Autor: Kerstin Blossey
Anmerkung in eigener Sache: Dieser Artikel gibt keinen vollständigen Überblick über alle Einzelaspekte, die in der Praxis relevant sein können, sondern greift aufgrund der komplexen Thematik häufige Alltagsfragen auf. Die Inhalte sind nicht außerdem nicht juristisch sondern ganzheitlich-interdisziplinär betrachtet und dargestellt.
Der Datenschutz sagt: Jeder Mensch hat das Recht, selbst zu bestimmen, wer wann welche Informationen über seine Person und seine Verhältnisse in welchem Umfang und zu welchem Zweck erhält und verwenden darf (grobe Erläuterung des so genannten allgemeinen Persönlichkeitsrechts, das bereits Gegenstand vieler hoch wissenschaftlichen Abhandlungen ist und daher an dieser Stelle nicht weiter ausgelegt werden soll). Transparenz und eine auffindbare offizielle Anlaufstelle, die zudem kompetente und verbindliche Informationen bereitstellt, das wäre doch schon einmal ein guter Anfang, um Licht ins Dunkel zu bringen.
Doch während die konservativer orientierten Unternehmer noch immer den Datenschutz unter notwendiges Übel verbuchen und damit ungewollt die Arbeit ihres betrieblichen Datenschutzbeauftragten unnötig erschweren, haben die Realisten längst die Liste der üblichen Aufgaben nach Bundesdatenschutzgesetz (BDSG) in Arbeit und können die ersten Früchte ihrer progressiven Entscheidung als Erfolg präsentieren. Ein Thema, das schnell zu Ergebnissen führen kann, sind die Aufgaben rund um die Stichworte Auskunft, Benachrichtigung und Kennzeichnung.
Über die Grundlagen der Transparenz im Sinne des Datenschutzes in seiner Gesamtheit (neben dem BDSG gibt es weit über 200 Gesetze und Regelungen, die gegebenenfalls ebenfalls zu berücksichtigen sind) hat Teil 1 dieses Artikels in der letzten Ausgabe Auskunft gegeben, ebenso über Wesen und Form der gesetzeskonformen Einwilligung zur Nutzung personenbezogener Daten. Welche weiteren Verpflichtungen zur transparenten Informationspolitik hat ein Unternehmen konkret? Im Folgenden bringen wir ein weiteres Licht in die Reihe von Aufgaben unternehmerischer Informationspolitik, soweit diese zu den Aufgabengebieten des DSB gehören. Diesmal geht es um das Auskunftsrecht.
Recht auf Auskunft für Betroffene und Jedermann/-frau
Nach §§ 6, 34 BDSG und § 7 TMG hat jeder, dessen personenbezogene Daten verarbeitet und genutzt werden (lt. Gesetz Betroffener), ein Recht auf Auskunft, das heißt, die Stelle, die seine Daten verwendet, muss ihm Aufschluss über das Wie geben. Der Originaltext von § 34 BDSG wird an dieser Stelle sehr konkret in dem, was das beispielsweise für ein Unternehmen bedeutet. Jeder Betroffene, also beispielsweise ein Kunde, Patient, Schüler, Vereinsmitglied oder Mitarbeiter, kann Auskunft fordern über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, und den Zweck der Speicherung.
Auskunft erteilt normalerweise der Daten-schutzbeauftragte, bzw. die Geschäftsleitung, die sich durch den betrieblichen DSB vertreten lässt. Eine sinnvolle Auskunft nach BDSG ist überhaupt erst dann möglich, wenn wesentliche Elemente des Unternehmens transparent sind. Hierzu gehören etwa
• die Geschäftsfelder des Unternehmens (Geschäftszwecke);
• die Arbeitsbereiche/Abteilungen und ihre Funktionen;
• die Geschäftsprozesse, die mit per-sonenbezogenen Daten arbeiten;
• die Kernansprechpartner bei Fragen;
• Unternehmensorganigramme und (interne) Kontaktlisten;
• die Kenntnis externer Dienstleister, denen personenbezogene Daten überlassen werden.
Bei mittelständischen Unternehmen und Konzernen gehört zu den notwendigen Informationen außerdem die Struktur des Unternehmensverbunds. Natürlich er-streckt sich das Auskunftsrecht auch auf Betroffene eines Onlineshops oder anderer Internetangebote.
Wie in jedem Gesetz gibt es auch beim Auskunftsrecht ein paar Ausnahmen, etwa wenn eine Auskunft über Herkunft und Empfänger das Interesse an der Wahrung des Geschäftsgeheimnisses überwiegt. Diese sind aber in der Regel nur im Einzelfall relevant und sollen daher Ihrem betrieblichen DSB überlassen bleiben.
Ein paar weitere wichtige Aspekte zu den Formalismen der Auskunftspflicht:
• Auskunft wird nur auf Anforderung (Auskunftsersuchen) erteilt. Das Aus-kunftsersuchen bedarf keiner be-stimmten Form und nicht der Geschäftsfähigkeit;
• Das Recht auf Auskunft kann nicht durch Rechtsgeschäfte beschränkt oder gar ausgeschlossen werden. Dies gilt auch für Allgemeine Geschäftsbedingungen;
• Das Recht auf Auskunft kann nicht übertragen, abgetreten oder gar vererbt werden. Sehr wohl kann ein Betroffener aber eine entsprechende Vollmacht erteilen. Der Betroffene kann auch weitere Personen seines Vertrauens zu einer Einsichtnahme hinzuziehen (z. B. vor Ort). Für Personendaten verarbeitende Stellen bedeutet dies im Umkehrschluss, dass sie sich von der Identität des angeblich Betroffenen überzeugen müssen, bevor Auskunft erteilt wird, da diese allein jenem zusteht und gegenüber einem anderen unzulässig ist. Im Ernstfall kann eine irrtümlich einer unbefugten Person erteilte Auskunft über einen Dritten als Ordnungswidrigkeit im Sinne des § 43 Abs. 2 Nr. 4 BDSG geahndet werden. Praktikabel ist bei Einsichtnahme vor Ort das die Prüfung geeigneter Ausweisdokumente (z. B. Personalausweis, Reisepass, Führerschein), bei der Schriftform z. B. ein Einschreiben; bei einem Bevollmächtigen ist in jedem Fall die Gültigkeit der Vollmacht zu überprüfen;
• Die Auskunft ist normalerweise in Schriftform zu erteilen. Das schon deshalb, weil seine schützenswerten Daten hier offen gelegt werden und die Schriftform hier als sichererer Kommunikationsweg gewertet wird. Der Betroffene kann sich aber mit einer anderen Form einverstanden erklären;
• Die Auskunft ist unentgeltlich. Die Auskunft ist durch persönliche Kenntnisnahme zu gewähren, wenn sie in schriftlicher Form nicht unentgeltlich wäre. Für vom Betroffenen gewünschte Kopien dürfen laut Aussagen diverser Landesaufsichtsbehörden in angemessener Höhe als Entgelt in Rechnung gestellt werden. Der Betroffene kann nicht verlangen, dass er die Kopien selbst anfertigen kann;
• Gibt es mehrere speicherberechtigte Stellen, ist das Unternehmen ver-pflichtet, die Auskunftsanforderung des Betroffenen an die richtige Stelle weiterzuleiten und den Betroffenen darüber zu informieren;
• Für den Zeitraum, in dem eine Auskunft zu erteilen ist, gibt es keine festgelegten Fristen. Man kann jedoch von den im Verkehrsgeschäft üblichen Zeiträumen von normalerweise zwei Wochen ausgehen. Je größer die Personendaten verarbeitende Stelle, umso länger kann der Antwortzeitraum sein, da eine Auskunft Teil einer Vielzahl von Auskunftsersuchen ist, die gesammelt bearbeitet werden, um so wirtschaftlich arbeiten zu können. Weitere Verzögerungen können sich ergeben, wenn für die Aufklärung eines konkreten Falles (z. B. werbliche Ansprache trotz ausgesprochenem Widerspruch des Betroffenen) mehr Zeit benötigt wird, um die Ursache für diese unzulässige Datennutzung zu klären.
Recht auf Auskunft für Jedermann(/-frau)
Nicht nur Betroffene haben ein Recht auf Auskunft, wie mit ihren personenbezogenen Daten umgegangen wird. Auch nicht Betroffene müssen Informationen darüber verfügbar gemacht werden, wie bei einer Personendaten verarbeitenden Stelle gearbeitet wird. Bereits §§ 4e, 4g Abs. 2 regeln den Umfang der bereit zu stellenden ............