15.06.2023 | Blog Auskunftsrecht betroffener Personen nach DSGVO - doch wo liegen die Daten?
So gehen Sie richtig mit einem Auskunftsersuchen um
Wer suchet, der findet: Plötzlich flattert das erste Auskunftsersuchen auf den Tisch. Unternehmen fragen sich: Was müssen wir jetzt beachten, was müssen wir tun? Diese Schritte, sollten Sie in die Wege leiten:
- Zunächst dem Betroffenen eine Eingangsbestätigung seiner Anfrage senden und ihm mitteilen, dass man die gewünschten Daten zusammenstellt und zur Verfügung stellen wird
- Dem Betroffenen mitteilen, dass diese Daten innerhalb von 4 Wochen, besser innerhalb von 28 Tagen, zur Verfügung gestellt werden
- Dem Betroffenen gleichzeitig mitteilen, wie man die Daten zur Verfügung stellen wird
- Daten zusammentragen
- Daten zusammenstellen und prüfen
- Daten in einem geeigneten Verfahren, z.B. innerhalb einer Portallösung, zur Verfügung stellen. Hierüber sollten Sie sich im Vorfeld Gedanken machen, da auch hier Gefahren lauern, wie man dem Betroffenen die Daten zur Verfügung stellt. Einfach per E-Mail ist hier keine gute Lösung!
Den Betroffenen das Feedback zu geben, „Wir wissen derzeit nicht, was wir über Sie gespeichert haben“, wäre keine gute Antwort. Die Risiken der „Nachfragen der Behörden“ oder eines Schadensersatzanspruches würden sprunghaft steigen. Die Wahrscheinlichkeit, dass das Bußgeld dann zu Recht erhoben wird und/oder der Schadensersatzforderung positiv beschieden wird, liegt bei nahezu 100 Prozent.
Auskunftsersuchen und ihre Rechtsgrundlage
Die DSGVO räumt jedem EU-Bürger das Recht ein, zu erfragen, welche Daten über ihn gespeichert sind. Das Nichtbeantworten oder Falschbeantworten oder das unvollständige Beantworten kann zu Bußgeldern und/oder Schadensersatzansprüchen führen.
Nach der finalen Einführung der DSGVO vor fünf Jahren wird dieses Recht noch nicht sehr stark in Anspruch genommen, aber eine Zunahme ist festzustellen. Wir Datenschützer, egal ob intern oder extern bestellt, stellen fest, dass gerade in wirtschaftlich schwierigeren Zeiten, versucht wird, hier etwas Geld zu verdienen. Freundliche Abmahnanwälte tun ihr Übriges dazu, Kapital aus fehlerhaften oder unvollständigen Auskunftsersuchen zu ziehen. Im Gegensatz zu den Abmahnwellen hinsichtlich des Einsatzes von Google Fonts o.ä. wird es hier sehr schwierig die Schadensersatzforderungen abzuwehren - außer man kann beweisen, dass die Auskünfte vollständig erteilt wurden. Hier haben wir es gleich wieder mit dem ersten Hauptsatz des Datenschutzes zu tun: „Verbot mit Erlaubnisvorbehalt“, quasi dem Beweisumkehrverfahren. Wir als Datenverarbeiter, müssen jederzeit beweisen können, dass wir korrekt gehandelt haben. Mir muss kein Fehler nachgewiesen werden, sondern ich muss nachweisen, dass ich keinen Fehler gemacht habe.
Wie finde ich die Daten?
Egal ob Wohnungsunternehmen, Kirche oder der Sportverein, dem Auskunftsrecht muss jede(s) Institution/Unternehmen wahrheitsgemäß und vollständig nachkommen. Neben der Problematik der Übermittlung der Daten, z.B. unverschlüsselte E-Mail, Post, Fax o.ä., besteht die Problematik, wo auf den internen Systemen diese Daten eigentlich liegen. CRM- oder ERP- Systeme sind dabei noch relativ leicht zu durchforsten, aber was ist mit dem Dateisystem mit den Word-, Excel-, Access-Daten, was ist mit den Daten in den verschiedenen Archivsystemen inklusive E-Mail? Diese sogenannten „unstrukturierten“ Daten sind meistens das größte Problem. Muss ich jetzt wirklich alles durchsuchen, um den Betroffenen alle Informationen zukommen zu lassen?
Art. 15 Abs. 3 sagt dazu: "Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung." Das heißt ja, alle Daten, die wir über die betroffene Person gespeichert haben, müssen wir offenlegen - mit ganz wenigen Ausnahmen.
Für die Unternehmen wird es jetzt oft richtig schwer, bei gefühlt mehren 10.000 bis x-Millionen docx- oder xlsx-Dateien herauszufinden, wo sie über „wen“ etwas „verarbeitet“ haben. Die Datenschützer sprechen hier gern von toxischen Daten - toxisch schon deswegen, weil wir diese Daten vielleicht gar nicht mehr haben dürften - das Löschkonzept lässt grüßen.
Was tun? Sicherheitshalber alles löschen? Was wir nicht haben, können wir auch nicht benennen. Aber kann das wirklich der richtige Weg sein?
Der bessere Weg ist es, die Daten aufzuspüren und dem Auskunftsrecht der Betroffenen zu entsprechen. Und wie geht das? Das Zauberwort heißt KI-gestützte Volltext-Recherche. Ich gebe die Keywords vor. Das können direkt der Name „Mustermann“, evtl. noch der Vorname „Max“, das Geburtsdatum „30.02.2000“ und weitere personenbezogene Daten, auch Platzhalter, sein. Nach diesen Begriffen lasse ich meine IT-Systeme (Datenbanken, Filesystem etc.) durchsuchen. Dabei werden auch z.B. die Word-Dokumente direkt nach diesen Keywords durchsucht und angezeigt.
Wir brauchen jetzt nur noch die Dateien zusammenzufassen und dem Betroffenen DSGVO-konform zur Verfügung zu stellen. Mit Hilfe der IntraFind Software-Lösung „iFinder“ kann ich z.B. über Screenshots, Exporte in Excel etc. die Ergebnisse darstellen und dem Betroffenen übermitteln.
In meiner Tätigkeit als Datenschutzbeauftragter habe ich schon einige Auskunftsersuchen beantworten müssen. Dabei bestand immer die Problematik, wo überall im Unternehmen noch Daten vorhanden sind. Gerade der Bereich Human Relations (HR) ist heute ein häufiges Ziel: Bewerber abgelehnt, die Daten leider für „spätere Zwecke“ noch ein wenig aufgehoben und plötzlich ist das Auskunftsersuchen da. Die Bewerberdaten wurden aber an weitere Personen im Unternehmen gegeben und keiner weiß mehr an wen. Problematisch ist es dann, wenn der Bewerber das aber weiß oder ahnt. Ehemalige Mitarbeitende, die in Unfrieden aus dem Unternehmen geschieden sind, wissen meist auch, welche Daten über sie gespeichert wurden. Da wird gern versucht, die Abfindung ein klein wenig zu erhöhen. Davor müssen Sie sich schützen. Wir müssen wieder Herr der Daten werden und wissen, was wir gespeichert haben.
Im Rahmen der Erstellung von Löschkonzepten habe ich bei den Vorbesprechungen mit den Unternehmen zusammen mit den Administratoren einfach mal auf dem „Fileserver“ herumgepiekt. Es ist erstaunlich, was man dort überall über Betroffene findet und vor allem, aus welchem Jahr. Die DSGVO hat uns diese Sammelleidenschaft verboten, jetzt müssen wir Sorge dafür tragen, zu wissen, was wir wissen bzw. wo es steht.
Personenbezogene Daten mit Software-Unterstützung schnell und vollständig aufspüren
Bußgeld und Schadensersatzansprüche abgewehrt, die Vorarbeiten zum Umsetzen des Löschkonzeptes erledigt: Nur so können wir dem Hauptsatz „Verbot mit Erlaubnisvorbehalt“ vollständig entsprechen. Damit kann ich jederzeit vor Gericht oder vor der Datenschutzbehörde aufzeigen, dass ich die über die „betroffenen Personen“ gespeicherten Daten vollständig zur Verfügung gestellt habe.
Ich persönlich bin ein großer Freund von Produkten, die einen wirtschaftlichen Mehrwert mit sich bringen: Meine Daten habe ich wieder im Griff und weiß um deren Inhalte. Die Möglichkeit der permanenten Recherche ist der eigentliche Mehrwert.
Mit dem Implementieren der IntraFind- Lösung „iFinder“ in meiner IT habe ich keine Angst mehr vor Auskunftsersuchen. Denn ich kann DSGVO-konform und vollständig antworten.
Für weitergehende Betrachtungen zum Auskunftsrecht der Betroffenen und besonders zum Auffinden von personenbezogenen Daten in IT-Systemen, egal ob strukturiert oder wie im Filesystem häufig unstrukturiert, stehen wir Ihnen gern zur Verfügung.