Controlling 21
Dr. J. Schuhmacher
Hier erfahren Sie alles Wichtige über die Auskunftspflicht des Betreibers resp. das Auskunftsrecht der betroffenen Person gemäß europäischer Datenschutz-Grundverordnung (DS-GVO) sowie gemäß deutschem Bundesdatenschutzgesetz.
Selbständige, Handwerker, Kleinunternehmer und mittelständische Unternehmer (KMU) erfahren hier ganz konkret und verständlich, was Sie bezüglich der Auskunftspflicht des Betreibers resp. des Auskunftsrechts der betroffenen Person gemäß DS-GVO und BDSG wissen müssen - mit einfacher Einbauanleitung zum sofortigen kostenlosen Umsetzen.
Ein Inhaltsverzeichnis mit direkten Sprungmarken und Überblick über alle bei Auskunftspflicht des Betreibers / Auskunftsrecht der betroffenen Person in der DS-GVO, Datenschutz-Grundverordnung und dem deutschen Bundesdatenschutzgesetz - behandelten Themenbereiche finden Sie als Pop-Up.
Bitte beachten Sie, dass die beiden anderen Anforderungen an Sie und Ihre Firma in zwei separaten Artikeln behandelt werden: Die Pflichten zur Veröffentlichung der allgemeinen Datenschutzhinweise z.B. im Internet - inklusive Hintergründe und Theorie. Das Wissen sollten Sie unbedingt bereits besitzen, da es hier aus Platzgründen nicht mehr wiederholt und erklärt wird. Sowie die schriftliche Auskunftserteilung an die aufsichtsführende Behörde mittels Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 der DS-GVO. Siehe hierzu den eigenständigen Artikel VVT.
Selbstverständlich steht es Ihnen frei, zahlreiche externe Helfer für das Erteilen der Auskunftspflicht des Betreibers zu beschäftigen. Aber diese müssen vertraglich auf den Datenschutz festgelegt werden. Ansonsten droht Ihnen gleich hier wieder Ungemach mit der Weitergabe personenbezogener Daten an Dritte. Im Übrigen halte ich die externe Vergabe dieser Antwortschreiben auch aus Gründen der Vermeidung von Industriespionage für riskant. Derzeit besteht für jeden - und sei die Firma oder Verein etc. noch so klein - die Pflicht, jedem Anfragenden Auskunft zu erteilen, sei dies ein Kunde, ein ehemaliger Kunde, oder auch nur ein Nutzer Ihres Internet-Auftrittes. - Korrekt gelesen. Da kann wirklich Arbeit auf Sie zukommen.
Was muss ein Betreiber nun den Nutzern / Kunden auf deren Einzelanfrage mitteilen? Die europäische Datenschutz-Grundverordnung - DS-GVO - legt folgendes fest:
Artikel 15 regelt das Auskunftsrecht der betroffenen Person und damit auch die Auskunftspflichten des Betreibers.
Der Betreiber muss erstens darüber informieren, ob er über eine bestimmte Person Daten gespeichert hat. Ist dies nicht der Fall, reicht eine kurze und pauschale Antwort der folgenden Art aus: Es sind keine Daten zu Ihrer / der Person in unseren Systemen gespeichert.
Hat der Betreiber über eine bestimmte Person Daten gespeichert, so muss er alle gespeicherten Daten angeben, den Verarbeitungszweck / die Verarbeitungszwecke auflisten, die Kategorien personenbezogener Daten nennen, evtl. die Empfänger nennen, an die man die Daten geliefert hat oder zukünftig liefern wird, die Dauer der Speicherung angeben oder einen Verweis auf die gesetzlichen Regelungen der Speicherfristen, das Recht auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
explizit erwähnen, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
erwähnen, falls man Daten von Dritten bezogen hat, alle Angaben hierzu (siehe Artikel 14 in DS-GVO) auflisten, ggf. über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
informieren und bei Übertragung in ein Drittland die geeigneten Garantien
darlegen.
Vielleicht erkennen Sie nun selbst, warum ich im Artikel DS-GVO dringend davon abrate, bestimmte Daten zu erheben oder bestimmte Verfahren zur Datenverarbeitung zu verwenden. Sonst werden als Folge massive Mehrarbeiten bei den Auskünften auf Einzelanfragen erforderlich, die oft in keinem angemessenen Verhältnis zu den faktisch meist geringen Mehrwerten jener Daten stehen.
Erwägungsgrund / Präambel (63) geht sogar noch weiter: Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.
Einige Anbieter haben so etwas bereits implementiert. D.h. es ist technisch möglich und für große Firmen zumutbar. Gemeint sind Log-in-Systeme, hinter denen der Nutzer seine Personendaten selbst einsehen und ggf. berichtigen kann.
Auch wenn diese Forderungen manchen sehr hoch klingen, so sollten Sie darüber nachdenken. Denn diese Systeme nehmen Ihnen auch wieder viel Arbeit bei der Auskunftserteilung ab.
Im Übrigen scheint es legal zu sein, dafür die Nutzer zur Kasse zu bitten, wie man bei der SCHUFA nachlesen kann. Über 59-119 Euro Jahresgrundgebühr sowie 28,50 je Anfrage scheinen zulässig. Auch Sie müssen es nicht billiger machen.
Das Bundesdatenschutzgesetz (BDSG alt) legte bereits folgendes bezüglich der Auskunftspflicht fest: § 19 BDSG (alt) entsprach weitgehend der oben genannten europäischen Datenschutz-Grundverordnung - DS-GVO, wobei allerdings pauschal auch die Herkunft dieser Daten
erwähnt werden muss. D.h. es kann sinnvoll sein, anzuführen, dass der Nutzer / Kunde diese Daten freiwillig in ein Kontaktformular auf Ihrem Internet-Auftritt eingetragen hat.
Im BDSG NEU regelt dies § 57 ausführlich: (1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob er sie betreffende Daten verarbeitet. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören, die verfügbaren Informationen über die Herkunft der Daten, die Zwecke der Verarbeitung und deren Rechtsgrundlage, die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind, insbesondere bei Empfängern in Drittstaaten oder bei internationalen Organisationen, die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch den Verantwortlichen, das Recht nach § 60, die Bundesbeauftragte oder den Bundesbeauftragten anzurufen, sowie Angaben zur Erreichbarkeit der oder des Bundesbeauftragten.
M.E. gilt § 57 für Behörden, wird jedoch wohl analog auf Firmen angewandt werden.
Laut Selbstauskunft nach § 34 BDSG alt waren zuerst einmal leider pauschal alle Daten anzugeben, welche Sie über die Person gespeichert haben. Dies lässt sich so im BDSG NEU nicht mehr finden. D.h. ab 25.05.2018 gilt die obige Liste
Ganz so allumfassend ist das alles jedoch nicht. Es finden sich auch zahlreiche Entlastungen für den Betreiber.
Grundlegend gilt: Jeder einzelne Nutzer muss auch nach der DS-GVO selbst aktiv herausfinden, von wem und wie seine Daten verarbeitet werden, um dann erst seine Rechte einfordern zu können. - Sie habe als Betreiber somit keine Verpflichtung, jeden einzelnen (pro-) aktiv von sich aus anzuschreiben etc.
Art. 12 DS-GVO (6) legt fest, dass Sie ein Recht auf den Beweis der Identität des Anfragenden haben. Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Zur Klarstellung: Angesichts der Anonymität des Internets habe ich persönlich immer begründete Zweifel an der Identität eines per E-Mail oder sonstiger elektronischer Form Anfragenden. Man kann alles elektronisch fälschen.
Die SCHUFA fordert zur Identifizierung eine beidseitige Kopie des Ausweisformulars, das per Post (also korrekt frankiert) mit dem handschriftlich unterzeichneten schriftlichen Antragsformular zugesandt werden muss (hier das postalische deutsche Antragsformular der Verbraucherzentrale Bremen sowie das deutsche Online-Formular der SCHUFA und die Formularwahl der SCHUFA). Inzwischen kann man alle geforderten Dokumente auch einscannen / fotografieren und hochladen, statt sie per Post zuzusenden.
Dasselbe steht auch Ihnen zu. Schließlich müssen Sie die Person zweifelsfrei identifizieren.
Geben Sie niemals Daten an Unberechtigte heraus. Darauf warten viele Abmahner nur. D.h. gehen Sie davon aus, dass ein erheblicher Teil der Anfragen von Abmahnern kommt.
Auch wenn es einigen Lesern nun als unfair erscheint: Die großen Firmen schrauben die Anforderungen für die Auskunftserteilung sowohl finanziell als auch zeitlich sehr hoch und schrecken so die kleinen Querulanten erfolgreich ab. Das ist legal.
BDSG NEU hält in § 32 (1) 1. fest, dass analoge und direkte Kommunikation nicht unter die Auskunftspflicht fällt. - D.h. alle nicht digital in Dateisystemen gespeicherten Informationen über Personen sind ausgenommen.
Das betrifft z.B. Ihre Ausdrucke und Aktenordner, den klassischen Briefverkehr in Papierform etc. - M.E. fällt darunter auch analoger Film für Fotografie und Video.
Als Entlastung erleichtert Art. 11 DS-GVO (1 und 2) das Löschen von Daten, sofern sie nicht mehr benötigt werden. - Letzteres liegt oft in Ihrem Ermessen.
Oft kann man nämlich auch wichtige Kundendaten pseudonymisieren oder anonymisieren.
Ferner bietet sich an, wichtige digitale Daten für z.B. das Finanzamt auszudrucken und dann in der Datenbank zu löschen. Denn Ausdrucke / Belege / Quittungen / Rechnungen in Papierform müssen weder durchsucht noch angegeben werden.
Deshalb empfehle ich, Daten, welche keiner Sperrfrist unterliegen (z.B. einfache Anfragen von Nutzern per Kontaktformular), unbedingt schnell zu löschen. Dann müssen Sie nämlich auch nichts mehr suchen oder darlegen. Dasselbe gilt für von Personen Ihnen unaufgefordert zugesandte Daten. Das entspricht auch der Forderung nach Datenminimierung (früher: Datensparsamkeit).
Artikel 11 im Detail: Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
(1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.
(2) Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.
Satz (2) klingt erst einmal kompliziert, ist jedoch einfach. Normalerweise besitzen Kunden eine Kundennummer. Unter der werden sie in logisch programmierten Datenbanken auch gelistet. D.h. es findet sich eine Tabelle mit allen personenbezogenen Kundendaten und ggf. viele Tabellen mit den Rechnungsdaten. Verknüpft werden beide jedoch nur durch die Kundennummer. Für das Finanzamt benötigt man nur die Quittungen (heute meist als PDF gespeichert oder in Papierform abgelagert) und die Rechnungsdaten. So können Sie alte Kundendaten löschen. Danach muss der ehemalige Kunde mit seiner Kundennummer nachfragen, sonst können Sie nichts mehr finden.
Art. 12 DS-GVO (2) legt fest, In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
Die Hürde klingt höher als sie ist. Wenn Sie z.B. klassische Anfrage-E-Mails wöchentlich oder monatlich löschen, ist das eben so. Darauf weisen Sie in Ihren Datenschutzbestimmungen hin.
Auch wenn Sie sowieso nur pseudonymisierte oder anonymisierte Daten verwenden, ist die Sache damit erledigt. Dann sind Sie als Betreiber nicht mehr in der Lage, die Dinge zuzuordnen - sprich die betroffene Person zu identifizieren
.
Gemäß Art. 12 DS-GVO (4) reicht es aus, letzteres innerhalb 1 Monats der anfragenden Person mitzuteilen. Aber man muss dann dort über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen
hinweisen.
Nochmals: Sie müssen weder Papierordner noch (ausgelagerte) PDFs manuell durchsuchen.
Sie müssen keinen großen Aufwand betreiben:
§ 19 BDSG alt hielt auch fest: Sind die personenbezogenen Daten weder automatisiert noch in nicht automatisierten Dateien gespeichert, wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht.
Das kann z.B. ausgedruckte Texte betreffen, die man dafür nicht durchsuchen muss.
Im BDSG NEU findet sich dies leider nur noch im § 57 (3) Von der Auskunftserteilung ist abzusehen, wenn die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, und deshalb der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.
Die Einschränkung leider
gilt deshalb, weil noch nicht klar ist, ob die Gerichte diese für Behörden geltende Norm auch auf Firmen übertragen.
Zwar fordert Erwägungsgrund / Präambel (64): Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen.
Diese Stelle legt aber auch klar: Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.
.
Zudem erläutert Erwägungsgrund / Präambel (57) : Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten eine natürliche Person nicht identifizieren, so sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen. Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person - beispielsweise durch Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden - einschließen.
Wenn der Auskunftssuchende keine Angaben macht, müssen Sie also nicht selbst suchen.
Personenbezogene Daten, die Sie nur deshalb speichern, weil z.B. das Finanzamt dies fordert oder die Sozialsysteme sie benötigen, müssen Sie nicht angeben.
Bereits § 19 BDSG alt (2) legte fest: Absatz 1 [=Auskunftspflicht über alle Daten] gilt nicht für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
BDSG NEU hält dies in § 34 (1) 2. a) fest: nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen
Im Klartext heißt dies z.B. Ihre Quittungen und Belege sowie Unterlagen für das Finanzamt oder andere Behörden, welche Einsicht in Ihre Firmenunterlagen nehmen dürfen, müssen Sie nicht angeben.
Das hat auch Konsequenzen: Besitzen Sie z.B. die Quittungen / Rechnungen zu Kundenaufträgen, so müssen Sie die Kundendaten selbst und die dazugehörenden Vertragsdaten / Vertragsanbahnungsdaten nicht mehr in der Datenbank vorhalten. D.h. Sie können dem Anfrager / ehemaligen Kunden kurz mitteilen, dass über ihn keine Daten mehr vorliegen.
BDSG NEU hält in § 34 (1) 2. a) ferner fest, dass Sie auch keine Auskunft über Daten erteilen müssen, die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen
.
Darunter fallen alle Backups (z.B. auf CDs, DVD, Blu-rays, externen Festplatten, Bändern, etc.
Darunter fallen auch alle Sammlungen über Querulanten, welche Sie speichern müssen (siehe unten).
Bereits § 1 (2) 3) BDSG (NEU) hält fest: Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
Auch im BDSG (NEU) ist im § 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten eine ganze Liste von Ausnahmen erwähnt, u.a.: Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.
Das kann z.B. bei Dienstleistern ein Geheimhaltungsvertrag (Non-Disclosure-Agreement) mit einem Auftraggeber sein.
BDSG NEU hält in § 33 (1) 2. fest, dass Sie keine oder nur eingeschränkte Auskunft an Personen erteilen müssen, mit denen Sie zivilrechtlich oder strafrechtliche Streitfälle anhängig haben, oder wenn die Auskunft evtl. zu Schäden (gegen Sie) durch Straftaten führen kann: a) die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigen würde oder die Verarbeitung Daten aus zivilrechtlichen Verträgen beinhaltet und der Verhütung von Schäden durch Straftaten dient
Mit anderen Worten: Sie müssen keine Informationen herausgeben, welche Sie selbst oder Ihre IT-Systeme oder Ihre Firma in irgendeiner Weise gefährden.
Jedoch kann man nun nicht pauschal alle Anfragen so aushebeln. Denn fast immer findet sich die Einschränkung: ... sofern nicht das berechtigte Interesse der betroffenen Person an der Informationserteilung überwiegt.
Das muss im Zweifel ein Gericht klären, da es sich um eine oft im Detail sehr schwierige Güterabwägung handelt.
Überdies muss der Verantwortliche in allen Fällen der verweigerten oder eingeschränkten Auskunft an Anfragende bei sich schriftlich die Gründe für jeden Einzelfall festhalten. Denn dies kann ggf. überprüft / angefochten werden.
Trotz allem kann es sinnvoll sein, bereits in der öffentlichen Datenschutzerklärung im Internet auch auf die rechtlichen Einschränkungen der Auskunftspflicht hinzuweisen. Um nicht allzu aggressiv zu erscheinen, braucht man in der eigenen Datenschutzerklärung nicht auf jede explizite Einschränkung hinzuweisen. D.h. Sie müssen nicht so unhöflich sein wie Apple (2018): Wir können die Bearbeitung von Anfragen ablehnen, wenn diese anstößig/belästigend sind, die Persönlichkeitsrechte anderer gefährden, extrem unpraktikabel sind oder wenn eine Auskunftserteilung nach der jeweiligen Rechtsordnung ansonsten nicht vorgesehen ist.
Aber der folgende Zusatz ist durchaus erlaubt und sinnvoll:
Der Betreiber weist darauf hin, dass für jeden Nutzer ein Recht auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung und ein Widerspruchsrecht gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit besteht. Bitte beachten Sie in diesem Zusammenhang die Art. 12 DS-GVO und Bundesdatenschutzgesetz (BDSG) § 32ff.
In jenen Paragrafen stehen neben den Rechten des Nutzers / Kunden eben auch alle Einschränkungen.
Die DS-GVO erwähnt in Artikel 15 (3): Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
Das ist ganz unglücklich, da sie die Form dem Anfragenden überlässt. Besteht er auf Papier-/Briefform, dann müssen Sie einen teuren Brief mit Porto versenden.
Gängiges Dateiformat meint wirklich klassische Textverarbeitung. Das sogenannte RTF-Format, das jede Software beherrscht, muss reichen. Jedes Programm muss akzeptiert werden. Sie müssen dazu keine neue Software anschaffen.
§ 19 BDSG alt hielt hingegen fest: Die verantwortliche Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen.
- Sie müssen also kein Jurist sein. Normales Deutsch muss akzeptiert werden. Auch die Form ist somit freigestellt. Sie benötigen folglich auch keine teuren Formularvordrucke.
Im BDSG NEU findet sich dies so nicht mehr: Dafür steht in § 59 Verfahren für die Ausübung der Rechte der betroffenen Person: (1) Der Verantwortliche hat mit betroffenen Personen unter Verwendung einer klaren und einfachen Sprache in präziser, verständlicher und leicht zugänglicher Form zu kommunizieren.
- Wenn diese Anweisung für Beamte (oft Juristen) gilt, dann darf man sich als einfacher Unternehmer ebenso ausdrücken.
De facto finden sich keine expliziten Anforderungen an die Form oder Reihenfolge der Inhalte. Sie dürfen also selbst ein Word-/Text-Dokumente entwerfen.
Aber Vorsicht: Die Mindest-Inhalte sind genau vorgegeben. Siehe dazu unten das Muster und oben die beiden Kapitel Auskunftspflicht DS-GVO und BDSG.
Erstaunlicher Weise wird in der DS-GVO die Sprache für europäische Anbieter nicht explizit erwähnt, weder für die Datenschutzerklärung noch die Auskunftserteilung. Es findet sich nur ein indirekter Hinweis für außereuropäische Firmen in Erwägungsgrund / Präambel (23), der von Gerichten wohl analog angewendet werden wird:
Damit einer natürlichen Person der gemäß dieser Verordnung gewährleistete Schutz nicht vorenthalten wird, sollte die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten. Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten. Während die bloße Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, hierfür kein ausreichender Anhaltspunkt ist, können andere Faktoren wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, darauf hindeuten, dass der Verantwortliche beabsichtigt, den Personen in der Union Waren oder Dienstleistungen anzubieten.
Ansonsten wird nur immer wieder auf die zu verwendende einfache Sprache
hingewiesen.
Amtssprache des Firmensitzes.
Die Amtssprache in Deutschland ist deutsch. Also müssen Sie Auskunft an Anfrager nur in deutscher Sprache erteilen, sofern Sie selbst nur in Deutschland / im deutschsprachigen Raum tätig sind.
Das ist unabhängig davon, welche Sprache der Nutzer / Kunde spricht.
Lassen Sie sich auf keinen Fall aus Gefälligkeit zu Auskünften in Fremdsprachen hinreißen, die Sie zu beherrschen glauben - weder mündlich noch schriftlich.
Etwas anders sieht es jedoch bei mehrsprachigen Internet-Auftritten oder Firmen mit Niederlassung im fremdsprachlichen Ausland aus. Die DS-GVO regelt nämlich, dass jeder Nutzer eine Beschwerde bei seinem zuständigen (Landes-) Datenschutzbeauftragten erheben kann.
Bei Filialen der Firma im Ausland ist dann dort zwingend auch die Auskunft an diese eindeutig nachgewiesene Ziel- und Kundengruppe in deren (europäischer) Sprache zu liefern.
Schwieriger ist jedoch die Grenze beim Internet-Auftritt zu ziehen. Ein paar Beispiele:
Eine deutsche Domain / Internet-Adresse (mit der Endung .de), ein nur deutscher Auftritt ist eindeutig. Wer diesen benutzt oder sogar darüber Kunde wird, ist sich der Amtssprache bewusst und muss dann damit leben.
Strittig werden jedoch lange Zeit die üblichen Gemischtauftritte bleiben: Eine einzige Seite Englisch bei dutzenden oder eventuell sogar über hundert deutschen Inhalten, macht daraus keinen englischen Auftritt.
Fraglich wird es jedoch bereits bei internationalen Domains, wie .com (eigentlich einmal für commercial - also - englischsprachige - Firmen gedacht), .info, .net etc.
Wer solche Adressen - aus früher sinnvoller Sammelleidenschaft - zusätzlich besitzt, sollte sie nun unbedingt hart auf die deutsche Adresse weiterleiten. D.h. wer www.IhrFirmenname.com eingibt, wird sofort und zwangsweise auf www.IhrFirmenname.de geleitet. - Sie können es ja einmal mit meiner Adresse controlling21.com ausprobieren.
Die oft zu findenden Auftritte mit bereits in der Adresse erkennbaren technischen Unterrubriken, wie /de/, /en/, /fr/ etc. sowie prozentual sehr vielen fremdsprachlichen Inhalten deuten jedoch eher auf einen bewusst mehrsprachig ausgerichteten Auftritt, der dann eben auch gezielt mehrsprachige Nutzer und Kunden anspricht.
Bei Kontaktformularen, Bestell-/Auftragsformularen in einer Fremdsprache wird die Ausrichtung noch deutlicher.
Überlegen Sie sich in solchen Zweifelsfällen Ihre eigenen kommerziellen Ausrichtungen wirklich genau, und überprüfen Sie dann auch deren Nutzen. - Eventuell stellen Sie so fest, dass Sie die eine oder andere Domain / Internet-Adresse nicht mehr wirklich benötigen. Die Suchmaschinen bewerten diese Doppelindizierung heute sogar oft negativ. D.h. kündigen Sie diese Domains. Das spart oft Geld. Und bei genauer Analyse werden manche Firmen auch erkennen, dass so mancher Fremdsprachenauftritt keinen Nutzen / Gewinn im Verhältnis zum nun nochmals durch den Datenschutz steigenden Aufwand erwirtschaftet. Also löschen Sie ihn komplett.
Eine zusätzliche ausländische Domain / Internet-Adresse (z.B. mit der Endung .fr für Frankreich) ein darauf befindlicher kompletter - d.h. eigenständiger - französischer Auftritt ist meines Erachtens wiederum eindeutig. So viel Aufwand treibt ein Unternehmer nur, wenn er wirklich direkt auf diese Nutzer und Kundenzielgruppe aus ist. Dann müssen Sie wohl oder übel nicht nur eine Datenschutzerklärung in jener Fremdsprache anbieten, sondern auch die Auskünfte in jener Fremdsprache leisten.
Leider sieht es in Bezug auf die Anzahl der Auskünfte für Betreiber derzeit sehr ungünstig aus: Die DS-GVO spricht in Artikel 15 (3) von einer Erleichterung, die jedoch viele Leser missverstehen wollen. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen.
Meines Erachtens regelt dies nur die Anzahl der auszuhändigen Kopien je Anfrage. Hier steht nichts von einer Anfrage überhaupt, oder einer Anfrage je Jahr, oder Halbjahr oder Quartal oder Monat. Daraus folgt leider, dass nach europäischem Recht Querulanten unendlich oft Anfragen dürfen.
Das Bundesdatenschutzgesetz (BDSG) § 34 alt (8) hielt bis 24.05.2018 fest: Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, kann der Betroffene einmal je Kalenderjahr eine unentgeltliche Auskunft in Textform verlangen.
Und: Für jede weitere Auskunft kann ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. Das Entgelt darf über die durch die Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten nicht hinausgehen.
Das BDSG NEU geht jedoch nicht mehr so spezifisch darauf ein. Vor allem fehlt die Beschränkung auf eine Auskunft je Jahr. - Daraus folgt, dass Sie auch nach deutschem Recht mit vorsätzlich geschäftsschädigenden Querulanten rechnen müssen, die andauernd solche Auskünfte fordern.
Inzwischen wurde mir ein Betreiber einer spezialisierten aber sehr großen kostenlosen deutschen Suchmaschine bekannt, der in der Grundannahme von bis zu 5.000 zu beantwortenden Anfragen je Monat und im schlimmsten Szenario mit bis zu 10.000 Anfragen je Monat rechnet. Er stellte deshalb den Betrieb dieses kostenlosen Angebotes rechtzeitig vor dem 25.05.2018 ein.
Die EU schadet somit mit der DS-GVO vorsätzlich nicht nur europäischen Firmen, indem sie ihnen sinnlose Mehrkosten auferlegt, sondern sogar europäischen Interessen. Kostenlose Suchmaschinen werden zukünftig wohl nur noch im außereuropäischen Ausland betreibbar sein. - Ergänzung: Google war nie kostenlos. Erstens bezahlen Sie mit Ihrer gegen jeden weltweiten Datenschutz verstoßenden Datennutzung und zweitens verlangt Google für fast jeden Service
(von der bezahlten Bevorzugung von Links auf seinen Ergebnisseiten / Suchtreffern angefangen) Geld.
Zur Erläuterung des Aufwandes: Erfahrene Personen können eine Anfrage in etwa 15 Minuten korrekt beantworten. Daraus folgt, dass man 4 Auskunftsersuchen in einer Stunde und 24 an einem Arbeitstag bearbeiten kann. Dabei sind Negativauskünfte, wie schneller zu erledigende Antworten der Art: Über Sie liegen keine Personendaten vor
bereits eingeschlossen. - Unterschätzen Sie den Aufwand nicht.
Im konkreten Fall würde dies dazu führen, dass man bei real 20 Arbeitstagen im Monat, Urlaub und Krankheitsausfall etc. bei 5.000 Anfragen monatlich mit rund 10 neu anzustellenden teuren Fachkräften rechnen muss. Und dann tritt wieder ein weiterer Paragraf in Kraft: Ab 10 Personen, die sich ständig mit Personendaten befassen, benötigen Sie einen zusätzlichen Datenschutzbeauftragten. Mit dieser Person steigen dann nicht nur die Personalkosten weiter, sondern es werden weitere kostenpflichtige Forderungen an Sie gestellt.
Schätzen Sie Ihr Risikopotential präzise ein. Auch schaltete manche von mir kostenlos angebotenen Dienste zum Mai 2018 ab. Und Kosten-Nutzen-Analysen bei meinen Kunden führten ebenfalls dazu, dass einige sich von manchen Dingen trennten resp. zukünftig trennen werden.
Einschränkungen der Auswüchse sind nur wenige erkennbar:
Art. 12 DS-GVO (5) legt fest, dass Sie ein Recht auf Kostenersatz bei Querulanten haben oder deren weitere Anfragen sogar verweigern dürfen. Dazu müssen Sie jedoch die Anträge sammeln, um das belegen zu können.
Artikel 12 (5) DS-GVO lautet: Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
b) sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
Das ist derart vage, dass Gerichte dies in den kommenden Jahren regeln müssen.
Im BDSG NEU findet sich unter § 14 (4) 2 und 3): Bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger Wiederholung, exzessiven Anfragen kann die oder der Bundesbeauftragte eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die oder der Bundesbeauftragte die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.
Ebenso BDSG NEU § 59 Verfahren für die Ausübung der Rechte der betroffenen Person (3): Die Erteilung von Informationen ... und die Bearbeitung von Anträgen ... erfolgen unentgeltlich. Bei offenkundig unbegründeten oder exzessiven Anträgen ... kann der Verantwortliche entweder eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. In diesem Fall muss der Verantwortliche den offenkundig unbegründeten oder exzessiven Charakter des Antrags belegen können.
Beides bezieht sich zwar auf öffentliche Stellen, wird von Gerichten vermutlich jedoch analog auf Firmen angewandt werden.
Abschließend wage ich die Prognose, dass man in den kommenden Jahren den gigantischen Missbrauch wieder auf 1 Anfrage pro Jahr beschränken wird. Aber so lange muss jeder zittern.
Der Landesdatenschutzbeauftragte von Bayern hat bereits publiziert, das derzeit die Auskunftserteilung elektronisch als PDF erfolgen darf: Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DS-GVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z. B. im PDF-Format)
.
Laut Art. 12 DS-GVO (3) müssen auskunftspflichtige Stellen bei Anfragen innerhalb eines Monats nach Eingang des Antrags
Auskunft erteilen, bei komplexen oder vielen Anfragen darf es auch 3 Monate dauern. Dann muss man der anfragenden Person jedoch die Fristverlängerung mitteilen: (3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.
BDSG NEU hält in § 32 (3) fest, dass sich Fristen z.B. durch Urlaub und Erkrankung für Sie um 2 Wochen nach Wegfall des Hinderungsgrundes verlängern.
De facto bieten die Fristen für Sie als Betreiber die einzige Möglichkeit, Querulanten und Verbrecher etwas Einhalt zu gebieten.
Der Eingang der Anfrage muss dokumentiert werden: D.h. digitale Anfragen / Dateien müssen extern gesichert werden. Briefe müssen mit Datums-Eingangstempel versehen und samt Umschlag abgelegt werden.
Prüfen Sie bei Briefen sofort die Übereinstimmung zwischen Briefdatum und Poststempel und markieren Sie Differenzen. Wer als Anfrager hier absichtlich deutlich unterschiedliche Daten wählt, hat böse Absichten.
Sie sollten die Anfragen sofort bearbeiten. - Aber Sie müssen Sie ja nicht sofort zurückschicken. Da kann in der heute stressigen Zeit immer wieder etwas dazwischen kommen. Allerdings sollte man mit Wiedervorlagenmappen mit Tagesraster den Absendetermin auf maximal 28 Tage nach Eingang legen, damit man inklusive internem Versand sicher unter den 30 Tagen eines bei Fristen oft verwendeten Bank-Monats bleibt.
Es klingt hart. Aber nur so können Sie die Anfragen von Querulanten, Abmahnanwälten bis hin zu organisierten Kriminellen auf ca. 11 pro Jahr beschränken.
Von der Nutzung der Fristverlängerung halte ich wenig. Schließlich müssen Sie die Arbeit ja doch irgendwann machen. Und Abmahnanwälte schicken Ihnen sowieso immer weitere Anfragen. Der abzuarbeitenden Berg wird somit immer höher.
Die folgenden Details sind im Grunde banal und (hoffentlich) bekannt:
Art. 16 DS-GVO regelt das Recht, falsche Daten unverzüglich berichtigen zu lassen.
Art. 17 DS-GVO regelt das Recht, Daten unverzüglich löschen zu lassen. Davon gibt es jedoch zahlreiche Ausnahmen:
Wichtig für Sie als Betreiber bleibt der Punkt, dass Sie keine Daten löschen müssen, die Sie zur Durchsetzung eigener Rechte benötigen. So dürfen Sie z.B. beleidigende Schreiben von Nutzern bis zur endgültigen gerichtlichen Klärung aufbewahren.
Dies gilt selbstverständlich auch für alle Vertragsunterlagen, falls ein Kunde z.B. in Zahlungsverzug ist.
Nochmals zur Beruhigung: Auch der neue Datenschutz setzt keine anderen allgemeinen Rechte außer Kraft.
Erwägungsgrund / Präambel (68) schränkt z.B. ein: Dieses Recht sollte zudem das Recht der betroffenen Person auf Löschung ihrer personenbezogenen Daten und die Beschränkungen dieses Rechts gemäß dieser Verordnung nicht berühren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung des Vertrags notwendig sind.
Auch BDSG NEU schränkt in § 35 das Recht des Anfragenden auf Löschung ein. Die Details sind zwar kompliziert. Aber der letzte Punkt dürfte für alle Firmen, Vereine oder Verbände relevant sein: wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.
Art. 18 DS-GVO regelt das Recht, die Einschränkung der Verarbeitung zu verlangen. Dabei werden die Daten weiterhin gespeichert, aber nicht mehr verwendet. Davon gibt es jedoch zahlreiche Ausnahmen.
Art. 19 DS-GVO regelt die Mitteilungspflicht bei Art 16-18 über die durchgeführten Maßnahmen. Wenn ein Nutzer Daten geändert, gelöscht oder einschränken haben will, so muss der Betreiber ihn über die Umsetzung des Wunsches informieren.
Art. 20 DS-GVO regelt das Recht auf Datenübertragbarkeit. Das klingt kompliziert, ist jedoch einfach:
Sie speichern Daten in der Regel in einer Datenbank - d.h. strukturiert. Dann hat der Nutzer / Kunde das Recht, diese Daten von Ihnen auch strukturiert zu erhalten bzw. sie strukturiert weiterzuleiten / weiterleiten zu lassen. Stellen Sie sich eine Datenbank wie eine Excel-Tabelle vor. Daraus folgt: Sie sollten die Daten (sofern möglich) dem Anfragenden ggf. Zeilenweise zukommen lassen und nicht als endlosen unlesbaren Datenmüll in einer Zeile. Die WKO erwähnt ausdrücklich das CSV-Dateiformat als ausreichend.
Aber Erwägungsgrund / Präambel (68) schränkt ein: Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten.
Ursprünglich war dies für Großkonzerne mit großen Nutzerdatenspeicher (wie die Konten bei sozialen Netzwerken) gedacht, bei denen die Nutzer eine Umzugsmöglichkeit der eigenen Daten erhalten sollten. Klassische Firmen sind davon nicht betroffen.
Art. 21 DS-GVO regelt das Widerspruchsrecht: Dies betrifft diverse Fälle der Datenerhebung, von denen ich bereits abgeraten habe, u.a. Direktwerbung und das Profiling sowie für Firmen eher seltene Fälle.
Art. 22 DS-GVO regelt automatisierte Entscheidungen im Einzelfall einschließlich Profiling: Dies betrifft diverse Fälle der Datenerhebung, vor denen ich bereits gewarnt habe.
Art. 23 DS-GVO regelt die Rahmenbedingungen, innerhalb derer diese von der EU erlassene Datenschutz-Grundverordnung DS-GVO gesetzlich eingeschränkt werden kann. Im Grunde regelt er die weitgehende Einheitlichkeit des Datenschutzes in Europa. Deshalb darf z.B. das Bundesdatenschutzgesetz für Deutschland auch nur in kleineren Punkten - aber durchaus entscheidend - abweichen.
Im Gegensatz zum VVT dürfen bei der Auskunftserteilung gemäß Auskunftspflicht des Betreibers / Auskunftsrecht der betroffenen Person keinerlei inhaltliche Fehler unterlaufen.
Prüfen und bearbeiten Sie die schriftlichen Anfragen berechtigter Nutzer und Kunden innerhalb der gesetzlichen Fristen. (Siehe Fristen oben)
Sie müssen dann eine Kopie des Datensatzes bei Ihnen zur Verfügung stellen.
Ein denkbares Antwortschreiben finden Sie bei heise. Ein weiteres Antwortschreiben finden Sie bei WKO. - Ganz locker: Österreich gehört zur EU und erfüllt exakt dieselben Bestimmungen wie Deutschland.
Für Ihre Fragen und Aufträge zum Datenschutz im Internet verwenden Sie bitte das Kontaktformular
Alle oben niedergeschriebenen Fakten können Sie in den folgenden Quellen nachprüfen. Deshalb werden sie als Belege angeführt, nicht nur für diejenigen, welche sich vertieft weiterbilden wollen.
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES - vom 27. April 2016, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR)
Vorsicht: direkt im Anschluss - unten dran - befindet sich RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES, vom 27. April 2016, die Behörden betrifft. Letzterer ist für Firmen nicht gemeint.
Neues Bundesdatenschutzgesetzes (BDSG) - gültig ab 25.05.2018 (=Bundesdatenschutzgesetzes V2 - nicht immer funktioniert jeder Link.)
Neues Bundesdatenschutzgesetzes Einzelparagrafen (BDSG) - gültig ab 25.05.2018.
Bundesdatenschutzgesetzes (BDSG) NEU
Neues Bundesdatenschutzgesetzes (BDSG) - gültig ab 25.05.2018.
Neues BDSG § einzeln aufgelistet - Vorsicht: Privatanbieter
Handreichungen für kleine Unternehmen und Vereine - zahlreiche Muster für VVTs und Auskunftpflichten
Controlling21.de - Dr. J. Schuhmacher
Internet und Multimedia in Perfektion