DSGVO-Auskunft

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Datenabfragen können ganze Verwaltungen lahmlegen

© gringoglueck – Fotolia

Von Dipl.-Jur. Niklas Mühleis, LL.M., Heidrich Rechtsanwälte

Grundlage eines Auskunftsersuchens ist der Art. 15 DSGVO: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.“ Damit will die EU die Rechte von Verbraucherinnen und Verbrauchern stärken und gibt ihnen die Möglichkeit, zu kontrollieren, ob ihre Daten gemäß den gesetzlichen Vorschriften verarbeitet werden. Jeder EU-Bürger wird damit zu einer Aufsichtsbehörde in eigener Sache.

Instrument gegen Datensammlungen

Gerade Datenriesen wie Facebook und Google sagt die EU damit den Kampf an, denn deren Geschäftsgrundlage ist es, möglichst viele Daten über möglichst viele Personen zu sammeln. Die DSGVO hingegen schreibt in ihren Grundsätzen die Datenminimierung vor: Es sollen nur die Daten gesammelt werden, die zur Aufgabenerfüllung absolut notwendig sind. In der Konsequenz trifft das Recht auf Auskunft jedoch Unternehmen und Verwaltungen jeder Größe im gleichen Umfang. Eine Ausnahme für kleine Verwaltungen oder Betriebe ist nicht vorgesehen.

Jede Bürgerin und jeder Bürger einer Kommune kann sich also mit einem Auskunftsersuchen zu personenbezogenen Daten an die Stadt- oder Gemeindeverwaltung wenden. Dabei muss sie oder er keine Vorauswahl für bestimmte Aspekte der Auskunft treffen, etwa das Einwohnermeldewesen, sondern kann die Auskunft pauschal für sämtliche Daten anfordern, die innerhalb der Kommune über sie/ihn gespeichert sind. Das kann eine ganze Menge sein, je nachdem, wieviele behördliche Angelegenheiten die Person betreffen, von der Grund- bis zur Hundesteuer. Wer in der Kommune ein Gewerbe betreibt, seine Kinder in der Kita anmeldet, einen Strafzettel für Falschparken bekommt oder Anträge beim Bauamt einreicht, hinterlässt jedes Mal einen Datenfußabdruck.

Niklas-Muehleis.jpg

Dipl.-Jur. Niklas Mühleis, LL.M., ist bei der Heise-Kanzlei Heidrich Rechtsanwälte in Hannover tätig, ist spezialisiert auf IT- und IP-Recht sowie außerdem Fachautor für c’t und bei insidas.


Heidrich Rechtsanwälte, Vahrenwalder Straße 255, 30179 Hannover, Tel.: 0511-37498150, muehleis@recht-im-internet.de, www.recht-im-internet.de

Viel Aufwand für Kommunen

Seit seiner Einführung im Mai 2018 bereitet das Recht auf diese Auskunft den Datenverarbeitern Kopfzerbrechen, insbesondere im kommunalen Bereich. Denn die Auskunft lässt sich bei einer umfangreichen Anfrage nur mit viel Arbeitsaufwand erteilen, was dazu führen kann, dass die Verwaltungen ihren üblichen Aufgaben kaum mehr hinterherkommen. Aber es gibt Möglichkeiten, den Aufwand zu reduzieren – in Ausnahmefällen bis hin zur Auskunftsverweigerung.

Wie gesagt gilt die Auskunftspflicht für Privatunternehmen und Behörden gleichermaßen. Ausnahmen gibt es nicht. Von einer Kommune können ihre Bürger daher folgende Auskünfte verlangen:

  • die Kategorien der personenbezogenen Daten, welche verarbeitet werden,
  • die Zwecke der Verarbeitung,
  • den gegenwärtigen und künftigen Empfängerkreis der Daten,
  • die geplante Dauer der Speicherung sowie die Kriterien für die Festlegung der Dauer,
  • die bestehenden Rechte auf Löschung und Berichtigung hinsichtlich der gespeicherten Daten,
  • die Herkunft der Daten,
  • die Verwendung von automatisierter Entscheidungsfindung sowie deren Logik,
  • den Zweck und die Übermittlung von Daten in Drittländer oder an internationale Organisationen sowie
  • die Vorlage sämtlicher personenbezogener Daten in Kopie.

Diese Auskunftsansprüche sind ein Werkzeug, mit dem die Bürger überprüfen können, ob die Vorschriften der DSGVO eingehalten werden. Mit der Benennung der gespeicherten Daten lässt sich beispielsweise feststellen, ob der Grundsatz der Datenminimierung gemäß DSGVO befolgt wird. Mit der Auskunft über die geplante Speicherung der personenbezogenen Daten können Betroffene überprüfen, ob die vorgeschriebenen Löschfristen eingehalten werden. Bestehen keine anderweitigen Pflichten zu Datenspeicherung, beispielsweise aus steuerrechtlichen Gründen, müssen personenbezogene Daten nämlich unverzüglich gelöscht werden. Hilfestellung kann ein DSGVO-Fragebogen innerhalb der eigenen Verwaltung leisten. So lässt sich sicherstellen, dass die Vorgaben der DSGVO beachtet und eventuelle Schwächen in der Umsetzung aufgedeckt werden.

Fristen für die Auskunftserteilung

Die Zusammenstellung derart vieler Informationen bedeutet in den meisten Verwaltungen einen erheblichen Arbeits- und Zeitaufwand, muss doch zumindest der Form halber jeder einzelne Fachbereich eine Datenabfrage vornehmen und das Auskunftsersuchen beantworten. Gerade Zeit ist dabei jedoch Mangelware: Art. 12 Abs. 3 DSGVO schreibt vor, dass die Beantwortung von Auskunftsverlangen „unverzüglich“, also ohne schuldhaftes Zögern, spätestens jedoch innerhalb eines Monats zu erfolgen hat. Nur in Ausnahmefällen darf diese Frist um zwei weitere Monate verlängert werden, etwa wenn eine hohe Anzahl von Anfragen vorliegt oder die Beantwortung der speziellen Anfrage sich als besonders komplex erweist. Eine Fristverlängerung kann aber nicht einfach automatisiert vollzogen werden, sondern muss dem Antragsteller begründet angezeigt werden.

Vorbereitung ist alles

Eine Ausweitung der Antwortfrist darf also nur die Ausnahme und nicht die Regel sein. Die Verwaltungen sollten sich daher auf die regelmäßige Frist von einem Monat zur Beantwortung der Anfragen vorbereiten. Die gute Nachricht ist, dass mit einer vernünftigen Vorbereitung selbst umfangreiche Albtraumbriefe – standardisierte Auskunftsersuchen, mit denen sämtliche Auskünfte auf einmal abgefragt werden – zu meistern sind.

Zahlreiche Informationen, die im Rahmen eines vollständigen Auskunftsersuchens angegeben werden müssen, benötigen lediglich eine einmalige Vorbereitung und können anschließend für jedes Auskunftsersuchen verwendet werden. So lässt sich für die Frage nach der Weiterleitung von personenbezogenen Daten an Drittländer und internationale Organisationen eine Musterantwort formulieren, die für alle Anfragen verwendet werden kann. Gleiches dürfte für die Speicherdauer von Daten (nach Fachbereichen gegliedert) und den Einsatz einer automatisierten Entscheidungsfindung gelten. Ein Teil der Auskunftserteilung kann so in aller Ruhe vorbereitet werden.

Weiterhin empfiehlt es sich zur Vereinfachung des Verfahrens, dass nur jene Mitarbeiter Zugriff auf personenbezogene Daten haben, die auch tatsächlich mit deren Verarbeitung betraut sind. Des Weiteren sollten personenbezogene Daten auf möglichst wenigen Datenbanken gespeichert sein. Beides erleichtert das Zusammenstellen von gespeicherten Daten zu spezifischen Anfragen erheblich.

In bestimmten Fällen ist Auskunftsverweigerung erlaubt

Viele kommunale Datenschutzbeauftragte fürchten, dass schwierige gesellschaftliche Gruppen, namentlich die sogenannten Reichsbürger, den gesetzlichen Auskunftsanspruch nutzen könnten, um die Verwaltungen mit vielfachen und konzentrierten Ersuchen lahmzulegen.

Eine Auskunftserteilung kann grundsätzlich nicht verweigert werden, selbst wenn der Verdacht besteht, dass der Antrag nur gestellt wird, um die Verwaltung zu behindern. Jedoch kann gem. Art. 12 Abs. 5 DSGVO bei offensichtlich unbegründeten oder exzessiven Anfragen die Auskunft verweigert werden. Eine unbegründete Anfrage ist beispielsweise dann anzunehmen, wenn es niemals eine Verbindung zwischen dem Antragssteller und der betreffenden Verwaltung gegeben hat. Ein Anfragenexzess besteht immer dann, wenn innerhalb eines kurzen Zeitraums wiederholt Anfragen gestellt werden.

Außerdem kann die auskunftspflichtige Stelle grundsätzlich immer um eine Konkretisierung der Anfrage bitten. Dies ist insbesondere für Verwaltungen wichtig, deren verschiedene Abteilungen sich mit einer Vielzahl von bürgerrelevanten Angelegenheiten beschäftigen. Verweigert der Antragsteller die Konkretisierung, so betrachten einzelne Kommunen dies bereits als Anfragenexzess, der nur dazu gedacht ist, Arbeitskraft zu binden. Ein solches Vorgehen sollte jedoch stets mit der zuständigen Aufsichtsbehörde abgesprochen werden.

Alternativ besteht in den genannten Fällen für die Verwaltung auch die Möglichkeit, ein dem Aufwand angemessenes Entgelt für die Erteilung der Auskunft zu verlangen. Gerade bei sehr umfangreichen Auskünften, in die verschiedene Fachbereiche mit einbezogen werden müssen, kann dieses Entgelt schnell einen hohen vierstelligen Betrag erreichen.

Formvorschriften für Kommunen

Für das Auskunftsverlangen der Bürger bestehen keine Formvorschriften, doch die Verwaltungen müssen bei der Erteilung von Auskünften einiges beachten. Die Auskunftserteilung kann auf schriftlichem oder elektronischem Wege erfolgen. Hierbei sind alle gestellten Fragen zu beantworten, auf deren Beantwortung ein Anspruch besteht, sowie eine Kopie der personenbezogenen Daten zur Verfügung zu stellen.

Wurde das Auskunftsersuchen elektronisch eingereicht, sind die Informationen ebenfalls in einem gängigen elektronischen Format bereitzustellen, sofern der Antragssteller nicht explizit ein anderes Verfahren wünscht. Der 63. Erwägungsgrund der DSGVO gibt zudem vor, dass die elektronische Auskunftserteilung Sicherheitsanforderungen zu genügen hat. Dem lässt sich mit einer verschlüsselten Übertragung nachkommen.

Wichtig: Identität bestimmen

Nicht auf jede Anfrage sollte ohne Weiteres Auskunft erteilt werden. So ist es bei gängigen Namen wie Rainer Müller wahrscheinlich, dass mehr als eine Person dieses Namens in der Kommune wohnt. Vor der Auskunftserteilung ist daher die Identität des Antragsstellers eindeutig zu bestimmen. Vorsicht ist zudem bei Anfragen per Mail geboten: Falsche E-Mail-Adressen lassen sich schnell anlegen. Wird ein Ersuchen über eine unbekannte E-Mail-Adresse eingereicht, sollte ein Identitätsnachweis angefordert werden. Eine solche Vorprüfung geht nicht zulasten der kurzen Bearbeitungszeit des Ersuchens. Die Frist läuft erst, wenn die Identität des Auskunftsersuchenden eindeutig festgestellt werden konnte. Eine sorgfältige Überprüfung schützt vor der unberechtigten Weitergabe von personenbezogenen Daten an Dritte und entspricht damit ganz und gar dem Geist der Datenschutzgrundverordnung.

Nützliche Links