Auskunftsrechte, Löschanspruch, Datenübertragung und Identifizierungspflicht: Auch über zwei Jahre nach dem Beginn der Anwendbarkeit der DSGVO bleiben hinsichtlich der Betroffenenrechte nach Art. 12-23 DSGVO offene Fragen. Klärung bringen behördliche und gerichtliche Entscheidungen – einige aktuelle Entwicklungen stellen wir Ihnen in diesem Beitrag zusammen.
Unverzügliches Löschen nach Art. 17 DSGVO
Einen für die Praxis illustrativen Hinweis zum Löschungsanspruch nach Art. 17 DSGVO bringt eine Entscheidung der schwedischen Datenschutzaufsichtsbehörde (hier in englischer Sprache abrufbar). Nach Art. 17 DSGVO sind die personenbezogenen Daten des Betroffenen auf dessen Verlangen hin durch den Verantwortlichen „unverzüglich“ zu löschen, soweit kein Erlaubnisgrund für die weitere Verarbeitung vorliegt.
Aber wann erfolgt eine Löschung „unverzüglich“? Laut der schwedischen Behörden sind 16 Tage noch zügig genug. Eine solches Zeitfenster erfordert zwar unmittelbares Handeln, gibt aber dabei noch Luft für die notwendige Prüfung, ob das Löschungsbegehren gerechtfertigt ist.
Eine starre Frist ist indes aus Art. 17 DSGVO nicht ersichtlich. Je nach Einzelfall kann ein „unverzügliches Handeln“ auch ein schnelleres Handeln erfordern oder ein größeres Zeitfenster erlauben. Dabei ist eine Anlehnung an das tradierte deutsche Rechtsverständnis möglich, nach dem unverzüglich handelt, wer ohne schuldhaftes Zögern tätig wird, § 121 Abs. 1 S. 1 BGB. Eine 1:1 Übernahme dieses Verständnisses ist aber nicht zulässig, die Begriffe des EU-Rechts autonom auszulegen sind.
Welche Daten nach Art. 20 DSGVO zu übertragen sind
Nach Art. 20 DSGVO haben betroffene Person das Recht, eine Übertragung von sie betreffenden personenbezogenen Daten zu verlangen. Dieses Recht umfasst nur solche Daten, die die Betroffenen dem Verantwortlichen bereitgestellt haben.
Das VG Weimar hat dies jüngst am Rande einer Entscheidung bestätigt und konkretisiert: Ein Antragsteller hatte von der zuständigen Behörde Übertragung seiner Approbationsurkunde Verifizierung derselben verlangt. Der Antragsteller hatte der Behörde zuvor Namen und Geburtsdatum übermittelt, anhand derer die Behörde verifiziert hat, ob eine Approbation vorliegt, und sodann die entsprechende Approbationsurkunde ausgestellt hat. Der Antragsteller konnte aus Art. 20 DSGVO weder Übertragung der Approbationsurkunde, noch des Verifizierungsergebnisses verlangen: Beides sind keine Daten, die der Betroffene der Behörde bereitgestellt hatte; für die Übermittlung der Approbationsurkunde bestehen landesrechtliche Spezialvorschriften (vgl. Beschluss vom 2.3.2021 – Az. 2 E 209/21).
Identifizierungspflicht
Auskunft, Löschung und Übertragung von Daten – die Betroffenenrechte der Art. 15 ff. DSGVO müssen und dürfen Verantwortliche nur erfüllen, wenn sie die Anspruchsteller eindeutig als diejenigen identifizieren können, deren personenbezogenen Daten sie verarbeiten. Es gilt die sog. Identifizierungspflicht. Diese schließt aus, dass ein beliebiger Dritter über Auskunftsrechte u.a. mit den Daten anderer nach Belieben verfahren kann.
In der Praxis ist dem sorgsam Rechnung zu tragen: Ist eine Person mit den überlassenen Daten nicht eindeutig identifizierbar, sind weitere Angaben zur Identifizierung anzufordern. Dies ist z.B. der Fall, wenn ein Newsletterabonnent Auskunft verlangt, aber seine E-Mail-Adresse nicht benennt, unter der er den Newsletter bezieht. Der Verantwortliche sollte den Anspruchsteller dann auffordern, die E-Mail-Adresse anzugeben und die Auskunft sodann an diese E-Mail-Adresse übersenden.
Die Anforderungen an die Identifizierung dürfen nicht überspannte werden, wie ein aktuelles Beispiel des österreichischen Bundesverwaltungsgerichts zeigt (Entscheidung 21.06.2021): Ein Vereinsmitglied begehrte die Kündigung seiner Mitgliedschaft nebst Löschung seiner personenbezogenen Daten. Während die Kündigung umgesetzt wurde, lehnte der Verein das Löschbegehren ab mit der Begründung, die Identität des Betroffenen sei nicht hinreichend geklärt. Man brauche noch eine Ausweiskopie, um dem Löschbegehren nachzukommen. Trotz händischer Unterschrift auf Kündigung und Löschbegehren könne nicht ausgeschlossen werden, dass dieses nicht vielleicht auch von einer anderen Person stamme.
Eine solches Verlangen ging dem Gericht zu weit: Es sei nicht ersichtlich, warum die schriftliche Löschaufforderung mit händischer Unterschrift nicht ausreiche, um den Betroffenen mit hinreichender Sicherheit zu identifizieren. Hat der Verein im Hinblick auf die Kündigung nicht an der Identität gezweifelt, könne er dies auch bei der Löschung von Daten nicht vorbringen.
Keine Daten nur zur Identifizierung
Für den umgekehrten Fall regelt die DSGVO: Personenbezogene Daten sind nicht nur dafür aufzubewahren, um Personen identifizieren und dann die Betroffenenrechte erfüllen zu können. Bekanntes Praxisbeispiel sind die Einwilligungen auf Websites: Diese werden über „Consent-Cookies“ gespeichert. Verlangt ein Betroffener Auskunft beim Websitebetreiber, etwa unter Angabe seines Namens und seiner E-Mail-Adresse, kann der Websitebetreiber nicht erkennen, ob dieser Betroffene eingewilligt hat. Die DSGVO regelt, dass dies auch nicht sein muss: Ein Consent-Cookie reicht aus. Es ist nicht erforderlich (und wäre wohl sogar unzulässig), bei jeder Website-Einwilligung Name und E-Mail-Adresse abzufragen, nur, um spätere Anfragen beantworten zu können.
Die Pflicht zur Identifizierung dient also der Lösung einer Konfliktlage zwischen Betroffenenrechten und dem Grundsatz der Datenminimierung, nach dem die zu verarbeitenden Daten auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken sind. Es gilt, eine Balance zu finden zwischen der Erfüllung der Betroffenenrechte einerseits und der Vermeidung der Preisgabe zusätzlicher Daten andererseits. Beide Aspekte sind Ausfluss einer effektiven Durchsetzung der DSGVO. Eine Speicherung personenbezogener Daten „auf Vorrat“, um direkt auf mögliche Auskunftsersuchen reagieren zu können, ginge zu weit (EG 64, S. 2).