Credit: shutterstock/ Whiskerz
Datensicherheit nach innen gerichtet: Welche Informationen hat ein Unternehmen von seinen (Ex-)Mitarbeitern erfasst? Nach Artikel 15 DSGVO haben Betroffene dazu ein Auskunftsrecht.
Sechs Jahre ist es nun her, dass die EU-Datenschutzgrundverordnung (DSGVO) in Deutschland Geltung erlangt hat. Es gab in dieser Zeit immer wieder datenschutzrechtliche Themen, die in den Vordergrund gerückt sind. In den vergangenen zwei Jahren spielte der Auskunftsanspruch nach Art. 15 DSGVO in der datenschutzrechtlichen Praxis eine Schlüsselrolle. Art. 15 DSGVO gewährt dem Betroffenen ein Recht auf Bestätigung darüber, ob der Verantwortliche personenbezogene Daten von ihm verarbeitet.
Sollte das der Fall sein, hat der datenschutzrechtliche Verantwortliche der betroffenen Person eine Reihe von Informationen mitzuteilen: etwa die Zwecke der Verarbeitung, den Empfänger oder um welche Kategorie von personenbezogenen Daten es sich handelt. Darüber hinaus kann die betroffene Person auch eine Kopie der personenbezogenen Daten verlangen.
Meist Anfragen von Arbeitnehmern
Neben Betroffenen außerhalb des Unternehmens, wie zum Beispiel Vertragspartnern und Kunden eines Transport- oder Logistikunternehmens, sind es in der Praxis meist Arbeitnehmer, die diesen datenschutzrechtlichen Auskunftsanspruch geltend machen. Die Gründe hierfür liegen zumeist in laufen-den arbeitsrechtlichen Auseinandersetzungen wie Kündigungsschutzverfahren oder arbeitsgerichtlichen Verfahren über die Entfernung von Abmahnungen aus der Personalakte. Hier geht es darum, prozessrelevante Informationen oder Beweismittel zu erhalten, aber auch Druck auf den Verantwortlichen auszuüben, um z. B. ein vorteilhaftes Vergleichsangebot zu erhalten.
Nicht zu vergessen ist auch in Einzelfällen die Spekulation auf die Zahlung von Schadensersatz bei unvollständiger oder verspäteter Beantwortung.
Nicht zu unterschätzendes Compliance-Risiko
Letztendlich bedeuten Auskunftsansprüche für das Unternehmen einen personellen und finanziellen Aufwand. Darüber hinaus drohen beträchtliche Sanktionen für Unternehmen, kommen sie ihrer Verpflichtung aus Art. 15 DSGVO nicht nach. Der Auskunftsanspruch bildet deshalb ein nicht zu unterschätzendes Compliance-Risiko auch für Transport- und Logistikunternehmen. Grund genug dafür, dass sich Verantwortliche Gedanken darüber machen, wie mit Auskunftsersuchen umzugehen ist. Zumal Unternehmen zunehmend mit standardisierten Schreiben und unter Verweis auf datenschutzrechtliche Pflichtverletzungen in Anspruch genommen werden („DSGVO-Hopping“).
Welche Informationen sind offenzulegen?
Betroffene haben ein Recht auf die in Art. 15 Abs. 1 S. 1 lit. a bis lit. h DSGVO aufgelisteten Informationen:
- Woher stammen die personenbezogenen Daten?
- Welche Kategorien personenbezogener Daten werden verarbeitet?
- Zu welchem Verarbeitungszweck wurden die personenbezogenen Daten erhoben?
- Welche Empfänger bzw. Kategorien von Empfängern haben die personenbezogenen Daten erhalten oder sollen sie erhalten?
- Für welchen Zeitraum sollen die personenbezogenen Daten gespeichert werden, welche Kriterien wurden für diese Dauer festgelegt?
- Welche Rechte stehen der betroffenen Person zu?
- Sind die personenbezogenen Daten Gegenstand einer automatisierten Entscheidungsfindung, einschließlich Profiling?
Rechtsfolgen bei Verletzung des Auskunftsanspruchs
Die Grenzen der Auskunftsansprüche sind gesetzlich geregelt. So darf nach Art. 15 Abs. 4 DSGVO das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Beispiele dafür sind das allgemeine Persönlichkeitsrecht und der Schutz von Geschäftsgeheimnissen. Auch die Geheimhaltung wegen überwiegender berechtigter Interessen eines Dritten, § 29 Abs. 1 S. 2 Bundesdatenschutzgesetz (BDSG), kann einem Auskunftsanspruch entgegenstehen. Sollte einer betroffenen Person keine Auskunft erteilt werden, so hat sie das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.
Diese kann bei Verstößen gegen die Betroffenenrechte Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines Umsatzes des vorangegangenen Geschäftsjahrs verhängen. Unabhängig davon kann der Betroffene seinen Auskunftsanspruch ohne vorherige Anrufung der Aufsichtsbehörde gerichtlich durchsetzen und bei schuldhafter Zuwiderhandlung einen Schadensersatzanspruch geltend machen.
Verantwortliche für die Beantwortung
In einem Unternehmen gehen die jeweiligen Auskunftsbegehren häufig an unterschiedlichen Stellen ein. Entweder bei der Personalabteilung, in der Kundenabteilung, in der Disposition oder sogar am Empfang selbst. Hierbei sollten die Mitarbeiter, die mit den Auskunftsverlangen konfrontiert werden, auf einen rechtssicheren Umgang mit einem Auskunftsanspruch geschult werden. Im Unternehmen sollte die Verantwortung für die Beantwortung solcher Auskunftsansprüche klar geregelt sein. Meist liegt die Verantwortung bei der Compliance- bzw. Rechtsabteilung, idealerweise bei Datenschutzbeauftragten.
Neben den Zuständigen ist die konstante und nachhaltige Umsetzung der gesetzlichen Vorgaben des Datenschutzrechtes der entscheidende Faktor für einen rechtssicheren und vor allem ressourcenschonenden Umgang mit Auskunftsersuchen. Um unnötigen zeitlichen Druck für die Beantwortung zu vermeiden, sollten das Verzeichnis von Verarbeitungstätigkeiten, ein Löschkonzept sowie eine Prozessbeschreibung für den Umgang mit Betroffenenanfragen vorgehalten werden.
In welcher Form sollte geantwortet werden?
Handelt es sich um keine offenkundig unbegründeten oder exzessiven Anträge, hat der Verantwortliche dem Betroffenen die Informationen mitzuteilen (Positivauskunft). Hierbei sollte darauf geachtet werden, keine Angaben oder Informationen über die gesetzlichen Pflichtangaben hinaus zu erteilen. Entscheidet sich der Verantwortliche dafür, keine Auskunft zu erteilen, so hat er eine sogenannte Negativauskunft zu erteilen, die zu begründen ist. Zudem ist der Auskunftsersuchende auch auf mögliche Rechtsmittel hinzuweisen. Auskunftsanfragen sind in jedem Fall unverzüglich, spätestens jedoch innerhalb eines Monats zu beantworten. Die Frist beginnt mit Eingang des Schreibens oder – sofern eine Identitätsprüfung erforderlich ist – zum Zeitpunkt der Feststellung der Identität.