg (vielleicht sogar als Einschreiben) erfolgen.

Dem jüngst veröffentlichten Tätigkeitsbericht für das Jahr 2018 der Hamburger Aufsichtsbehörde im Datenschutz ist eine interessante Meldung über eine Anordnung der Behörde zu entnehmen (S. 95ff), die eine Umsetzung der Betroffenenrechte zum Gegenstand hatte.

In dem darin vorgestellten Fall begehrte ein Betroffener die Auskunft nach Art. 15 DSGVO von einem Hamburger Klinikum als Verantwortlichem für die Datenverarbeitung. Der Antrag wurde per E-Mail gestellt. Die gewünschte Auskunft, die offenkundig auf eine Kopie seiner Patientenakte abzielte, wollte die Klinik demnach nur gegen persönliche Vorlage des Personalausweises erteilen. Die Personenidentifikation sollte vor Ort mit Vorlage des Personalausweises umfassend Sicherheit für beide Seiten bieten. Da der Antragsteller jedoch in Südniedersachsen wohnte, würde der persönliche Besuch vor Ort bei der Klinik eine mehrstündige Anreise bedeuten. Auf Grund dieser Unstimmigkeiten erhielt der Betroffene nicht innerhalb des gesetzlich vorgeschriebenen Zeitraums die Auskunft. Ebenso erschien dem Verantwortlichen der postalische Versand dieses Dokuments zu unsicher, da die Daten dabei verloren gehen könnten. Diese Argumente der Klinik überzeugten jedoch nicht den Landesdatenschutzbeauftragten aus Hamburg.

Hierzu heißt es im Tätigkeitsbericht für das Jahr 2018:

„Art. 12 Abs. 1 DSGVO fordert, dass Auskünfte in „leicht zugänglicher Form“ erteilt werden sollen; Art. 15 Abs. 3 Satz 3 DSGVO besagt, dass bei einem elektronisch gestellten Antrag die begehrten Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen sind. Diesen Anforderungen war mit dem Angebot einer persönlichen Übergabe der Datenkopie gegen Vorlage des Personalausweises bei mehrstündigem Anreiseaufwand nicht genügt. Ebenso konnten die von der Verantwortlichen angemeldeten Zweifel an der Identität des Betroffenen die Weigerung einer Übermittlung in elektronischem Format nicht begründen. Bei der Ermittlung der an die Identitätsprüfung gestellten Anforderungen ist vielmehr der Verhältnismäßigkeitsgrundsatz zu beachten und muss eine Aushöhlung der Betroffenenrechte durch übersteigerte Anforderungen an die Identitätsfeststellung vermieden werden.“

Umso überraschender ist die Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr. Casper, dass dem außerhalb Hamburgs lebenden Betroffenen auf anderer, einfacherer Weise sein Begehren ermöglicht werden soll. Offenbar wurde in den von der Klinik vorgetragenen Schutzvorkehrungen eine Gefahr der „Aushöhlung der Betroffenenrechte durch übersteigerte Anforderungen an die Identitätsfeststellung“ gesehen.

Im Ergebnis entschied sich die Klinik dazu, dem Betroffenen telefonisch ein Kennwort durchzugeben, mittels welchem dieser seine begehrten Dokumente in einem passwortgeschützten Verzeichnis von einem Server abrufen konnte. Eine weitere Personenidentifikation fand wohl nicht statt. Näheres ist leider nicht bekannt.

Ob dieser gewählte Weg des Zugriffs auf die Patientenakte über das Internet jedoch genügend Datenschutz und ebenso ausreichend IT-Sicherheit bei der Verarbeitung von Patientendaten bietet, kann sicherlich hinterfragt werden.

Fazit

Insgesamt lässt sich bei diesem geschilderten Einzelfall aus der Praxis konstatieren, dass die „schnelle“ und „unkomplizierte“ Umsetzung des Auskunftsbegehren nach Art. 15 DSGVO offensichtlich als höherrangig gegenüber den Anforderungen an die IT-Sicherheit und den allgemeinen Datenschutz vom Landesdatenschutzbeauftragten für Hamburg erachtet wurde. Der wenig detailreich vorgestellte Fall wirft nach unserer Ansicht einige Fragen auf. Es hätten sicherlich andere bzw. risikoärmere Wege der Überprüfung der Person und sicheren Übermittlung der begehrten Daten innerhalb kürzester Zeit bestanden. Zudem zeichnet sich ein Bild, wonach im Zweifel das Betroffenenrecht trotz datenschutzrechtlicher Bedenken innerhalb der Frist umgesetzt werden sollte. Erschwerend kommt hinzu, dass der Verantwortliche die Gründe für eine Personenidentifikation nach Art. 12 Abs. 6 DSGVO wie auch der Verzögerung bei der Umsetzung vortragen muss.