Im Tätigkeitsbericht für das Jahr 2020 informierte die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg über die Einleitung eines Bußgeldverfahrens aufgrund nicht angemessener technischer und organisatorischen Maßnahmen zum Schutz personenbezogener Daten bei der Beantwortung einer Auskunftsanfrage. Nachfolgend soll in Kürze dargestellt werden, welche rechtlichen Rahmenbedingungen für die Beantwortung von Auskunftsanfragen gelten.
Erreicht Ihr Unternehmen ein Auskunftsersuchen gem. Art. 15 DSGVO, hält sich der Arbeitseifer meist in Grenzen. Der Aufwand, der mit der Erstellung eines Auskunftsschreibens verbunden ist, ist in der Regel selten gering. Ist der Anfragende tatsächlich der Betroffene? In welchen Systemen sind die Daten möglicherweise gespeichert? Können die vorhandenen Datensätze dem Betroffenen zweifelsfrei zugeordnet werden? Habe ich wirklich nichts vergessen? Im Arbeitsalltag kann ein Monat (Frist gem. Art. 12 DSGVO zur Beantwortung von Betroffenenanfragen) schnell vorbei sein. Umso erleichterter ist man, wenn das Schreiben fristgemäß fertiggestellt ist und versendet werden kann.
Aber Stopp! Auf welchem Wege stelle ich dem Betroffenen das Auskunftsschreiben nun zur Verfügung?
Das Gesetz gibt hier einige Anhaltspunkte: Gemäß Art. 12 Abs. 1 Satz 2 und Satz 3 DSGVO „[erfolgt] [die] Übermittlung der Informationen […] schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“
Die Aufforderung eines Betroffenen die Information mündlich zu erteilen wird in der Praxis selten vorkommen. Mit einer mündlichen Beantwortung geht zudem stets einher, dass die Einhaltung der DSGVO nur schwer nachgewiesen werden kann (Stichwort „Rechenschaftspflicht“ gemäß Art. 5 Abs. 2 DSGVO). Eine Dokumentation der Beantwortung sollte in jedem Fall erfolgen.
In Art. 12 Abs. 3 Satz 4 DSGVO findet sich daneben folgender Passus: „Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.“ Elektronische Betroffenenanfragen sind demnach im Grundsatz auch auf elektronischen Wege zu beantworten. Sofern der Betroffene folglich seine Auskunftsanfrage per E-Mail an Ihr Unternehmen übersendet, erscheint diese Vorschrift als die passende Legitimation, um den schnellstmöglichen Weg der Beantwortung der Anfrage zu gehen: Die Antwort per E-Mail.
Neben der Vorgaben des Kapitel III DSGVO (Art. 12 – 23 DSGVO) zu den Betroffenenrechten gelten zudem die weiteren Vorschriften der DSGVO, insbesondere die Vorschriften zur Datensicherheit. Demnach müssen den Umständen und dem Risiko angemessene Maßnahmen getroffen werden, um die Sicherheit der verarbeiteten Daten zu gewährleisten.
In oben erwähntem Bußgeldverfahren monierte die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg die Übermittlung des Passworts für ein verschlüsseltes Auskunftsschreiben, welches sensible Daten enthielt, in einer separaten, jedoch kurz nach Versendung der E-Mail mit dem Auskunftsschreiben versendeten E-Mail. Die Begründung lautete wie folgt: „[…] Unberechtigte Dritte, die die E-Mail-Kommunikation zwischen dem Unternehmen und der die Auskunft beantragenden Person abgefangen hätten, hätten zwar mit dem passwortverschlüsselten Anhang zunächst nicht viel anfangen können. Wenige Minuten später hätten sie die Dokumente allerdings mit dem im Klartext übermittelten Passwort entschlüsseln können. […]“
Der dargestellte Sachverhalt zeigt die Relevanz einer sicheren Datenübermittlung auch im Rahmen von Auskunftsschreiben. Daher sollte in jedem Unternehmen und jeder Institution ein Prozess geschaffen werden, der eine sichere Datenübermittlung des Auskunftsschreibens sicherstellt, sodass die Vorschriften der DSGVO zur Datensicherheit auch bei der Beantwortung von Betroffenenanfragen eingehalten wird. Technische und organisatorische Maßnahmen müssen in einem angemessenem Verhältnis zu Art der Daten sowie zu den Umständen der Verarbeitung stehen. Je mehr personenbezogene Daten mit einem Auskunftsschreiben übermittelt werden bzw. je sensibler die Daten sind, desto höher sollten die Sicherheitsanforderungen an die Datenübermittlung sein.
Der Tätigkeitsbericht Datenschutz 2020 de LDA Brandenburg ist abrufbar unter: https://www.lda.brandenburg.de/lda/de/service/informationsmaterial/details/~03-05-2021-taetigkeitsbericht-datenschutz-2020. Der entsprechende Bericht findet sich auf S. 52 f.