Praxistipp: Die Beantwortung von Anfragen betroffener Personen verursacht Aufwand

Praxistipp Datenschutz 1|2018

Zusammenfassung: Antworten auf Anfragen betroffener Personen müssen unverzüglich zu Verfügung gestellt werden, ungeachtet des dabei entstehenden Aufwandes. Dieser Aufwand kann je nach Geschäftsmodell und interner Organisation erheblich sein. Im folgenden Praxistipp wird am Beispiel einer Anfrage einer ausgeschiedenen beschäftigen Person gezeigt, wie umfangreich Recherchen und die Auskunft sein können. Im Praxisfall wird an einem zugegeben krassen Beispiel gezeigt, wieso die Neuregelung durch die DSGVO dringend erforderlich ist.

Der Praxisfall

Als Datenschutzbeauftragter hatte ich vor einigen Jahren ein Startup betreut, dass in bestimmten Fällen Auskünfte über eine eng eingeschränkte Gruppe Betroffener für einen begrenzten Personenkreis zur Verfügung hielt, räumlich begrenzt auf ein Bundesland, zahlenmäßig eingeschränkt auf einen überschaubaren Kreis von Kunden. Diese hätten sich die Information vollkommen legal selbst besorgen können, da die Daten für Berechtigte auf Anfrage verfügbar waren, allerdings mit dem entsprechenden Aufwand an Zeit. Die veranschlagte Gebühr war überschaubar, der Erfolg blieb nicht aus, die kleine Auskunftei begann sich zu rechnen. Sämtliche Betroffenenrechte wurden akribisch eingehalten.

Der Todesstoß

Eines Tages stand das Faxgerät nicht mehr still. Binnen kürzester Zeit gingen mehrere Hundert Anfragen ein, welche Daten das kleine Startup über die in den Anfragen genannten Personen habe. Eine von Netzaktivisten betriebene Seite hatte dazu aufgefordert, über besagte Aktivisten bei allen erreichbaren Auskunfteien derartige Betroffenenauskünfte einholen zu lassen. Mit im Focus war (versehentlich, wie sich später herausstellte) auch das hier angesprochene Startup. Ungeachtet der ausschließlich regionalen Tätigkeit bestand die zuständige Aufsichtsbehörde auf einer Beantwortung aller Anfrage, auch wenn sie von außerhalb kamen. Eine Beantwortung in elektronischer Form wurde abgelehnt. Ob diese Anordnung rechtens war, konnte rechtlich nicht mehr geklärt werden. Alleine die Protokosten für die Antworten hätten das kleine Start-up in die Insolvenz getrieben, für Anwaltskosten war erst recht kein Budget vorgesehen. Der Inhaber gab auf, das Start-up wurde liquidiert.

Die DSGVO ist strenger als das bisherige Recht

Der hier in leicht abgeänderter Weise beschriebene Geschichte hat sich noch unter der Rechtswirkung des BDSG abgespielt. Die DSGVO nennt eine Stärkung des Schutzes der Rechte und Freiheiten betroffener Personen als erklärtes Ziel. Auf die Frage, ob dieser Schutz strengere Auflagen als bisher zur Folge hat, kann nur mit einem klaren „ja“ geantwortet werden. Das ist grundsätzlich zu begrüßen, handelt es sich doch beim Recht auf informationelle Selbstbestimmung um ein Grundrecht, dass entsprechend zu schützen ist. Auf der anderen Seite erfordert die Stärkung dieses Rechts die entsprechenden Vorbereitungen bei den Verantwortlichen, also den Geschäftsführern, Vorständen usw. der handelnden Organisationen.

Kurzfristige Beantwortung von Anfragen betroffener Personen

Anfragen betroffener Personen gilt es in sehr überschaubarer Zeit (Art. 12 Abs. 3 DSGVO fordert „ohne Verzögerung, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“) zu beantworten. Art. 12 Abs. 3 Satz 2 gestattet eine Fristverlängerung von bis zu zwei Monaten, die jedoch begründet werden muss. Aussitzen geht nicht, denn Artikel 12 Abs. 4 DSGVO verlangt in diesem Fall eine entsprechende Mitteilung an die betroffene Person, verbunden mit dem verpflichtenden Hinweis, dass die betroffene Person sich an eine Aufsichtsbehörde wenden und dort Beschwerde einlegen kann. Alternativ ist darauf hinzuweisen, dass die betroffene Person einen gerichtlichen Rechtsbehelf einlegen kann. Was ist also zu tun? Klare Ansage: Anfragen von betroffenen Personen rasch und vollständig beantworten.

Kategorien von betroffenen Personen mit Anfragen

Unstreitig entsteht bei der Beantwortung von Anfragen betroffener Personen ein Aufwand an Zeit und materiellen Ressourcen. Hier kommt es zunächst darauf an, welche betroffenen Personen die Anfrage stellen und wie deren Daten in den Systemen verarbeitet wurden. Schon bei den Personenkategorien Bewerber, Beschäftigte, Kunden oder Patienten und Lieferanten sind unterschiedliche Datenbanken zu berücksichtigen, oft pro Personenkategorie mehrere Ablageorte. Dass die Anfrage vollständig und aktuell zu beantworten ist, ergibt sich aus dem ersten Satz in Art. 12 Abs. 1 DSGVO: „alle Informationen und Mitteilungen“ müssen Gegenstand der Übermittlung einer entsprechenden Auskunft sein. Hierbei darf nichts übersehen werden, denn das könnte angesichts der drohenden hohen Bußgelder fatale Folgen nach sich ziehen. In der Folge soll anhand des Beispiels einer Anfrage von Beschäftigten aufgezeigt werden, wie umfassend die Recherchen für die Antwort sein müssen.

Beispiel Anfragen von Beschäftigten

Fragen Beschäftigte an, welche Daten über sie verarbeitet werden, erscheint die Antwort auf den ersten Blick noch recht einfach zu sein. Vermeintlich hat man das doch mit der Personalakte alles im Griff. Bei folgendem Szenario wird aber rasch deutlich, dass das nicht unbedingt so sein muss. Angenommen, einer beschäftigten Person wird zum Ende der Probezeit gekündigt. Die Person ist verärgert und stellt eine Betroffenenanfrage an den Verantwortlichen und will wissen, welche Daten zu welchem Zweck über dort gespeichert sind.

Personalakte und mehr

Die Anfrage ist mit einer Fristsetzung verbunden, für den Fall der Nichtbeantwortung wird die Information der zuständigen Aufsichtsbehörde angekündigt. Entsprechend ernst wird die Anfrage vom Verantwortlichen und vom Datenschutzbeauftragten genommen. Der erste Impuls ist, die Antwort nur in der Personalakte zu suchen. Dort finden sich neben dem Bewerbungsschreiben und dem Personalbogen die Anmeldungen zur Sozialversicherung sowie weitere Unterlagen, die zur Organisation des Beschäftigungsverhältnisses erforderlich sind. Rasch wird jedoch klar, dass während der Tätigkeit etliche weitere personenbezogene oder auf die Person beziehbare Daten hinzugekommen waren. Der zu erwartende Aufwand wird mindestens mehrere Stunden betragen.

Grundsatz: Dokumente, die die gekündigte Person im Rahmen der Pflichten als Beschäftigter für das Unternehmen erstellt und bearbeitet hat, stehen dem Unternehmen weiterhin zur Verfügung. Allerdings muss in diesem Zusammenhang geklärt sein, wie lange das Erfordernis der Aufbewahrung besteht. Hier sind sowohl gesetzliche Aufbewahrungsfristen als auch die vom Geschäftsprozess her erforderliche Zeit zu berücksichtigen. Diese sind, falls möglich, der anfragenden Person mitzuteilen (Art. 15 Abs. 1b DSGVO).

Persönliche Ordner

Beschäftigte Personen verfügen in aller Regel über einen persönlichen Ordner. In diesem Praxistipp wird in der Folge davon ausgegangen, dass die private Nutzung der betrieblichen Kommunikationseinrichtungen rechtswirksam untersagt ist. Wenn das so ist, muss geklärt werden, welche der im persönlichen Ordner abgelegten Unterlagen für die rechtskonforme Abwicklung betrieblicher Prozesse noch erforderlich sind und welche zu welchem Zeitpunkt gelöscht werden können. Dies sollte schon beim Ausscheiden der Beschäftigten geklärt sein. Als Bestandteil des Kündigungsprozesses sollte eine Erklärung der gekündigten Person eingeholt werden, dass alle Mitteilungen mit möglicherweise privatem Charakter vor dem Ausscheiden gelöscht wurden. Alternativ wir die Weigerung der betroffenen Personen dokumentiert. In diesem Fall kann zunächst davon ausgegangen werden, dass der persönliche Ordner von Nachfolgern oder Vertretern der gekündigten Person weiter genutzt werden können. Gegebenenfalls sind geeignete Maßnahmen zu treffen, die Privatsphäre des Ausscheidenden zu schützen.

Mailaccounts, Postfächer, Kalender

In diesem Zusammenhang stellt sich immer wieder die Frage, ob und wenn ja in welchem Umfang Mailaccounts von ausscheidenden Mitarbeitern von Kollegen weiter genutzt werden dürfen. Hier gilt sinngemäß das eben schon Gesagte. Die ausscheidende Person wird aufgefordert zu bestätigen, dass alle Mails mit privatem Bezug gelöscht wurden. In diesem Fall kann der Inhalt des Postfachs ausgewertet und in anderen Postfächern grundsätzlich weiter genutzt werden. Der Mailaccount selbst ist unverzüglich zu deaktivieren oder final stillzulegen, ein entsprechender Hinweis auf eingehende Mails kann eingerichtet werden. Solange das Mailpostfach noch besteht, muss die Information hierüber ebenfalls Bestandteil der Auskunft einer Betroffenenanfrage sein. Im Einzelfall gibt es sicher noch weitere Quellen, wo sich personenbezogene Daten von betroffenen Personen finden lassen, die alle in die Auskunft einbezogen werden müssen.

Angemessene Vorbereitung unabdingbar

Angesichts dieser Rechtslage erscheint eine sachgerechte Vorbereitung auf die Möglichkeit vieler Anfragen betroffener Personen unabdingbar. Weiterhin ist sicherzustellen, dass auch bei den im Gesetz genannten Ausnahmen auf Seiten des Verantwortlichen sichergestellt werden kann, dass die Ablehnung nicht zu einem Bumerang wird. Tipps hierzu finden sich in einem der folgenden Praxistipps. Außerdem wird dort zu Beginn geklärt, wer den Aufwand zu bezahlen hat.