Mythen rund um den Datenschutz
Das Thema „Datenschutz“ ist spätestens seit Inkrafttreten der Datenschutzgrundverordnung auch in der Consultingwirtschaft ein relevantes Thema. Das hat nicht nur mit den deutlich angehobenen Bußgeldern zu tun. Sondern auch damit, dass Beschäftigte, Shareholder und Stakeholder eine größere Sensibilität für dieses Thema entwickelt haben. Und gerade Betroffene kennen ihre Rechte. Nicht ohne Grund hat der BDU seit einigen Jahren einen eigenen Arbeitskreis dazu, in dem sich Datenschutzbeauftragte und -experten fachlich austauschen. Ein auch in der öffentlichen Diskussion immer wiederkehrendes Thema ist der Auskunftsanspruch nach Artikel 15 DSGVO. Wir haben Ihnen die populärsten Mythen und Fakten hierzu zusammengetragen.
Mythos 1: Der Auskunftsanspruch ist wieder so eine neue Regulierung der EU
Das stimmt nicht. Schon vor Inkrafttreten des DSGVO sah das deutsche Bundesdatenschutzgesetz (BDSG) in seinem § 34 ein Recht auf Auskunft vor. Fairerweise muss man aber einräumen, dass auch das damalige BDSG auf einer europäischen Richtlinie beruhte und der heutige Anspruch der DSGVO weiter ist.
Mythos 2: Ich muss nur auf Auskunftswünsche reagieren, wenn ich den Antragsteller kenne oder eine Geschäftsbeziehung bestand
Das ist unzutreffend. Grundsätzlich kann jede Person Auskunft über sie gespeicherte personenbezogene Daten verlangen, und zwar kostenlos. Ausnahmen bestehen zum Beispiel bei rein persönlichen oder familiären Beziehungen. Bestehen Zweifel an der Identität des Auskunftsbegehrenden können allerdings gemäß Artikel 12 Absatz 6 DSGVO weitere Informationen angefordert werden, die dem Nachweis der Identität dienen.
Mythos 3: Der Auskunftsanspruch umfasst nur Basisdaten
Nein. Der Begriff der „personenbezogenen Daten“ ist weit gefasst und umfasst nach der Legaldefinition in Artikel 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Unter die Vorschrift fallen damit sowohl im Kontext verwendete persönliche Informationen wie Identifikationsmerkmale (z.B. Name, Anschrift und Geburtsdatum), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (z.B. Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt. Auch solche Aussagen, die eine subjektive und/oder objektive Einschätzung zu einer identifizierbaren Person liefern, weisen einen Personenbezug auf (so ausdrücklich AG Bonn, Urteil vom 30. Juli 2020 - 118 C 315/19). Aber: Hingegen muss der Verantwortliche grundsätzlich keine Auskunft über Daten erteilen, die er in der Vergangenheit verarbeitet hat, über die er jedoch nicht mehr verfügt (so LG Heidelberg, Urteil 21. Februar 2020 - 4 O 6/19
Mythos 4: Der Auskunftsanspruch ist völlig grenzenlos
Das ist ein Irrtum. Ist zum Beispiel der Aufwand unverhältnismäßig hoch, kann das Recht begrenzt sein. Würde die Aufbereitung der Daten eine Person über Wochen beschäftigen, kann dieses in Relation zum Informationsinteresse des Begehrenden ein unverhältnismäßiger Aufwand sein. In einem vom LG Heidelberg entschiedenen Fall betraft das etwa 10.000 Mails, die bereits neun bis zehn Jahre alt waren (21.02.2020 - 4 O 6/19). Das Recht auf Auskunft besteht übrigens auch dann nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen (so ausdrücklich § 29 BDSG). Hier muss dann eine Güterabwägung zwischen dem Geheimhaltungsinteresse einerseits und dem Auskunftsinteresse andererseits erfolgen.
Mythos 5: Die DSGVO gilt immer, wenn etwas Persönliches ausgetauscht wird
Nein. Das moderne Datenschutzrecht entstand in Deutschland in den 70er Jahren, genauer in Hessen im Jahre 1970 mit dem ersten Gesetz hierzu. Hintergrund war und ist, „die Persönlichkeitsrechte des Bürgers wegen des umfassenden und weiter anwachsenden Einsatzes der Datenverarbeitungsanlagen zu schützen“ (vgl. Vorlage der Landesregierung Hessen zum zweiten Tätigkeitsbericht des Datenschutzbeauftragten, 14. Juni 1973, S. 4). Das heißt aber bis heute: Das, was zwar persönlich oder gar geheim ist, aber nicht in einer Datei – sei es IT, sei es Akte – verarbeitet ist, unterfällt grundsätzlich nicht dem Datenschutzrecht (es gibt Ausnahmen für den Beschäftigtendatenschutz). Dementsprechend hat das VG Gelsenkirchen vor kurzem noch entschieden, dass „unsortierte Blätter, Fließtexte bzw. Notizen auf Papier“ nicht unter die DSGVO fallen (Urteil vom 27. April 2020 - 20 K 6392/18). Natürlich auch nicht das zwischen Menschen gesprochene Wort.
Kai Haake, BDU-Geschäftsführer | Frank Zehe, BDU-Datenschutzbeauftragter