Die Datenschutzgrundverordnung (DSGVO) zog im Jahr 2018 die mediale Aufmerksamkeit auf sich und hat dabei eine große Unsicherheit hervorgerufen. Rechtsexperte Manuel Münchhausen leitet den Bereich Datenschutz und Compliance bei der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA und betreut zudem den TÜV AUSTRIA als Konzern-Datenschutzbeauftragter. Im Interview widmet er sich speziell dem Art. 15 DSGVO und erklärt, was es mit dem „Auskunftsrecht der betroffenen Person“ auf sich hat.
„Auskunftsrecht der betroffenen Person“ klingt auf den ersten Blick sehr juristisch. Was besagt dieser Art. 15 DSGVO?
Für verantwortliche Unternehmen bedeutet das Auskunftsrecht vor allem, sich bewusst zu machen, welche Dateien sie zu welchem Zweck verarbeiten, und auch bereit und in der Lage dazu zu sein, das Ganze auf Nachfrage vollumfassend zu kommunizieren. Jede betroffene Person hat ein Recht auf diese Nachfrage – jederzeit und bei jedem beliebigen Unternehmen, ohne dass ein bestimmter Anlass vorliegen muss. Da reicht eine formlose Anfrage und man bekommt innerhalb von 30 Tagen die entsprechenden Informationen zur Verfügung gestellt. Das ist das Auskunftsrecht.
Welche Informationen kann die betroffene Person genau erfragen?
Zunächst einmal alle Informationen, die das Unternehmen über die Person gespeichert hat, und eine Reihe von Begleitinformationen, die in Artikel 15 ganz explizit aufgelistet sind. Dazu gehören unter anderem die einzelnen Kategorien wie Kontaktdaten, Bankverbindungen etc., aber auch der Zweck der Datenverarbeitung, woher die Daten stammen und an wen sie gegebenenfalls weitergeleitet wurden und wie lang die Daten gespeichert werden. Vielen Unternehmen stellt sich dabei schnell die Frage: Welche Daten haben wir eigentlich?
Daten aus einer zentralen Datenerfassung im Unternehmen sind demnach nicht ausreichend?
Nein, es geht dabei nicht nur um Daten, die gut organisiert in einem zentralen System erfasst wurden, sondern zum Beispiel auch um interne E-Mails und Dateiablagen auf diversen Rechnern. Oder Informationen, die in Papierform in irgendwelchen Ordnern lagern. Ist der Betroffene zufällig ein Mitarbeiter des verantwortlichen Unternehmens, bringt er natürlich Insiderwissen mit, kennt die Abläufe und interne Kommunikation und kann da ganz gezielt nachfragen. Aber auch externe Anfragen müssen selbstverständlich gewissenhaft bearbeitet werden.
Wie steht es bei einer solchen Fülle an Daten und Speicherorten mit dem Thema Sicherheit? Gibt es verpflichtende Schutzmaßnahmen für Unternehmen und haben Betroffene auch das Recht, Auskunft über diese zu erhalten?
Datensicherheit ist natürlich ein Thema, das aber im Auskunftsrecht selbst nicht enthalten ist. Ein Betroffener hat also nicht das Recht, Informationen darüber zu erhalten, wie seine Daten konkret abgesichert werden. Hierfür gibt es auch keine verbindlichen Vorgaben, solange die getroffenen Schutzmaßnahmen angemessen sind. In welchem Umfang, hängt von den verarbeiteten Daten ab. Ein Datenschutzmanagementsystems (DSMS) kann dabei helfen, saubere Prozesse zu definieren um angemessene Maßnahmen festzulegen und nachhaltig umzusetzen. Obligatorisch ist die Nutzung eines DSMS jedoch nicht. Wohl aber sind viele Unternehmen verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen, der die Aufgabe übernimmt, den Datenschutz im Unternehmen grundsätzlich zu gewährleisten. Das kann ein interner Mitarbeiter oder auch ein Externer sein. Die Gestellung eines externen DSB gehört unter anderem zu den Leistungen der TÜV TRUST IT.
Welche Aufgaben übernimmt dieser dann im Unternehmen?
Der DSB berät die Verantwortlichen, also zum Beispiel die Geschäftsführung, und überwacht die Einhaltung der Bestimmungen. Er selbst ist im Anschluss zwar nicht in der Verantwortung für die Umsetzung, muss aber über entsprechendes Fachwissen verfügen und eine gewisse soziale und kommunikative Kompetenz besitzen, um überhaupt Gehör zu finden. Denn die Inhalte müssen bei der Zielgruppe ankommen und meist geht es darum, vernünftige Kompromisse zu finden, die den Vorgaben entsprechen und mit denen die Verantwortlichen leben können. Das ist gar nicht so einfach und erfordert Zeit. Dabei darf die eigentliche Arbeit des Mitarbeiters natürlich auch nicht zu kurz kommen. Daher ist ein erfahrener externer DSB, der genau diese Aufgaben übernimmt, oft eine gute Lösung.
Wie kann die TÜV TRUST IT Unternehmen in Bezug auf das Auskunftsrecht unterstützen?
Wir sensibilisieren Unternehmen dahingehend, was das Auskunftsrecht für sie bedeutet. Beispielsweise, dass die Nachfrage eines Mitarbeiters eben nicht nur Daten beinhaltet, die in der Personalakte stehen. Solche Anfragen bleiben zum Teil erst mal liegen, weil Unternehmen 30 Tage Zeit haben, darauf zu reagieren und zunächst oft unklar ist, was genau zu tun ist. Daher unterstützen wir gerne beim weiteren Vorgehen: Was ist zu tun? Wo könnten überall Daten liegen? Wie können diese Daten exportiert werden? Anschließend begleiten wir die Nachbearbeitung einer Auskunft und sehen uns an, wo es Probleme gab, was besser umgesetzt werden kann und wie der Aufwand bei zukünftigen Anfragen verringert werden könnte. Dabei gehen wir spezifisch auf die Bedürfnisse des jeweiligen Unternehmens ein, eine pauschale Lösung gibt es hier nicht. Bei Bedarf freuen wir uns über eine unverbindliche Anfrage und besprechen das weitere Vorgehen individuell mit jedem Kunden.
Vielen Dank für das Interview, Herr Münchhausen!