Auch schön. Durch einen Beitrag von Dr. Datenschutz bin ich auf eine Mitteilung des Beliner Datenschutzbeauftragten (offiziell: Berliner Beauftragte für Datenschutz und Informationsfreiheit) in seinem Jahresbericht 2024 aufmerksam geworden. Ein Tätigkeitsbericht oder die Einschätzung einer Aufsichtsbehörde ist natürlich kein Gesetz, aber es ist als Unternehmen in Berlin zu befürchten, dass bei einer Prüfung die Nichtbeachtung der folgenden Punkte ein Problem verursachen könnte.
Dort heißt es: “Verantwortliche müssen nachweisen können, dass sie Auskunftsersuchen nach Art. 15 DSGVO rechtzeitig und korrekt beantwortet haben. Hierfür ist es allerdings nicht nötig und daher auch nicht zulässig, die erteilten Auskünfte standardmäßig vollständig aufzubewahren. Mittels technischer und organisatorischer Maßnahmen kann der Nachweis auch unter Beachtung des Grundsatzes der Datenminimierung so geführt werden, dass nur wenige Daten vorgehalten werden.“
Hierzu muss man sagen, dass die Beweislast für die Erfüllung des Auskunftsanspruchs bei der Verantwortlichen Stelle liegt. Der Verantwortlichen muss nachweisen können müssen, dass die Datenschutzgrundsätze eingehalten werden. Wie der Nachweis konkret zu führen ist, ist gesetzlich nicht geregelt. Da fragt man sich natürlich, wie die Aufsichtsbehörde zu dem Ergebnis kommt, dass es nicht zulässig sei, die Auskünften vollständig so lange aufzubewahren, wie ein Bußgeld wegen Mißachtung der Auskunftspflicht (oder Schadenersatz wegen Unvollständigkeit) drohen kann. Denn das ist ja der Grund, warum man das dokumentiert.
Begründen tut die die Aufsichtsbehörde wie folgt:
“Da die Auskünfte personenbezogene Daten enthalten, muss für ihre Speicherung eine Rechtsgrundlage bestehen. Als Rechtsgrundlage kommt die rechtliche Verpflichtung der Verantwortlichen in Betracht, die Einhaltung der Datenschutzgrundsätze nachzuweisen. Auch könnte die Aufbewahrung im berechtigten Interesse des Verantwortlichen stehen. Allerdings muss die Verarbeitung in beiden Fällen auch erforderlich sein, um die rechtliche Verpflichtung zu erfüllen bzw. die berechtigten Interessen zu wahren. Die Erforderlichkeit ist nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) im Zusammenhang mit dem Grundsatz der Datenminimierung zu prüfen. Sobald die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sind sie zu löschen. Zulässig ist die Speicherung damit, wenn sie „unbedingt notwendig“ bzw. „objektiv unerlässlich“ist, um den Nachweis zu führen. Das geht aber auch ohne konkret erteilte Auskünfte:“.
Bei einem normalen Risikoniveau (was immer das in diesem Zusammenhang sein soll) ermögliche die Dokumentation der verwendeten Auskunftsvorlagen, der Zeiträume ihres Einsatzes und des Verfahrens bei Auskunftsersuchen eine generelle Überprüfung der Auskunftspraxis, etwa auf Vollständigkeit und Verständlichkeit. Moniert eine betroffene Person im Einzelfall die erhaltene Auskunft, wäre diese im Beschwerdeverfahren vorzulegen.
Wie dann mit dem Vorwurf umgegangen werden soll, dass die Auskunft nicht vollständig sei (Nachbesserung), darauf wird soweit ich das sehen konnte nicht eingegangen.
Abgestellt wird darauf, wie das Unternehmen prüfen könnte, ob die vom Betroffenen dann vorgelegte Auskunft manipuliert sei. Um dies zu verhindern, wird z.B, vorgeschlagen elektronisch erteilte Auskünfte grundsätzlich mit einer digitalen Signatur zu versehen . Bei Auskünften auf Papier könne die digitale Signatur für die rein textförmigen Anteile gebildet und abgedruckt werden.
Ferner sollte der Vorgang der Beauskunftung als solcher mit Zeitangabe und ggf. den beauskunfteten Datenkategorien (“idealerweise revisionssicher”) protokolliert werden, um eine tatsächlich stattgefundene Auskunftserteilung darlegen zu können.
Konkret wird empfohlen:
“Als Versandnachweis beim Versand per E-Mail sollte Folgendes protokolliert werden:
der Zeitstempel der E-Mail
die Message-ID der E-Mail
der sendende Server
der empfangende Server (MX-Record)
der Zeitstempel des Erhalts des SMTP-Quittungscodes 250
die Bestätigungsnachricht (SMTP-Reply mit 250-Code und ggf. weiteren Informationen)Bei postalischem Versand per Einschreiben sollte Folgendes protokolliert werden:
das Datum des Schreibens
die Sendungsnummer
der Zustellstatus
das Zustelldatum
der Auslieferungsnachweis"Angemerkt wird noch, dass auch normale Briefe lassen sich über die Sendungsnummer bzw. den Matrixcode der Briefmarke heutzutage beschränkt nachverfolgen, sodass diese Daten neben Zustellstatus und Datum der voraussichtlichen Zustellung laut Sendungsverfolgung nachverfolgt und protokolliert werden sollten.
Ich fürchte für viele Unternehmen werden das ziemlich überraschende Anforderungen sein!
Interessanter Weise wird an dieser Stelle auch auf die in diesem Zusammenhang existierenden Informationspflichten hingewiesen (ich kann hier nur dringend empfehlen dies bereits in den allgemeinen Datenschutzinformationen abzufrühstücken, um weitere Korrespondenz im Rahmen von Nachfragen und Löschbegehren zu vermeiden):
“Die Verantwortlichen haben die Antragstellenden allgemein über die Verarbeitung ihrer Daten zum Zwecke des Auskunftsnachweises zu informieren. Bei Löschanträgen sind die Antragstellenden zusätzlich in der gesetzlich vorgeschriebenen Löschbestätigung über die Gründe der Vorhaltung des Auskunftsnachweises und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, zu informieren. Der datenreduzierte Auskunftsnachweis darf im Hinblick auf etwaige drohende zivilrechtliche Ansprüche grundsätzlich entsprechend der regelmäßigen zivilrechtlichen Verjährungsfrist für drei Jahre ab dem Ende des Jahres, in dem der Auskunftsantrag gestellt wurde – zuzüglich einer angemessenen Frist von bis zu drei Monaten für die Zustellung einer eventuellen Klage –, gespeichert werden.”
Die tatsächliche Einhaltung dieser Frist sollten Verantwortliche durch ein wirksames Löschkonzept sicherstellen.
