Nach dem BGH-Urteil vom 15.06.2021 (VI ZR 576/19) muss das Auskunftsrecht ja nun sehr weitreichend ausgelegt werden. Wenn man nun jegliche Aktenvermerke, Gesprächsnotizen und Mail-Archive durchsuchen und beauskunften muss, würde das zum einen extremen Arbeitsaufwand bedeuten und zum anderen würde man sich z. B. in einem Rechtsstreit komplett offen legen.
Kann das noch Sinn eines Datenschutz-Auskunftsersuchen sein oder ist das eher ein Mißbrauch zu anderen Zwecken?
Oder muss man in Zukunft gegenüber Behörden und Unternehmen immer alle Anliegen von Neuem erklären, weil alles frühere radikal gelöscht wird?
Man sollte eben nichts aufschreiben, was man später von niemandem lesen lassen möchte.
Es sollen ja nicht nur Aufzeichnungen unter die Auskunftspflicht fallen, sondern auch auf die Person beziehbare Überlegungen und Handlungen, z. B. warum jemand an der entsprechenden Stelle eingesetzt wurde. Das geht m. E. etwas weit, weil in der Praxis nicht mehr objektiv feststellbar wäre, ob das nachträgliche Formulieren für die Auskunft der Realität entspricht.
Was (vor Eingang des Antrags) nicht mehr da ist, kann nicht verbeauskunftet werden. Einerseits will und muss man Vieles dokumentieren, andererseits so wenig wie möglich aufbewahren (Speicherbegrenzung).
Der Aufwand für die Auskunft sollte kein Problem der Betroffenen sein, sodern die Verantwortlichen müssten ihre Daten auskunftsfähig organisieren. (Wunsch: “Auskunftsknopf”.)
Nach einigen Ansichten von Aufsichtsbehörden sollen Daten nicht in Auskünfte aufgenommen werden, wenn Anträge offensichtlich vom Sinn der Auskunft abweichen, z. B. rechtsmißbräuchlich gestellte Anträge, oder wenn Auskünfte und Datenkopien erkennbar allein mit dem Ziel angefordert werden, sich in einem laufenden Rechtsstreit Vorteile zu verschaffen. Dabei stellen sich manche Betroffene selbst ein Bein, weil sie die Reihenfolge Klage - Drohung mit Auskunft - Auskunft ungünstig einrichten. Das BGH-Urteil wird eine solche Argumentation zukünftig erschweren. Prinzipiell sollte ein aktueller Streit einer Auskunft nicht entgegenstehen.
D., der gern saubere Aufzeichnungen hätte, die sich auch herzeigen lassen. Oder nichts. Besser nichts. So wenig wie möglich.
Das sagt sich leicht. Selbst wenn man - was heute wohl nur noch schwer durchzukriegen ist - Postfächer begrenzt hat, müsste man bei einem großen Unternehmen immer noch mehrere Tausend Postfächer durchsuchen, wenn man nicht genau weiß, wer jemals in Diskussionen mit dem Betroffenen involviert war.
Eine solche Aussage einer Aufsichtsbehörde hilft ja leider vor Gericht dann nicht.
Die Postfächer sind wirklich ein Problem. Die Kommunikation sollte so schnell wie möglich in das führende System überführt und in den Postfächern usw. gelöscht werden. (Sagt sich ebenso leicht.) Nicht nur wegen Datenschutz, sondern z. B. um alle “Handelsbriefe” wiederfinden zu können.
Behördenansichten sind erst mal was. Gerichte können solche Argumente bei der Interpretation der Vorschrift berücksichtigen. Oder sich ganz am Wortlaut entlang hangeln.
D., der nicht wirklich Erleichterungen sieht.
Leider geht der BGH nicht weiter auf diesen sachlichen Anwendungsbereich ein:
nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen
Manuelle Vermerke, Aufzeichnungen o.ä., die nicht in einem Dateisystem gespeichert werden (sollen), sind nur im BDSG erfasst, nicht aber von der DSGVO. Eine solche Verarbeitung unterfällt nicht der DSGVO und damit auch nicht dem Auskunftsrecht. Insofern sind zwei Entwicklungen denkbar: (kurzfristige) Rückkehr zur manuellen Zettelwirtschaft bei Bewertungen/Vermerken, um diese nicht beauskunften zu müssen, und Aufbau einer ganzheitlich Betroffenen-basierten Verarbeitungsstruktur, um bspw. auch den Wunsch “Auskunftsknopf” erfüllen zu können. Nach meiner Ansicht ist letzteres überfällig, weil es nicht nur die Voraussetzung für die Erfüllung von Nachweis-/Rechenschaftspflichten und Betroffenenrechten ist. Es ist ebenso für die Umsetzung von Privacy by Design/Default notwendig. Das allerdings erfordert auch ein Umdenken bei den Softwareentwicklern. Und bis diese das neue Geschäftsmodell der ganzheitlichen Verarbeitung entdeckt haben, wird man wohl manuell den Postein-/ausgang und andere im Dateisystem vorhandene Informationen hin und her kopieren müssen. Zur Vermeidung von Datenmüll könnte man die IT mit Zwischenlösungen zur Datenkonsolidierung beauftragen. Bleibt die Frage, inwieweit die Softwarekonzerne, die bereits verknüpfende Dienste anbieten (MS, Google & Co), schon Möglichkeiten einer Umsetzung vorsehen und damit eine Art Vormachtstellung ausbauen. Und es stellt sich natürlich die Frage zur nicht gewollten Verknüpfbarkeit (zB bei abteilungsübergreifenden Verarbeitungen). Je weiter man es durchspielt, umso interessanter und kniffliger wird es…
Insgesamt aber scheint die Entscheidung auf eine Entwicklung hinzuwirken, die eine Handhabung bei Verantwortlichen und Betroffenen (längerfristig) einfacher macht.
Wir können das Thema aber auch von der anderen Seite angehen und überlegen, ob das Auskunftsrecht überhaupt das gebracht hat, was man sich mit der DSGVO davon versprochen hat.
Wenn man sich die Auskunftsersuchen der letzten drei Jahre so anschaut, dann sind
- 50% nur zum Spass (“weil man es eben kann”)
- 30% gar nicht relevant, weil man gießkannenmäßig alle bekannten Unternehmen anfragt (manchmal helfen hier auch dubiose Dienstleister) - auch die, die gar keine Daten über einen haben
- 15% aus Hass gegen das Unternehmen (verärgerter Kunde oder entlassener Mitarbeiter)
- 5% aus anderen Zwecken (man hat ein Dokument verloren und will es auf diesen Weg kostenfrei wiedererlangen oder man will sich im Rechtsstreit mit gegnerischen Informationen aufmunitionieren)
Alles in allem viel Aufwand beim Unternehmen und lediglich zweifelhafter Nutzen beim Betroffenen.
Wenn man mehr Energie in wirklich rechtskonforme Datenschutzerklärungen (also einfach und verständlich - was heute meist nicht der Fall ist) legen würde, dann könnte jeder dort genau nachlesen, was das Unternehmen über einen gespeichert hat und bräuchte keine individuelle Anfrage stellen.
1 „Gefällt mir“
Deinen Einwand zum Anwendungsbereich verstehe ich nicht so ganz: “Dateisystem” meint “filing system”, “fichier”, ein Karteisystem, eine strukturierte Datenablage/-Sammlung. Das muss nicht elektrisch sein.
Anzolino hat Recht damit, dass Schwierigkeiten bei der Beauskunftung von personenbezogenen Daten in aller Regel darauf zurückzuführen sind, dass insofern keine ausreichenden organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO getroffen wurde. Dort müssen alle Verantwortlichen spätestens jetzt anknüpfen, wenn sie die nunmehr eindeutig weiten Auskunftsansprüche erfüllen können wollen. Vielleicht müssen auch die Aufsichtsbehörden hier ein entsprechendes Bild vermitteln, damit die Botschaft bei den Verantwortlichen auch so ankommt. Der eigene Datenverarbeitungsprozess muss auf ein umfangreiches Art. 15-Recht angepasst sein. Selbst wenn bei dieser Neuorganisation ungewollt starke Aggregierungen von bisher eher unverknüpften Daten einer Person im Bestand des Verantwortlichen auftreten, kann man das über andere Mittel (Rechte-/Rollenkonzept, Sperrungen einzelner Teile) abfedern.
Man darf auch nicht vergessen, dass ein ordentlicher abstrakter Auskunftsprozess den Verantwortlichen vor eventueller Strafe schützt. Wenn die Maßnahmen gemäß Art. 32 DSGVO so gut umgesetzt sind, dass sie 99% aller typischer Auskuftsersuchen vollständig erfüllen können, also nur noch eine hinnehmbare Fehlschlagquote übrig bleibt, dann ist es für die Gesamtbetrachtung auch nicht relevant, dass sich diese eben hinnehmbare Fehlschlagrisiko einmal realisiert. Das macht dann die individuell fehlgeschlagene Auskunft dann zwar nicht rechtmäßig, da der Prozess dahinter aber rechtmäßig ist, weil er mit einem hinnehmbaren Restrisiko betrieben wird, wird es nie zu mehr als einer Verwarnung kommen. Also Fälle die jetzt total außergewöhnlich sind, begründen jetzt keine Regel z. B. stets das komplette Archiv zu durchforsten, ob nicht irgendein Mitarbeiter nicht doch einmal einen Post-it mit pbD über den Antragssteler in eine fremde Akte reingeschoben hat.
Ansonsten hat Haderner damit Recht, dass geordnete papiernene Datenverarbeitung sowieso schon von der DSGVO umfasst ist.
Jup, in der englischen Fassung wird das “Dateisystem” als “filing system” definiert, was gemeinhin mit Ablagesystem oder Registratur übersetzt wird und nicht mit dem vom Betriebssystem verwendeten Dateisystem verwechselt werden sollte. Du erinnerst Dich an die Wiener Klingelschilder? Das Problem ist nicht das Elektrische, das Problem ist “data are contained or are intended to be contained”, denn eine (absichtlich) ungeordnete, nicht sortierbare Zettelwirtschaft (= manuell, digital kann man idR sortieren) oder solche Dinge wie die Klingelschilder fallen nicht darunter. Und nach wie vor wird in der Literatur die Meinung vertreten (Plath mit Verweis auf Dammann), dass unaufbereitete Datensammlungen wie zB Videoaufnahmen nicht den Kriterien einer systematischen Durchsuchung entsprechen (was ich noch immer als veraltet ansehe und in Bezug auf “intended to be contained” bestreite). Ich weiß nicht, ob jemand auf die Idee kommt, dies in irgendeiner Form geltend zu machen. Es ist zumindest vorstellbar.
@Zealord, eigentlich sprach ich von technischen Maßnahmen und einer ganzheitlichen Ausrichtung, die sich gerade nicht auf eine bloße Weiterentwicklung für das Auskunftsrecht beschränkt, sondern einen vollständigen Prozess im Sinne des Privacy by Design implementiert.
Naja, so etwas wie eine Schufa-Auskunft würde dadurch nicht abgedeckt. Und wenn ich mir die unterschiedlichen Meinungen zur Angabe von Empfängern oder Empfängerkategorien in der Datenschutzerklärung anschaue, dann hege ich Zweifel an einer wirklichen Transparenz. Angenommen, man nennt nur die Kategorien: Als Betroffener erführe ich allein über die Auskunft, wenn zB US-Unternehmen in die Verarbeitung involviert wären.
Ich finde das Auskunftsrecht durchaus sinnvoll, wenn es den Betroffenen in die Lage versetzt, Verarbeitungen (inkl. Übermittlungen im Sinne des Art.14) nachvollziehen und evtl. dagegen vorgehen zu können. Das Problem sehe ich nicht im Auskunftsrecht sondern in der mangelhaften Implementierung von Verarbeitungsprozessen.
2 „Gefällt mir“
Ja, wie oben schon einmal gesagt, ist das eigentlich nicht möglich. Selbst wenn man - was heute wohl nur noch schwer durchzukriegen ist - Postfächer begrenzt hat, müsste man bei einem großen Unternehmen immer noch mehrere Tausend Postfächer durchsuchen, wenn man nicht genau weiß, wer jemals in Diskussionen mit dem Betroffenen involviert war.
Und wenn man dann alle 4.587 Mails gefunden hat, wo der Betroffene erwähnt wird, sind 5 Leute zwei Wochen damit beschäftigt, alles nicht relevante (Geschäftsgeheimnisse) zu schwärzen.
Na vielen Dank BGH. So geht es jedenfalls nicht.
Vielen Dank an bdsb für die realistische Einschätzung.
Wir machen hier die gleichen Erfahrungen, sowohl mit der fehlenden Sinnhaftigkeit von Auskunftsanträgen, als auch mit der Schwierigkeit, sie im idealisierenden Sinn von Gesetzgebung und BGH zu beantworten - zumal unsere Antragsteller bei Nachfrage meist etwas ganz anderes wollen.
Ein “Auskunftsknopf” wäre schön, vor allem für die DS-Füchse, die gerne mal sehen möchten, was so alles geht 
. Für die Antragsteller mit einem echten Anliegen bringt es eher nichts.
Aber wie alles in der IT wäre der “Auskunftsknopf” auch gefährlich. Da nobody perfect ist, wäre damit gleich die nächste Datenschutzverletzung mitprogrammiert.
Bei diesem Durcheinander wünscht man sich doch glatt den alten §34 Abs.7 BDSG a.F. zurück. Benachrichtigungs- und damit auch Auskunftspflicht entfallen … wenn … der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat … was mir immer logisch erschien. Ich würde heute noch sagen, dass es nicht im Sinne des Gesetzes sein kann, für den Betroffenen “Buch führen zu müssen” über alles, was ihn betreffen könnte, woran er sowieso beteiligt war.
Damit wären die vielen volatilen Datenspuren raus aus der Auskunftspflicht.
Was hingegen die Geschäftsbeziehung zum Betroffenen zukünftig beeinflusst, wie Statusinformationen, Parametrisierungen sowie die jeweils begründenden “Dokumente”, sind klar zu beauskunften - damit eben auch die berüchtigten Freitextnotizen (" … notorischer Querulant …"), von denen sowieso abzuraten ist.
Was die angesprochenen “vielen Handelsbriefe” angeht … ja, die müssen aufbewahrt werden, aber eben im geschützten Archiv für HGB-Zwecke, das der allgemeinen geschäftlichen Nutzung und somit auch der Auskunftspflicht entzogen ist.
Eigentlich entspringt die Unsicherheit doch aus der Interpretationsfähigkeit bzw. der Interpretation des Art.15 Nr.3, was denn nun alles als relevante “Kopie der personenbezogenen Daten” anzusehen sei. Das die Nr.3 leider nicht mit den Ausführungen unter Nr.1 harmoniert, dürfte “einfach nicht aufgefallen” sein - wie so einiges um diese Verordnung herum.
Man muss sich allerdings auch die Frage stellen, warum gibt es 4k+ E-Mails von einer Person? Sollten die nicht gelöscht werden, wenn sie keine relevanten Informationen mehr transportieren und falls das alle relevant sein sollte, warum ist das nicht irgendwie fest dem Mandanten zugeordnet, der soviel Schriftverkehr in kurzer Zeit erzeugt, damit es schnell gefunden werden kann?
Bei der Schwärzung ist auch eine lebensnahe Betrachtung des personenbezogenen Datums anzulegen. So wie man bei der grundsätzlichen Auskunft selbst einzelne Dokumente nicht atomisieren darf, um an Ende ausschließlich die harten Identifikationsdaten beauskunften zu müssen, wird man auch bei der Ausnahme des Art. 15 Abs. 4 DSGVO zu einem gewissen Grad den Schwerpunkt eines Dokuments berücksichtigen müssen. Wenn der innere Schwerpunkt fast ausschließlich schützenswert erst, dann ist das ganze Dokument nicht zu beauskunften, da sonst so herum das perverse Ergebnis entstehen würde, dass man nur einzelne Identifikationsmoleküle herausgibt. Am Ende ist Art. 15 Abs. 4 DSGVO auch nur eine Abwägungsnorm.