News aus der Welt des Datenschutzes

Aktuelles

Die Pflicht zur Datenkopie ist eine Herausforderung für Unternehmen

 

Anlässlich eines neuen Gerichtsurteils versuchen wir die Rechtslage zur Datenkopie gemäß Artikel 15 (3) zu verdeutlichen. Inhaltlich ist aber klarer denn je: Diese Pflicht ist eine einzige Baustelle.

 

Das Recht auf Datenkopien gemäß Artikel 15 (3) und Artikel 15 (4) gibt den Betroffenen ein (fast) uneingeschränktes Recht auf Kopien ihrer Daten. Gemäß Erwägungsgrund 63 kann der Verantwortliche um eine Präzisierung bitten (um nicht immer ALLE Daten kopieren zu müssen); doch die betroffene Person kann trotzdem ALLE Daten einfordern.

 

Im BDSG (in der Fassung ab dem 25.05.2018) besteht gemäß § 27 Abs. 2 BDSG und § 28 Abs. 2 BDSG kein Recht auf Datenkopie, sofern wissenschaftliche oder historische Forschungszwecke oder Statistikzwecke oder öffentliche Archivzwecke erfüllt werden. Auch der (umstrittene) § 34 Abs. 1 Nr. 2b BDSG hebt die Datenkopie-Pflicht auf, sofern die Daten u.a. nur zu Backup Zwecken gespeichert sind; die Gründe der Auskunftsverweigerung sind zu nennen und zu dokumentieren. Der § 34 Abs. 2 Satz 3 BDSG fordert, dass die Daten zur Auskunftserteilung streng zweckgebunden und ansonsten wirksam eingeschränkt verarbeitet werden müssen (für andere Zwecke sind sie einzuschränken, siehe Artikel 18.

 

ACHTUNG Baustelle: Sämtliche Aspekte der „Datenkopie“ sind unter Experten umstritten und werden von Gerichten auf verschiedene Weise angewendet.

 

·         Was bezweckt das Recht auf Datenkopie?

 

·         Bedeutet jeder Wunsch nach Auskunft automatisch auch eine Kopie?

 

·         Wie umfangreich/ausführlich muss die Kopie sein? 

 

Die Rechtsunsicherheit ist enorm. 

 

Das Recht auf „Datenkopie“ wurde durch die DS-GVO erstmals eingeführt. Auch bei dieser stufenweisen Vorgehensweise gilt die Monatsfrist des Artikel 12 (3). 

 

Wenn das Unternehmen wirklich eine Komplett-Kopie an die betroffene Person ausliefern können will, so muss dies gründlich geplant werden. Dieses Recht darf nicht verwechselt werden mit dem „Recht auf Datenübertragbarkeit“ gemäß Artikel 20. 

 

Hier beim Recht auf Kopie kommt es nicht darauf an, ob eine automatisierte Verarbeitung zugrunde liegt; es gibt auch keine Einschränkung dahingehend, dass die betroffene Person die Daten selbst zur Verfügung gestellt hat. Auch die rechtliche Grundlage (Vertrag, Einwilligung) ist egal. Das Berufsgeheimnis wird hier im Artikel 15 – anders als im Artikel 14 – nicht erwähnt. 

 

Interessanterweise besteht keine Informationspflicht über das „Recht auf Datenkopie“ im Artikel 12 (2b) oder Artikel 14 (2b). Insofern halten sich die Anfragen möglicherweise in Grenzen. Da im Rahmen der Informationspflicht aber auf das „Recht auf Datenübertragbarkeit“ gemäß Artikel 20 hingewiesen werden muss, wird das Unternehmen trotzdem Anlass zu solchen Anfragen geben.

 

Besondere Herausforderungen (und Kosten) bestehen dann, wenn an der Datenverarbeitung auch Auftragsverarbeiter oder andere Verantwortliche beteiligt sind. Dies sollte frühzeitig in den Verträgen thematisiert werden (auch hinsichtlich der Vergütung).

 

Es gilt auch festzulegen, auf welchem (ggf. verschlüsseltem) Wege die Datenkopien der anfragenden Person zur Verfügung gestellt werden. Auch hier muss unbefugten Personen der Zugriff verwehrt sein. Es sind die Fristen zu berücksichtigen, die gemäß Artikel 12 (3) festgelegt sind (also „unverzüglich“, spätestens aber innerhalb von einem Monat. Im § 34 Abs. 2 Satz 3 BDSG wird gefordert, dass die Daten zur Auskunftserteilung streng zweckgebunden und ansonsten wirksam eingeschränkt verarbeitet werden müssen.

 

Das ist ein wichtiger Aspekt, denn die Daten-Kopien werden aus dem „normalen“ Zugriffskonzept gerissen und liegen dann „ungeschützt“ z.B. als PDF-Dateien oder als Papier-Ausdruck vor. 

 

Leider ist der Artikel 15 nicht sauber formuliert. Das Zusammenspiel von Absatz 1 und Absatz 3 ist hochgradig umstritten. Das hat enorme betriebliche Auswirkungen beim Verantwortlichen. Die zentrale Frage lautet: Muss immer eine Datenkopie gemäß Artikel 15 (3) geliefert werden, wenn eine betroffene Person nur ein „allgemeines“ Auskunftsverlangen gemäß Artikel 15 (1) fordert? 

 

Ganz konkret ausgedrückt: Wenn eine betroffene Person das Wort „Auskunft“ ruft: Muss der Verantwortliche dann immer den gesamten Datenbestand durchforsten und kopieren? Oder ist es nicht vielmehr so, dass eine aufwändige Datenkopie explizit von der betroffenen Person angefordert werden muss? 

 

Wir wissen es nicht!!!! Der objektive Stand der Dinge sieht folgendermaßen aus: 

 

Im Juli 2017 liefert die Datenschutzkonferenz mit dem DSK-Kurzpapier-6 erste Einschätzungen, die aber zu diesem frühen Zeitpunkt noch keine Differenzierungen darstellen. Eine Aktualisierung wäre wünschenswert.

Im Januar 2019 sieht die Hessische Aufsichtsbehörde keinen Unterschied zwischen Auskunft und Daten Kopie im 47. Tätigkeitsbericht ab Seite 95. Somit würde jedes Auskunftsverlangen eine Totalkopie nach sich ziehen. Derzeit ist dies eine einzelne (Extrem-) Meinung. Bei mehrfachem Lesen dieser Passagen fallen zahlreiche Widersprüche auf, die an der Sinnhaftigkeit des gesamten Kapitels zweifeln lassen.

Im Dezember 2019 liefert die Bayerische Aufsichtsbehörde eine Orientierungshilfe und schätzt die Sachlage folgendermaßen ein: „Das Recht auf Kopie wird mit einem Kopie Verlangen (entsprechend dem Auskunftsverlangen […]f.) geltend gemacht. Ein Auskunftsverlangen enthält nicht implizit auch ein Kopie Verlangen.“.

Im Januar 2020 wird in der RDV 01/2020 auf Seite 20-23 diese Frage ebenfalls erörtert und verschiedene Fachmeinungen zitiert.

Im Januar 2020 sieht der Rundfunk-Datenschutzbeauftragte generell ein 2- stufiges Auskunftsverfahren als zulässig an (siehe dort im Kapitel 4 und hier).

Im Januar 2020 schreibt die Aufsichtsbehörder Baden-Württemberg ganz klar: „Artikel 15 DS-GVO enthält drei selbständige Ansprüche, die sich gegenseitig flankieren [...].“ (35. Tätigkeitsbericht 2019 auf Seite 27).

Im Januar 2020 schreibt die saarländische Aufsichtsbehörde, dass letztlich nur der EuGH festlegen könne, wie die Persönlichkeitsrechte von Auskunft und Datenkopie wechselwirken. Die Aufsichtsbehörde sieht hier EIN gemeinsames Recht (28. Tätigkeitsbericht 2019, Seite 51).

Im Februar 2020 wird in der DuD 02/2020 die der derzeitige Stand der fachlichen Diskussion ausführlich wiedergegeben; die Autorin kommt zu dem Ergebnis „Die unterschiedliche Zielsetzung der Rechte und Trennung in verschiedene Absätze spricht somit für eine Selbstständigkeit des Anspruchs auf Erhalt einer Datenkopie. Dies schließt indes nicht aus, dass beide Rechte sich inhaltlich ergänzen. […] Der Verantwortliche muss auf einen Antrag eines Betroffenen hin somit auch eine Datenkopie der personenbezogenen Daten herausgeben.“.

Im April 2020 leitet Prof. Dr. Gola her: „Festzuhalten ist, dass die Aufsichtsbehörden Argumente suchen, um Herausgabepflichten nach Art. 15 DS-GVO auf ein praktikables Maß einzugrenzen. Dieses Bemühen verfolgt – aber nur teilweise – auch die Rechtsprechung“ und liefert viele interessante Überlegungen in der RDV 04/2020 Seite 169-176).

Im April 2020 liefert die RDV 04/2020 wortreiche Überlegungen ohne greifbare Ergebnisse auf Seite 191-195 und zeigt letztlich nur die Ratlosigkeit der Juristen.

Im Mai 2020 weist die DuD 05/2020 auf Seite 309 auf die Vielfalt des Meinungs-Spektrums hin. 

 

     FAZIT 

Es gibt keinen Konsens. Wir gehen davon aus, dass die Datenkopie von der betroffenen Person explizit beantragt werden muss (bzw. sich aus der Natur des Anliegens ergibt). Aus diesem Grund sehen wir zwei separate Pflichten: Artikel 15 in Verbindung mit Artikel 15a.

 

 

Zertifizierung

logo dekra Fachkraft Datenschutz

Mitgliedschaft

logo bvd ev
logo bsb mit system

Kontakt

Externer Datenschutzbeauftragter in Hamburg
André Schombel

Harksheider Strasse 93b, 22399 Hamburg

Tel: 040-97 07 19 15
Fax: 040-97 07 19 15

Datenschutz

für Unternehmen in Hamburg, Schleswig-Holstein, Mecklenburg-Vorpommern und Niedersachsen
© 2024, André Schombel