(C) All-in-Media GmbH

BGH erweitert Auskunftsanspruch

Der BGH (Urteil VI ZR 576/19) zählt eigene Korrespondenz der betroffenen Person und interne Vermerke zu „Daten“, die in Kopie zu beauskunften sind (Art 15 Abs. 3 DSGVO).

Artikel 15 Abs. 3 Satz 1 DSGVO ist zur Thematik des Auskunftanspruchs sehr klar:

Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

Im Erwägungsgrund 63 Satz 3 DSGVO sind ist dazu eine Präzisierung genannt:

Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht.

Häufig sind die Notizen und auch die Korrespondenz nicht wirklich zur „Verarbeitung“ von den Unternehmen gezählt worden. Das geht nun nicht mehr.

Die Folgen in der Praxis sind gravierend:

Es muss damit z.B. die gesamte E-Mail-Korrespondenz offengelegt werden.
Aber auch mögliche Notizen zu Kunden in den Kundendatenbanken sind damit relevant.
Nicht zuletzt aber auch die Haftzettelchen, lose Blättersammlung oder auch abgeheftete Briefe in Ordnern.
Auch Archivsystem sind eine Quelle.

Denn entscheidend ist, dass die Auskunft vollständig sein muss.
Ist sie das nicht und die/der geht damit zur Datenschutz-Aufsicht, kann sehr unangenehm werden.

Tipps zur Prophylaxe:

  • Planen Sie den Prozess „Auskunft personenbezogener Daten“.
    Sie haben nur eine begrenzte Zeit für die Beauskunftung.
  • Benennen Sie eine Person, die Beauskunftungen im Unternehmen anleitet und „zusammensucht“.
    Das sollte möglichst nicht der externe Datenschutzbeauftragte sein, da der i.d.R. nicht im Unternehmen sitzt
  • Strukturieren Sie die Daten Ihrer Kunden / Betroffenen
  • Stellen Sie sicher, dass sich keine Notizen in den persönlichen E-Mailpostfächern tummeln
  • Planen Sie vorab, wo man welche Daten zu Kunden in Ihrem Unternehmen findet und wer in den Abteilungen diese im Detail zusammensucht
  • Leiten Sie alles struturiert und aufbereitet an den Datenschutzbeauftragten weiter zur Weitergabe an die Betroffenen.