Recht auf Auskunft nach der DSGVO umschließt auch die Herkunft der Daten

Die allgemeine Auskunft über gespeicherte Daten, die nach DSGVO von Betroffenen bei Unternehmen verlangt werden können, umfasst auch die Herkunft der Daten und alle Angaben über die Mittel, mit denen diese personenbezogenen Daten erhoben wurden. Das entschied ganz klar das Landgericht Mosbach im Januar 2020. Anders nämlich als das alte Bundesdatenschutzgesetz verlangt die DSGVO stets die Auskunft über „alle verfügbaren Informationen über die Herkunft“ der Daten in „genügender Tiefe“ – wenn diese Daten nicht bei den Betroffenen selbst erhoben wurden.

Das macht klar, dass man als Unternehmen stets transparent erklären können sollte, woher etwa E-Mail-Adressen stammen, mit denen – egal ob B2B oder B2C – (potenzielle) Kunden kontaktiert werden. Das Stichwort „genügende Tiefe“ bedeutet zudem, dass es eben nicht ausreicht, nur darüber zu informieren, woher man selbst die Daten bezogen hat, man muss möglicherweise auch ergründen und mitteilen, wie diese Quelle die personenbezogenen Daten erlangt hat.

Die Herkunft der Daten und alle Angaben über die Mittel, mit denen diese personenbezogenen Daten erhoben wurden.Im verhandelten Fall ist daher die Angabe einer Schuldnerin, die Daten seien aus einem Bezahlvorgang einer namentlich benannten GmbH erhoben worden, schlicht nicht hinreichend. Und die Verweigerung der Auskunft mit Hinweis darauf, es handele sich nicht um Daten des Klägers (Gläubiger) sogar fehlerhaft. Denn, dass es sich nicht um Daten des Gläubigers handele, könne nicht daraus abgeleitet werden, dass diese von einem Dritten eventuell missbräuchlich verwandt worden waren.

Zusammenfassend lässt sich feststellen: Von der Auskunftsverpflichtung erfasst sind alle Daten wie Namen oder Geburtsdatum, genauso wie jegliche Merkmale, die eine Identifizierung einer Person ermöglichen können, zum Beispiel Gesundheitsdaten, Kontonummer usw. Laut einer Entscheidung des Oberlandesgerichts Köln vom Juli 2019 ist sogar Auskunft über interne Gesprächsvermerke und Telefonnotizen zu erteilen.

Besonders im Bereich E-Commerce teilen wahrscheinlich alle Menschen mit einem E-Mail-Account das gleiche Schicksal. Ständig flattern Werbe-Mails ins Postfach, ohne dass man sich tatsächlich dafür angemeldet hat. Damit man dieser Sache auf den Grund gehen kann, hat die Datenschutzgrundverordnung eben diesen speziellen Auskunftsanspruch verankert.

Unternehmen weigern sich aber manchmal, die Karten auf den Tisch zu legen. Die Entscheidung zeigt, dass derjenige, der datenschutzrechtlich zur Auskunft verpflichtet ist, diese Verpflichtung nicht auf die leichte Schulter nehmen sollte. Immerhin sind in dem Fall, dass Berechtigte wegen unvollständiger oder falscher Angaben über die Datenschutzbeauftragten der Länder vorgehen, möglicherweise ein Zwangsgeld von bis zu 25.000 Euro, Zwangshaft oder ersatzweise Zwangshaft bis 6 Monate möglich.

Urteil des Landgericht Mosbach, Beschluss vom 27.1.2020; AZ – 5 T 4/20 –

Foto: thodonal

Einsatz von Google-Analytics wie bisher wird risikoreicher

Der nicht datenschutzkonforme Einsatz (nach DSGVO) von Google-Analytics auf Unternehmens-Webseiten ist offenbar weiter verbreitet als man allgemein denkt. Nach dem großen Spektakel im Mai 2018 hätte man denken können, das sei kein Thema mehr. Doch wie Fachleute berichten, werden Aufsichtsbehörden mehrerer Bundesländer mit einer regelrechten Beschwerdeflut konfrontiert. So heißt es, dass ein einzelner Beschwerdeführer für den Raum Hamburg 20.000 Unternehmenswebseiten gelistet hat, die allesamt in unzulässiger Weise Google-Analytics nutzen. Eine noch höhere Anzahl soll bei der zuständigen Behörde in Nordrhein-Westfalen mit 70.000 beanstandeten Seiten zu Bearbeitung anhängig sein.

Google-Analytics ist nach wie vor das populärste Webanalyse-Tool weltweit. Der kostenlose Dienst von Google kann für seine Nutzer die statistische Auswertung ihrer Seite übernehmen – und dokumentiert unter anderem die Herkunft der Besucher, ihre Verweildauer auf einzelnen Seiten, und Bereiche, in denen der Nutzer am meisten klicken. Und natürlich ist es so möglich, ein umfassendes Benutzerprofil von Besuchern einer Webseite zu erzeugen.

ebseitenbetreiber werden aber vermutlich beim Einsatz von Google-Analytics und anderen Tracking-Tools zukünftig nicht mehr ohne die Abfrage einer vorherigen Einwilligung auskommen können.

Best-Practice-Lösung beim Einsatz von Google-Analytics war bis jetzt die aktive IP-Anonymisierung und die Möglichkeit eines Opt-Outs (Widerspruchsmöglichkeit). Die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, vertrat sogar länger die Auffassung, dass ein datenschutzkonformer Einsatz von Google-Analytics & Co ohne eine vorherige Einwilligung der Webseitenbesucher grundsätzlich nicht möglich ist.

Wenn es um strittige Rechtsfragen zur DSGVO ging, hielten sich jedoch die Behörden bei der Verhängung von Bußgeldern bis dato meist zurück. Das könnte sich jetzt ändern. Durch die Cookie-Entscheidung des EuGH ist auch für die Aufsichtsbehörden in das Thema neuer Schwung gekommen. Nationale Gerichte, wie der Bundesgerichtshof, aber auch Behörden, werden beim Webtracking langfristig nicht gegen des Unionsrechts und dessen Auslegung durch den EuGH entscheiden oder agieren (können).

Die Aufsichtsbehörden werden daher nicht umhin kommen, so das Fachportal „datenschutzbeauftragter-info“als sich mit den genannten Massenbeschwerden in irgendeiner Art und Weise zu befassen. Welche behördlichen Maßnahmen künftig auf Betreiber zukommen werden, lässt sich jedoch nur schwer vorhersagen. Webseitenbetreiber werden aber vermutlich beim Einsatz von Google-Analytics und anderen Tracking-Tools zukünftig nicht mehr ohne die Abfrage einer vorherigen Einwilligung auskommen können. Wer auf Nummer sicher gehen möchte, sollte wohl besser zeitnah auf ein Opt-In umstellen.

Führt die Meldung einer eigenen Datenpanne automatisch zu einer Geldbuße?

Nach der Datenschutz-Grundverordnung sind die für Datenverarbeitung Verantwortlichen (die „Datenschutzbeauftragten“) eines Unternehmens verpflichtet, bei einer wie auch immer zustande kommenden Panne – bei der personenbezogene Daten im Spiel sind – die zuständige Datenschutzbehörde zu informieren. Dabei stellt sich natürlich die Frage, ob die Meldung einer Datenpanne eventuell zu einem Bußgeldverfahren führt – also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist so einfach nicht der Fall.

Binnen 72 Stunden, nachdem Verantwortliche ein Problem entdeckt haben, sollten die entsprechenden Information übermittelt werden. Viele Datenschutz-Aufsichtsbehörden bieten dazu inzwischen die Möglichkeit über ihre Webseiten entsprechende Datenpannen online zu melden. Es ist also ein eher geringer Aufwand, der aber nicht dazu verleiten sollte, auf eine solche Meldung zu verzichten.

In bestimmten Fällen muss ein Unternehmen die Datenpanne auch den direkt Betroffenen, also etwa den Kunden melden. Voraussetzung ist, dass die Verletzung  zu einem voraussichtlich hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Als Firma muss man also eine Prognose treffen, ob ein solcher Fall eintreten wird. Datenpannen mit personenbezogenen Daten müssen gemeldet werden, sonst droht ein Bußgeld.Übrigens: die Benachrichtigung muss unverzüglich erfolgen und zudem in einer klaren und einfachen Sprache übermittelt werden.

Um es klar zu sagen: Versäumte oder verspätete Meldungen stellen einen Verstoß dar und können mit Bußgeld geahndet werden. Sofern von einer Meldung abgesehen wird, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen zu bestehen scheint, ist dies sorgfältig zu dokumentieren und zu begründen.

Wie muss man als Unternehmer bei einer Datenpanne vorgehen?

Liegt hingegen die Verletzung personenbezogener Daten vor, sind für eine Risikobeurteilung insbesondere folgende Fragen zu stellen:

  • In welcher Form ist eine Datenpanne aufgetreten?
  • Welche Schäden können für die betroffene Person eintreten?
  • Durch welche Handlung und Umstände kann ein solches Schadensereignis eintreten?

So führt beispielsweise der Verlust von Kreditkartendaten durch ein Problem mit dem Server des Betreibers zum Risiko eines Kreditkartenmissbrauchs – und eventuell auch zu einem materiellen Schaden in Form einer unbefugten Kreditkarten-Nutzung.

Wobei nach dem Bundesdatenschutzgesetz einschränkend gilt, dass die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden darf. Das gilt auch für die Einleitung eines Strafverfahrens. Wer diese Zustimmung also nicht erteilt, braucht somit nicht zu befürchten, dass die Datenschutz-Aufsicht auf Grundlage der eigenen Meldung ein Bußgeld-Verfahren einleitet.

Aber, sollten Dritte die Datenpanne melden – so steht die gegebenenfalls bußgeldbewehrte Frage im Raum, warum die Verantwortlichen diese Panne nicht gemeldet haben.

Foto: fizkesstock.adobe.com