Читать книгу: «Privacy Litigation», страница 4
3. Voraussetzungen
Der Anspruch aus Art. 15 I S. 1 1. HS DSGVO hat grundsätzlich keine Voraussetzungen bis auf die Anspruchsstellung selbst,135 da auch in dem Fall, dass keine Daten verarbeitet werden oder alle vorhandenen Daten unumkehrbar136 anonymisiert137 worden sind, eine entsprechende negative Verarbeitungsbestätigung zu erteilen ist. Wenn Daten über die betroffene Person verarbeitet werden, bedarf es für die Geltendmachung der Auskunftsrechte aus Art. 15 I S. 1 2. HS, II DSGVO nur eines formlosen Antrags,138 der gem. Erwägungsgrund 63 S. 7 DSGVO jedoch ggf. zu präzisieren139 ist. Der Antrag kann selbstverständlich nach allgemeinen Regeln des BGB (§§ 164ff.) auch durch einen Vertreter gestellt werden. Dieser sollte jedoch über eine schrifltiche Vollmacht verfügen und diese auch vorlegen können, da andernfalls der Antrag gem. § 174 BGB aus diesem Grund zurückgewiesen werden kann und der Verantwortliche sichergehen können muss, dass er den Auskunftsanspruch überhaupt (womöglich gegenüber dem Vertreter) erfüllen darf. Vergewissert sich der Verantwortliche nicht, ob der Dritte tatsächlich zur Einholung der Auskunft bevollmächtigt ist und erteilt diesem gegenüber die Auskunft, obwohl es an einer Bevollmächtigung fehlt, stellt diese Weitergabe personenbezogener Daten an einen Dritten einen eigenen Verstoß gegen die DSGVO dar und verletzt die betroffene Person in ihren Rechten.
Wie sich im Umkehrschluss aus Art. 15 III S. 3 DSGVO ergibt, ist auch der Antrag auf Erhalt einer Kopie grundsätzlich formfrei140 und unentgeltlich141 (e contrario Art. 15 III. S. 2 DSGVO) möglich. Für weitere Kopien, d.h. solche, die nicht auf demselben Antrag beruhen (str.),142 kann ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten143 verlangt werden.
4. Erfüllung des Auskunftsbegehrens
a) Inhalt der Auskunft
Die in Art. 15 I DSGVO zu erteilenden Informationen entsprechen weitestgehend den in Art. 13 und Art. 14 DSGVO verwendeten Begrifflichkeiten144, weshalb sich die Darstellung an dieser Stelle im Wesentlichen auf die Unterschiede hierzu beschränken soll.
aa) Verarbeitungszwecke
Die Angabe der Verarbeitungszwecke ist schon aus Art. 13 I c) und Art. 14 I c) DSGVO bekannt. Warum anders als dort, hier die Angabe der Rechtsgrundlage nicht genannt werden sollte, konnte bislang nicht sinnvoll erklärt werden,145 so dass für die Praxis anzuraten ist, diese Information ebenfalls mitzuteilen.146
bb) Kategorien personenbezogener Daten
Der Begriff findet sich wort- und bedeutungsgleich in Art. 14 I d) DSGVO und soll der betroffenen Person über die einzelnen herauszugebenden Daten hinausgehend einen Überblick verschaffen,147 der der Grundorientierung über die Bedeutung der erhobenen Daten dient.148 Auf die entsprechenden Ausführungen oben sei insoweit verwiesen.149
cc) Empfänger oder Kategorien von Empfängern
Auf die Diskussion, ob das „oder“150 dem Verantwortlichen ein Wahlrecht zubilligen soll, war schon weiter oben151 hingewiesen worden. Jedenfalls wird der Anspruch in zwei Dimensionen zu begrenzen sein: Zum einen wird er sich nur auf die Nennung der direkten Empfänger beziehen,152 zum anderen wird sich die Forderung, soweit sie sich auf Daten, die noch offengelegt werden, bezieht, auf eine ex-ante-Perspektive153 des Verantwortlichen beschränken.
Umstritten ist dabei, ob und inwieweit auch eine Pflicht zur Speicherung der Informationen über die Datenempfänger für die Vergangenheit besteht. Der EuGH hatte in Rijkeboer154 Rn. 54ff. eine Pflicht zur Speicherung bejaht. Allerdings war diese Entscheidung noch zur Datenschutzrichtlinie ergangen, so dass erst die Zukunft zeigen wird, ob das Schweigen der DSGVO hierzu als Ablehnung155 zu deuten ist bzw. wie weit die Speicherpflicht156 reicht. Für die Praxis empfiehlt sich die Einrichtung eines Löschkonzeptes, das einerseits sicherstellt, dass die Daten zumindest so lange vorgehalten werden, wie die betroffene Person noch Rechte geltend machen kann157 und andererseits, dass die betroffene Person erfährt, gegenüber wem ihre Daten bereits offengelegt wurden.158
dd) Speicherdauer
Die Formulierung und der Inhalt entsprechen Art. 13 II a) und 14 II a) DSGVO,159 so dass hier nur auf die diesbezüglichen Ausführungen160 verwiesen wird.
ee) Rechtsbelehrung
Die Belehrungspflicht stimmt im Wesentlichen mit Art. 13 II b), d) bzw. Art. 14 II c), e) überein.161 Abweichend hiervon besteht jedoch keine Pflicht, auf das Recht zur Übertragbarkeit der Daten gem. Art. 20 DSGVO hinzuweisen.162 Ob der Verantwortliche dennoch darauf hinweisen sollte,163 wird die Zukunft zeigen. Um das Risiko einer nicht vollständigen Auskunft zu minimieren, mag es eine Überlegung wert sein, über dieses Recht an dieser Stelle zu informieren. Wenn man unterstellt, dass die betroffene Person bei der erstmaligen Erhebung nach Art. 13, 14 DSGVO hierüber ordnungsgemäß informiert wurde, dürfte das Potential, dass das Ausbleiben einer erneuten Information tatsächlich zu einem durchsetzbaren Schaden bei der betroffenen Person führt, allerdings überschaubar bleiben. Hier wird man letztlich eine Risikoabwägung vornehmen müssen. Erfolgt die Auskunftserteilung allerdings – wie in der Praxis üblich – auf Basis eines individuell auszufüllenden Musters, spricht nichts dagegen, in dieses Muster bereits standardmäßig diese Information zu integrieren. Anders als eine unvollständige Auskunft kann eine Auskunft, die überobligatorisch über ein zusätzliches Recht der betroffenen Person informiert, nicht zu einem Schaden führen.
Nach wohl überwiegender Auffassung164 reicht es aus, das Beschwerderecht bei einer Aufsichtsbehörde sowie die für den Verantwortlichen zuständige Aufsichtsbehörde, ohne deren konkrete Adressdaten, aufzuzeigen. Auch wenn die Nennung konkreter Adressdaten vielfach für nicht erforderlich gehalten wird, schaden sie nicht, soweit der Verantwortliche über die entsprechenden Daten verfügt.
ff) Informationen über die Herkunft der Daten
Trotz des abweichenden Wortlauts entspricht diese Verpflichtung nach herrschendem Verständnis165 derjenigen aus Art. 14 II f) DSGVO, sodass auf die Ausführungen hierzu verwiesen166 wird.
gg) Bestehen einer automatisierten Entscheidungsfindung
Der Wortlaut des Art. 15 I h) DSGVO stimmt mit Art. 14 II g) bzw. 13 II f) überein, so dass auf die die dortigen Ausführungen167 inklusive aller Unklarheiten Bezug genommen werden kann.
b) Abgabe von geeigneten Garantien
Die Auskunftsverpflichtung gleicht im Wesentlichen Art. 13 I f) bzw. 14 I f) DSGVO, ist jedoch nicht ganz so weitgehend, da nur auf Art. 46 und nicht auf Art. 45 DSGVO verwiesen wird.168
c) Zurverfügungstellung einer Kopie
Die derzeit strittigste Frage innerhalb des Art. 15 DSGVO dürfte der Anspruch auf die Zurverfügungstellung einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sein. Sowohl innerhalb der Rechtsprechung169 als auch der Literatur170 sind Reichweite und Details des Anspruchs umstritten. Dies beginnt schon bei der Frage, ob es sich bei Art. 15 III DSGVO um einen eigenständigen Anspruch171 oder „nur“ einen Annex172 zu Art. 15 I DSGVO handelt. Mehr als diese dogmatische Einordnung dürfte den Anwender ohnehin die praktische Reichweite des Anspruchs interessieren.173
Eine vollständige Darstellung aller hierzu vertretenen Ansätze würde den vorliegenden Rahmen jedenfalls sprengen, so dass an dieser Stelle nur eine sehr grobe Einordnung in eine extensive und eine restriktive Auslegung erfolgen soll, die freilich zahlreiche Details vertretener Unterströmungen vernachlässigt.
„Die extensive Auffassung“174 geht davon aus, dass der Verantwortliche im Grundsatz Kopien sämtlicher erfasster personenbezogener Daten herausgeben muss. Dies umfasst im Zweifel auch die Herausgabe von E-Mails, Protokollen, Beurteilungen, Prüfungsleistungen175,176 etc., sofern nicht eine der eng auszulegenden Ausnahmen177 greift.
Begründet wird „diese Auffassung“ maßgeblich mit der Erwägung, dass die betroffene Person nur durch die Zurverfügungstellung der Rohdaten in möglichst ungefilterter Form einen transparenten Überblick erhalte, der eine effektive Geltendmachung der Betroffenenrechte ermögliche.178 Allerdings kann hierbei ein erheblicher Arbeitsaufwand179 für die Verantwortlichen entstehen, wenn entsprechende Dokumente auf Ausnahmen gem. Art. 15 IV DSGVO überprüft und ggf. geschwärzt180 werden müssen.
Dies ist neben den sehr weitgehenden Einblicksmöglichkeiten in fremde Informationen, die vor allem dem deutschen Prozessrecht fremd sind,181 und der möglichen Gefahr für Whistleblower182, auch eines der Hauptargumente für „die restriktive Auslegung“ des Art. 15 III DSGVO. Hiernach sollen im Wesentlichen ähnliche oder gleiche Informationen wie im Rahmen des Art. 15 I DSGVO (nur in einer anderen Form)183 zur Verfügung gestellt werden,184 was viele Konflikte mit anderen geschützten Rechtspositionen schon auf Tatbestandsebene185 entschärft oder beseitigt.
Bei näherem Hinsehen zeigt sich natürlich, dass es am Ende des Tages weniger Extrempositionen als vermittelnde Ansichten186 gibt, da auch die oben beschriebenen Ansätze auf die eine oder andere Weise erweitert oder beschränkt187 werden und damit oft weniger weit voneinander entfernt sind, als zunächst befürchtet.
Auch für die Praxis steht daher auf mittelfristige Sicht zu erwarten, dass sich eine vermittelnde Position durchsetzen wird, die keinem der widerstreitenden Interessen den absoluten Vorrang einräumen wird.188 Bis es allerdings so weit ist, kann den Verantwortlichen nur geraten werden, sich an den Rechtsauffassungen der für sie zuständigen Gerichte189190 und Datenschutzbehörden191 zu orientieren und nicht bedingungslos dem für sie günstigsten Ansatz zu folgen.192 Freilich kann es Konstellationen geben, in denen die zuständige Datenschutzbehörde eine andere Rechtsauffassung vertritt als das zuständige Gericht. In diesem Fall muss abgewogen werden, welcher Auffassung man bei der Auskunftserteilung folgt. Sollte der Aufwand für die Einhaltung der Vorgaben nach der strengsten Auffassung in tatsächlicher Hinsicht überschaubar sein – weil nur wenige Daten über die anfragende Person verarbeitet werden – empfiehlt es sich in einer solchen Konstellation, den Weg des geringsten Risikos zu gehen und der strengeren Auslegung zu folgen.
Hinzuweisen ist in diesem Zusammenhang noch auf die Besonderheit des Art. 15 III S. 3 DSGVO, der als Auslegungsregel festlegt, dass die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen sind, wenn die betroffene Person den Antrag elektronisch stellt und sich nichts anderes ergibt. Das elektronische Format ist dabei nicht mit der elektronischen Form gem. § 126a BGB zu verwechseln und meint z.B. die Bereitstellung als PDF oder RTF, die an jedem gängigen Endgerät eingesehen werden können.193
d) Ausschluss des Auskunftsrechts
Umstritten ist, ob das Auskunftsrecht nach Art. 15 I, II DSGVO in bestimmten Fällen ausgeschlossen ist194 oder, ob sich die Ausnahmevorschrift des Art. 15 IV DSGVO nur auf das Recht auf Erhalt einer Kopie nach Art. 15 III DSGVO bezieht.195 Der Wortlaut von Art. 15 IV DSGVO spricht zunächst dafür, dass sich diese Ausnahmeregelung nur auf das Recht auf Erhalt einer Kopie nach Art. 15 III DSGVO bezieht.196
Allerdings regelt Art. 15 IV DSGVO auch nur einen speziellen Ausschlussgrund. Das Unternehmen kann sich in jedem Fall auf die allgemeinen Ausschlussgründe nach Art. 12 V S. 2 lit. b) DSGVO berufen, wenn also ein Auskunftsersuchen offenkundig unbegründet ist oder einen exzessiven Charakter hat.197
Zudem ist das Auskunftsrecht ausgeschlossen, wenn das Unternehmen glaubhaft machen kann, dass es anhand der vorliegenden Informationen und trotz Nachfragen nicht in der Lage ist, die betroffene Person zu identifizieren.
aa) Art. 12 V S. 2 lit. b) DSGVO
Die Ausnahme des Art. 12 V 2 b) DSGVO ist entsprechend ihres Charakters als Ausnahmeregelung restriktiv auszulegen.198 Sie erlaubt es dem Verantwortlichen im Falle offensichtlich unbegründeter oder exzessiver Anträge, ein angemessenes Entgelt zu verlangen bzw. die Auskunft zu verweigern.
Offensichtlich unbegründet kann ein Antrag allenfalls dann sein, wenn von vorneherein feststeht, dass dieser keinerlei Erfolgsaussicht hat.199 Angesichts der negativen Verarbeitungsbestätigung, die nach Art. 15 I DSGVO auch der nicht betroffenen Person zu gewähren ist,200 bleibt für diese Konstellation wohl nur Raum, wenn eine offensichtlich nicht aktivlegitimierte Person den Antrag stellt, zum Beispiel nicht die betroffene Person oder ihr Vertreter, sondern ein Dritter.201
Exzessiv können Anträge ausweislich des Art. 12 V S. 2 DSGVO insbesondere im Fall häufiger Wiederholung sein. Allerdings ist ein Antrag nicht schon deshalb exzessiv, weil er einen erhöhten Bearbeitungsaufwand202 verursacht, hinzukommen muss ein rechtsmissbräuchliches Verhalten des Antragstellers.203 Dies gilt auch für die Wiederholung selbst, diese kann durchaus nicht exzessiv sein, auch wenn sie häufig ist, z.B. weil sich die Umstände ebenso häufig ändern, abweichende Auskünfte erteilt werden204, angemessene Abstände zwischen den Anfragen liegen205 oder schlicht jedes Mal berechtigte Anträge206 gestellt werden, weil der Verantwortliche wiederholte Rechtsbrüche begeht.
Ohnehin stellt sich die Frage, wann eine Wiederholung häufig im Sinne der Norm ist. Während teilweise bestimmte Fristen207 vorgeschlagen werden, wird man richtigerweise die Umstände des Einzelfalls abwägen müssen,208 bis der Tatbestand durch Gerichte und Aufsichtsbehörden schärfer konturiert wird.
Praxishinweis:
Der Normgedanke des Art. 12 V S. 2 DSGVO beruht auf einer Interessenabwägung zwischen betroffener Person und Verantwortlichem. Dabei wird die Erhebung eines angemessenen Entgelts209 i.S.d. Art. 12 V S. 2 a) DSGVO regelmäßig210 das mildere Mittel gegenüber der Totalverweigerung des Art. 12 V S. 2 b) DSGVO darstellen und sollte in der Praxis auch entsprechend gehandhabt werden.211
Gerade im Falle häufiger Anspruchsstellung wird der Verantwortliche den ihm obliegenden Beweis212 der rechtmäßigen Verweigerung leichter führen können, wenn er darlegt,213 dass die betroffene Person sich durch das mildere Mittel des angemessenen Entgelts nicht hat abhalten lassen. Andersrum gilt natürlich auch, dass die Belastung für den Verantwortlichen sinkt, wenn seine Kosten (weitestgehend) gedeckt sind, was ebenso bei der Abwägung zu berücksichtigen ist. In jedem Fall gilt auch hier: der Verantwortliche wird den Nachweis, dass in kurzen Abständen Auskünfte verlangt wurden, im Prozess nur führen können, wenn er ein Verfahren implementiert, das auch die Dokumentation der Auskunftsanfragen und der entsprechenden Auskunftserteilung beinhaltet.
bb) Art. 15 IV DSGVO
Soweit die Ausnahme des Art. 15 IV DSGVO einschlägig ist, erfordert diese die Abwägung mit Rechten und Freiheiten anderer Personen. Als solche kommen in Anlehnung an Erwägungsgrund 63 S. 5 insbesondere214 Geschäftsgeheimnisse oder Rechte des geistigen Eigentums, wie das Urheberrecht an Software, in Betracht. Erforderlich ist insoweit jedoch mehr als eine abstrakte Bedrohungslage, es muss zu einer konkreten Kollision mit einer Rechtsposition kommen.215 Der vierte Absatz ist als Ausnahmevorschrift eng auszulegen216 und muss in seinen Voraussetzungen vom Verantwortlichen der Datenverarbeitung bewiesen217 werden.218 Hierzu passt auch, dass das Vorliegen entgegenstehender Rechte nicht zu einem vollständigen Ausschluss des Anspruchs führen darf,219 wobei freilich schon aus Verhältnismäßigkeitsgesichtspunkten220 folgt, dass die Schwärzung oder Teilkopie221 einzelner Informationen ein milderes Mittel darstellt.
cc) Sonstige Ausnahmen §§ 27ff. BDSG
Auch außerhalb der DSGVO finden sich noch einige Ausnahmen, die aufgrund von entsprechenden Öffnungsklauseln, wie z.B. Art. 23, 85 II oder Art. 89 II DSGVO ergangen sind. Auf diese soll hier zumindest kurz eingegangen werden.222
aaa) § 27 II BDSG
Gem. § 27 II BDSG sind unter anderem die Rechte aus Art. 15 DSGVO so weit ausgeschlossen, als sie die Verwirklichung der genannten Forschungs- oder Statistikzwecke223 unmöglich machen oder ernsthaft beeinträchtigen würden und die Beschränkung für die Erfüllung der Forschungs- und Statistikzwecke notwendig ist.224 Allerdings ist fraglich, ob die Norm mit Unionsrecht vereinbar ist.225
bbb) § 28 II BDSG
§ 28 II BDSG sieht eine weitere Ausnahme für öffentliche Archive226 vor. Hiernach besteht kein Auskunftsrecht,227 wenn das Archivgut nicht durch den Namen der Person erschlossen ist oder das betreffende Archivgut nicht mit vertretbarem Verwaltungsaufwand228 gefunden werden kann, weil von der betroffenen Person keine weitergehenden Angaben gemacht werden. Bei dieser Norm handelt es sich um einen Sonderfall der Unverhältnismäßigkeit, der jedoch gem. Art. 89 IV DSGVO auch bei der Datenverarbeitung zu mehreren Zwecken nur in Bezug auf Archive gilt und keine Privilegierung für die anderen verfolgten Zwecke beinhaltet.
ccc) § 29 I 2 BDSG
Für Informationen, die entweder ihrem Wesen oder einer Rechtsvorschrift nach geheim gehalten werden müssen, besteht eine weitere Ausnahme gem. § 29 I S. 2 BDSG. Dass Informationen ihrem Wesen nach geheim zu halten sind, kommt insbesondere bei überwiegenden Interessen Dritter229 in Betracht. Schon aufgrund ihres Normtextes230 wird die Vorschrift eine detailliertere Ausformung durch die Judikative erfahren müssen. Es ist schon nicht klar, wann eine Information ihrem Wesen nach geheim zu halten ist231 oder welche Fälle, außerhalb der als Regelbeispiel dargestellten überwiegenden Interessen Dritter,232 hierfür in Betracht kommen. Zudem wird der Begriff der Rechtsvorschrift233 näher zu umreißen sein und ein Einfallstor für bestehende und künftige Spezialgesetze bilden. Zu denken ist hier etwa an das noch junge GeschGehG234: Auch wenn der Schutz von Geschäftsgeheimnissen schon in Erwägungsgrund 63 DSGVO als Motiv für den Art. 15 IV DSGVO genannt wurde und deshalb keine Aushöhlung des GeschGehG durch Art. 15 DSGVO zu befürchten war,235 ist es gut möglich, dass das Schutzniveau in Zukunft auf eine neue Stufe gehoben wird.236 In jedem Fall werden bestehende Auslegungsschwierigkeiten237 hierdurch auch Auswirkungen auf den Auskunftsanspruch und die diesbezügliche Handhabung des Verantwortlichen haben.
Zu klären sein wird zudem, ob der betroffenen Person die Gründe der Ablehnung mitzuteilen sind. Dies wird man wohl nur so weit bejahen können, als hierdurch das Geheimhaltungsinteresse, das durch § 29 I 2 BDSG geschützt wird, nicht tangiert wird.238
Praxishinweis:
Den Verantwortlichen ist über die generellen Vorteile eines aktuellen Kenntnisstands der Rechtslage und entsprechender Umsetzung im Unternehmen239 hinaus anzuraten, „am Ball zu bleiben“ und künftige Entwicklungen auch außerhalb der DSGVO zu verfolgen und ggf. zu antizipieren. Zu denken ist momentan etwa an die Whistleblower-Richtlinie240, die zwar noch(!) nicht umgesetzt ist, aber in Zukunft mit Sicherheit Auswirkungen auf das Spannungsverhältnis zwischen Geheimnisschutz und Auskunftsrechten haben wird.241
ddd) § 34 BDSG
§ 34 I S. 1 BDSG zählt zunächst die eben erörterten Ausnahmen vom Art. 15 DSGVO gem. §§ 27 II, 28 II und 29 auf und fügt dann in § 34 I S. 1 Nr. 1 und Nr. 2 noch weitere Ausnahmen hinzu. Beide stehen unter dem Vorbehalt, dass die Auskunftserteilung einen unverhältnismäßigen Aufwand242 erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen243 ist. Die Norm, deren Unionsrechtskonformität angezweifelt wird,244 trägt damit dem geringeren Schutzbedürfnis der betroffenen Person in dieser Konstellation245 Rechnung.
In § 34 I S. 1 Nr. 1 ist ein Ausschluss des Auskunftsrechts für den Fall normiert, dass die betroffene Person nicht nach § 33 I Nr. 1, 2 b) oder III zu informieren ist. Diese Ausnahme betrifft im Generellen die Gefährdung der öffentlichen Sicherheit und Ordnung bzw. der nationalen Sicherheit246 und erfasst damit Fälle, in denen das Interesse der betroffenen Person dem Interesse der Allgemeinheit unterliegt.247
Weitere spezielle Verarbeitungssituationen, in denen strukturell von einem geringen Gefährdungspotenzial für die betroffene Person auszugehen ist, werden von § 34 I Nr. 2 BDSG erfasst.248 In § 34 I Nr. 2 a) BDSG ist eine Ausnahme bei der Speicherung ausschließlich249 aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsfristen geregelt, deren Unionsrechtskonformität zumindest bezweifelt werden darf.250 Dies gilt insbesondere für satzungsmäßige Aufbewahrungsfristen, da insoweit die Befürchtung besteht, dass ein Ausschluss des Auskunftsanspruchs zur Disposition des Verantwortlichen gestellt wird.251 Da die Bezugnahme auf vertragliche Aufbewahrungspflichten im Gesetzgebungsverfahren verworfen wurde,252 wird man hierunter nur öffentlich-rechtliche Satzungen verstehen können und diese Ausnahme unter Bezug auf die Öffnungsklauseln der DSGVO restriktiv auslegen müssen.253
Weitgehend unproblematisch ist hingegen die Bezugnahme auf gesetzliche Aufbewahrungsfristen, wie sie sich zum Beispiel aus § 257 HGB oder § 147 III AO entnehmen lassen.254
In § 34 I Nr. 2 b) findet sich zudem eine Privilegierung für Daten, die ausschließlich Zwecken der Datensicherung und der Datenkontrolle dienen.255 Beide Begriffe tauchen auch in § 57 BDSG auf, sind dort aber ebenso wenig definiert wie hier. Typischer Fall der Datensicherung dürften dabei Back-ups/Sicherungskopien zum Beispiel auf externen Festplatten oder USB-Sticks sein.256 Datenschutzkontrolle dürfte dabei Fälle meinen, in denen Daten aufbewahrt werden, um nachträglich die Rechtmäßigkeit eines Verarbeitungsvorgangs überprüfen zu können, wie zum Beispiel Log-Files.257
Praxishinweis:
Entscheidende Kriterien für die Praxis dürften zum einen die oben erläuterte strenge Zweckbindung sein, und die andererseits ihr dienenden technischen und organisatorischen Schutzmaßnahmen. Letztere dürften zwischen Personalabteilung und IT-Abteilung bzw. -Dienstleistern zu erörtern sein und sollten auch bei der Erstellung eines Löschkonzeptes schon mitbedacht werden.
Zudem sind die besonderen Pflichten des § 34 II BDSG zu beachten: Die Gründe der Auskunftsverweigerung sind – zumindest elektronisch258 – zu dokumentieren, um eine spätere Überprüfbarkeit durch die Aufsichtsbehörden zu gewährleisten259 und auch der betroffenen Person mitzuteilen, soweit hierdurch nicht der verfolgte Zweck gefährdet wird, also Rückschlüsse260 auf die gespeicherten Daten zu ermöglichen.
Бесплатный фрагмент закончился.
