Tipp 7 - Wie Sie richtig Auskunft nach § 34 BDSG erteilen (Teil 2).html

Wird die E-Mail nicht korrekt dargestellt? Sehen Sie sich die E-Mail im Browser an.
Datenschutz-Tipp Nr. 7
Auskunftsersuchen
Wie Sie richtig Auskunft nach § 34 BDSG erteilen
(Teil 2)
Im letzten Tipp haben wir uns das Thema erarbeitet, wie Sie feststellen, ob Sie an eine Person, die
Auskunft verlangt, auch Auskünfte erteilen dürfen.
Heute wollen wir einmal klären, wie die Auskunft denn in der Praxis aussehen kann. Was muss rein
und was nicht...
Der Umfang der Auskunft ist zunächst vom Wunsch des Betroffenen abhängig. Wenn dieser z.B.
nur Auskunft über Daten haben möchte, die zu einem bestimmten Zeitraum über ihn gespeichert
waren, so besteht kein Grund dafür, ihm eine vollständige Auskunft über die fehlenden Zeiträume zu
erteilen.
Wenn der Betroffene keine Einschränkung vorgenommen hat, dann ist die Auskunft in vollem
Umfang zu erteilen.
Voller Umfang bedeutet, dass alle personenbezogenen Daten des Betroffenen, die in automatisierten
Verfahren gespeichert sind, mitgeteilt werden müssen. Dabei ist es nicht von Belang, ob die Daten
gesperrt sind oder nicht. Es sind alle Daten zu benennen, die zur Person des Betroffenen gespeichert
sind.
Was in der Praxis häufig nicht bekannt ist, ist, dass auch die Bezeichnung der jeweiligen Dateien, in
der die Daten gespeichert sind, zu benennen sind. In der rechtswissenschaftlichen Literatur wird dies
unter Hinweis auf ein Urteil des Hessischen Verwaltungsgerichthofs (Beschluss vom 17.12.1990, Az.: 7
UE 1984) so vertreten. Begründet hat das Gericht das damit, dass sich aus den Dateibezeichnungen die
Selektionskriterien für die Aufnahme in die Datei ergeben würden. Meiner Meinung nach ist diese
Entscheidung nicht mehr mit der heutigen IT-Praxis ein Einklang zu bringen. In Zeiten von
virtualisierten Server- und Datenbankumgebungen sind Dateibezeichnungen nicht mehr zeitgemäß.
Ich würde die Nichtangabe von Dateibezeichnungen, sofern diese nicht konkret angefordert werden,
derzeit nicht für rechtswidrig halten.
Neben den Angaben zu Daten, die über die Person des Betroffenen gespeichert sind, ist Auskunft über
die Empfänger oder Empfängerkategorien zu erteilen.
Nach der wohl herrschenden Auffassung in der rechtswissenschaftlichen Literatur muss ein
Empfänger dabei nicht Dritter, also nicht unbedingt ein anderes Unternehmen sein. Auch eine interne
Weitergabe im Unternehmen soll daher vom Auskunftsanspruch umfasst sein, um interne Datenflüsse
nachvollziehen zu können. Allerdings ist die Begründung hierfür ziemlich “dünn“. Die Literatur zitiert
sich quasi selbst im Kreis, und eine Begründung für diesen erweiterten Umfang fehlt. Weder das
Gesetz noch die Gesetzesbegründung gibt Anlass zur Annahme, dass über die interne Datenflüsse
Auskunft erteilt werden müsste. Eine Ausnahme hiervon besteht lediglich meiner Überzeugung nach
für Auftragsdatenverarbeiter (der ist nach § 3 Abs. 8 BDSG nicht „Dritter“). Hier ist ein Interesse des
Betroffenen auf Auskunft nachvollziehbar.
Einigkeit besteht also in jedem Fall darüber, dass Sie Auskunft erteilen müssen, über die Unternehmen
oder Personen, an die Sie Daten über den Betroffenen übermittelt oder im Rahmen eines
Auftragsdatenverarbeitungsverhältnis weitergegeben haben. Dabei reicht eine einmalige Übermittlung
aus. Dabei soll - soweit möglich - auch die Adresse der Empfänger angegeben werden.
Für den Fall, dass die Daten der Person regelmäßig bzw. nicht nur einmalig an bestimmte Kategorien
von Empfängern (z.B. Adresshändler, Kreditinstitute etc.) hat der Betroffenen auch Anspruch auf
Mitteilung der Empfängerkategorien.
Denken Sie bitte auch daran, dass Sie jeweils den Zweck der Speicherung der Daten über die
Person angeben müssen.
Wenn Sie aufmerksam gelesen haben, dann ist Ihnen bewusst geworden, dass der Auskunftsanspruch
und dessen konkrete Ausgestaltung eine ganz wesentliche Auswirkung auf Ihre IT-Systeme hat bzw.
haben sollte. Wenn Ihre Datenbanken z.B. kein Zweckfeld vorsehen, dann werden Sie es ggf. schwer
haben, die Zwecke im Einzelnen zu benennen.
Schwierig wird es übrigens auch, wenn Sie nicht protokollieren, wann, an wen, welche Daten über
Personen übermittelt/weitergegeben wurden.
Sie tun also gut daran, technische und organisatorische Maßnahmen dafür zu treffen, dass diese
Anforderung in der Praxis eingehalten werden kann. Es liegt auf der Hand, dass die Umsetung in der
Praxis manchmal nicht gerade einfach ist. Auch hier dürfen Sie kreativ werden.
Bis dahin...
Ihr
Stephan Hansen-Oest....
Vergangene Tipps
Als Abonnent dieses
Newsletter können Sie bereits
früher versendete Tipps, bei
mir anfordern. Sie können die
Themen aller bisherigen
Tipps hier ansehen.
Schreiben Sie mir einfach
eine E-Mail mit der TippNummer an meine E-MailAdresse. Ich sende Ihnen
den Tipp dann umgehend zu.
FEEDBACK
Ich freue mich über Kritik, aber
am meisten freue ich mich über
Lob. Haben Sie Wünsche für
kommende Themen?
Schreiben Sie mir einfach ihr
Feedback an:
[email protected]
*|LIST:DESCRIPTION|*
*|HTML:LIST_ADDRESS_HTML|*
Newsletter abbestellen *|EMAIL|* | An einen Freund oder Bekannten weiterleiten