Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), schreibt in seinem Tätigkeitsbericht für 2013 und 2014, dass Beschwerden Betroffener im Zusammenhang mit der Erteilung oder Nichterteilung datenschutzrechtlicher Auskunft einen Spitzenplatz einnehmen.

KEIN ANSPRUCH AUF HERAUSGABE VON UNTERLAGEN

Der datenschutzrechtliche Auskunftsanspruch richtet sich auf die Nennung der personenbezogenen Daten, nicht auf die Vorlage oder Herausgabe von Unterlagen, in denen die Daten enthalten sind. Kranig stellt fest:

„Die Vorlage oder Herausgabe kann im Wege des datenschutzrechtlichen Auskunftsanspruchs nicht durchgesetzt werden. Denn der Auskunftsanspruch gemäß § 34 BDSG (ggf. in Verbindung mit § 12 Abs. 7 TMG) richtet sich nur auf die Nennung der personenbezogenen Daten, nicht jedoch auf die Vorlage der Unterlagen, Dokumente, Dateien bzw. Datei-Ausdrucke oder sonstiger „Datenträger“, in denen diese Daten enthalten sind.“

WÖRTLICHE WIEDERGABE

Die auskunftspflichtige Stelle muss dem Betroffenen seine Daten grundsätzlich im Wortlaut („Klartext“) nennen. Wie es im Tätigkeitsbericht heißt:

„Die Nennung der bloßen Datenkategorien genügt nicht, denn das Auskunftsrecht nach § 34 BDSG soll den Betroffenen in die Lage versetzen, einen Überblick über die bei der „verantwortlichen Stelle“ zu seiner Person gespeicherten Informationen zu erhalten und ggf. etwaige Änderungs-, Sperrungs- oder Löschverlangen nach § 35 BDSG geltend zu machen. Dies ist nur möglich, wenn dem Betroffenen die Daten im Klartext mitgeteilt werden, z. B. die konkrete gespeicherte Telefonnummer oder Adresse genannt wird anstelle der bloßen Angabe „Wir speichern Ihre Adresse“ bzw. „Wir speichern Ihre Telefonnummer“. „

NUR PERSONENBEZOGENE DATEN

Enthält ein Dokument oder eine Datei gewisse „personenbezogene Daten“ im rechtlichen Sinn, bedeutet dies nicht zwingend, dass das gesamte Dokument bzw. die gesamte Datei aus „personenbezogenen Daten“ des Betroffenen besteht. Das BayLDA klärt auf, „…dass der datenschutzrechtliche Auskunftsanspruch auf „personenbezogene Daten“ im gesetzlichen Sinne beschränkt ist, und (…) die Reichweite des Anspruchs im konkreten Fall zu erläutern (ist). Wie weit im konkreten Einzelfall Dokumentenund Dateiinhalte „personenbezogene Daten“ des Auskunftbegehrenden darstellen, kann somit nur unter strikter Anwendung der gesetzlichen Definition des Begriffs der „personenbezogenen Daten“ auf die jeweilige Angabe entschieden werden. Die auskunftspflichtige verantwortliche Stelle muss daher prüfen, welche bei ihr gespeicherten Informationen Einzelangaben über den jeweiligen Betroffenen darstellen. Hat die verantwortliche Stelle erst einmal die Angaben „herausdestilliert“, die als personenbezogene Daten des Auskunftsersuchenden anzusehen sind, muss sie diese Angaben dem Auskunftsersuchenden allerdings dann grundsätzlich im Wortlaut mitteilen.“

AUSKUNFTSANSPRUCH ZU DRITTSTAATEN

Setzt ein Unternehmen, z. B. durch Inanspruchnahme von Cloud-Computing-Diensten, Auftragsdatenverarbeiter in Staaten außerhalb der Europäischen Union ein, muss es Betroffene hierüber im Rahmen der Auskunft informieren. Relativ häufig ist wohl die Inanspruchnahme von Cloud-Computing-Dienstleistungen in Staaten außerhalb der der EU bzw. des EWR. Aber auch schon das bloße Hosting personenbezogener Daten bei einem Dienstleister in einem Drittstaat zählt dazu. Gleiches gilt auch für Zugriffe auf personenbezogene Daten (die physisch in der EU bzw. im EWR gespeichert sind) durch Dienstleister aus Drittstaaten zu „Support“-Zwecken oder im Rahmen sonstiger Maßnahmen der Prüfung und Wartung von Datenverarbeitungsanlagen (vgl. § 11 Abs. 5 BDSG).

„Wenn ein Unternehmen Auftragsdatenverarbeiter außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) einschaltet, muss es daher diesen Umstand im Rahmen der datenschutzrechtlichen Auskunft mitteilen, da derartige Datenempfänger als eine spezifische „Kategorie von Empfängern“ im Sinne von § 34 Abs. 1 Nr. 2 BDSG anzusehen sind. Denn Staaten außerhalb der EU und des EWR besitzen – bis auf wenige durch die Europäische Kommission anerkannte Ausnahmefälle – kein Datenschutzniveau, das demjenigen der EU-/EWR-Staaten vergleichbar wäre.“

KEIN ANSPRUCH BEI BEWERTUNGSPLATTFORM

Wird eine Person auf einer Bewertungsplattform (z. B. für Ärzte) bewertet und möchte diese vom Plattformbetreiber Auskunft über die Identität des Bewertenden, ist keine Rechtsgrundlage ersichtlich, die den Plattformbetreiber ermächtigen würde, ohne eine entsprechende Einwilligung des bewertenden Nutzers die gewünschten Auskünfte zu erteilen.

„Fühlt sich eine Person durch eine im Portal veröffentlichte Bewertung in ihrem Persönlichkeitsrecht verletzt, besteht häufig das zunächst aus ihrer Sicht nachvollziehbare Interesse, die Identität des Bewertenden in Erfahrung zu bringen. (…) Eine Rechtsgrundlage für einen solchen Anspruch auf Auskunft über die Person des Bewertenden ist jedoch nach dem einschlägigen Telemediengesetz nicht vorhanden. Dies hat der Bundesgerichtshof (BGH) nunmehr in seinen Entscheidungen vom 01.07.2014 (Az.: VI ZR 345/13) und 23.09.2014 (Az.: VI ZR 358/13) zum Auskunftsanspruch gegen ein Arztbewertungsportal festgestellt.“

Ähnliche Beiträge

Richtige E-Mail...

Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...

Datenschutzerklärung für...

Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...

Datenschutz und WhatsApp? Wo...

Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...