Projekt Beschreibung
Häufig gestellte Fragen zum Auskunftsanspruch
Übergeordnetes Ziel des Auskunftsrechts ist es, der einzelnen Person ausreichende, transparente und leicht zugängliche Informationen über die Verarbeitung ihrer personenbezogenen Daten zur Verfügung zu stellen, damit die Rechtmäßigkeit der Verarbeitung und die Richtigkeit der verarbeiteten Daten erkannt und überprüft werden können. Das Auskunftsrecht ist zum einen die Möglichkeit der betroffenen Person zu erfahren, ob und welche personenbezogenen Daten die verantwortliche Stelle verarbeitet. Zum anderen beinhaltet der Auskunftsanspruch die Möglichkeit, diese Daten einzusehen und zu überprüfen, um ggf. weitere Betroffenenrechte geltend zu machen.
Nein. Die betroffene Person muss den Antrag auf Auskunft nicht begründen. Es ist nicht Aufgabe der für die Verarbeitung verantwortlichen Stelle, zu prüfen, ob der Antrag der betroffenen Person tatsächlich hilft, die Rechtmäßigkeit der betreffenden Verarbeitung zu überprüfen oder andere Rechte auszuüben.
Ja. Es gibt keine besonderen Anforderungen an das Format eines Antrags. Die verantwortliche Stelle sollte geeignete und benutzerfreundliche Kommunikationskanäle bereitstellen, die von der betroffenen Person leicht genutzt werden können. Die betroffene Person ist jedoch nicht verpflichtet, diese speziellen Kanäle zu nutzen, sondern kann den Antrag stattdessen an eine offizielle Kontaktstelle der verantwortlichen Stelle senden. Die verantwortliche Stelle ist nicht verpflichtet, Anfragen zu bearbeiten, die an völlig willkürliche oder offensichtlich falsche Adressen gerichtet sind.
Ja. Ist die verantwortliche Stelle nicht in der Lage, die betroffene Person zu identifizieren oder die ihr zugeordneten personenbezogenen Daten zu identifizieren, so teilt sie dies der betroffenen Person mit und kann den Zugang verweigern, sofern die betroffene Person nicht zusätzliche Informationen liefert, die eine Identifizierung oder Zuordnung ermöglichen. Wenn die verantwortliche Stelle Zweifel daran hat, dass die betroffene Person diejenige ist, die sie zu sein behauptet, muss sie zusätzliche Informationen anfordern, um die Identität der betroffenen Person zu bestätigen (z.B. durch Vorlage der Kopie des Personalausweises).
Das Auskunftsrecht nach § 19 DSG-EKD bezieht sich grundsätzlich auf alle von der verantwortlichen Stelle verarbeiteten personenbezogenen Daten der antragstellenden Person.
Der Umfang des Auskunftsrechts richtet sich nach dem Umfang des Begriffs der personenbezogenen Daten, wie er in § 4 Nr. 1 DSG-EKD definiert wird. Neben den grundlegenden personenbezogenen Daten wie Name, Adresse, Telefonnummer usw. kann eine Vielzahl von Daten unter diese Definition fallen, z. B. Informationen aus Kirchbüchern, Entwicklungsdokumentationen, medizinische Befunde, Suchaktivitäten usw. Die Definition sollte nicht zu restriktiv ausgelegt werden und kann auch Daten umfassen, die andere Personen betreffen könnten, z.B. die Kommunikationshistorie mit eingehenden und ausgehenden Nachrichten. Personenbezogene Daten, die einer Pseudonymisierung unterzogen wurden, sind im Gegensatz zu anonymisierten Daten immer noch personenbezogene Daten.
Die verantwortliche Stelle muss nicht nur Zugang zu den personenbezogenen Daten gewähren, sondern auch zusätzliche Informationen über die Verarbeitung und über die Rechte der betroffenen Personen bereitstellen. Diese Informationen können sich auf das stützen, was bereits im Verzeichnis der Verarbeitungstätigkeiten der verantwortlichen Stelle (§ 31 DSG-EKD) und in den Datenschutzhinweisen (§§ 17 und 18 DSG-EKD) zusammengestellt ist. Es kann jedoch sein, dass diese allgemeinen Informationen auf den Zeitpunkt des Antrags aktualisiert oder auf die Verarbeitungen zugeschnitten werden müssen, die in Bezug auf die konkrete Person, die den Antrag stellt, durchgeführt werden.
Die Bewertung des Antrags sollte die Situation zu dem Zeitpunkt widerspiegeln, zu dem der Antrag bei der verantwortlichen Stelle eingegangen ist. Auch Daten, die möglicherweise unrichtig sind oder unrechtmäßig verarbeitet wurden, müssen zur Verfügung gestellt werden. Daten, die bereits gelöscht wurden, z. B. gemäß einer Aufbewahrungsregelung, und die daher der verantwortlichen Stelle nicht mehr zur Verfügung stehen, müssen nicht bzw. können tatsächlich nicht vorgelegt werden.
Ja. Die verantwortliche Stelle kann, wenn es sich um große Datenmengen handelt, die betroffene Person darum bitten, genauer zu präzisieren, worauf sich das Auskunftsverlangen inhaltlich genau bezieht. Eine Präzisierung ist nur dann erforderlich, wenn die verantwortliche Stelle nicht bereits aus den vorliegenden Informationen die Auskunft erteilen kann. Diesbezüglich besteht eine Nachweispflicht.
Die Art und Weise der Gewährung des Zugangs kann je nach der Menge der Daten und der Komplexität der durchgeführten Verarbeitung variieren. Sofern nicht ausdrücklich anders angegeben, ist der Antrag so zu verstehen, dass er sich auf alle personenbezogenen Daten der betroffenen Person bezieht. Aber die verantwortliche Stelle kann die betroffene Person auffordern, den Antrag zu spezifizieren, wenn sie eine große Menge an Daten verarbeitet.
Die verantwortliche Stelle muss in allen IT-Systemen und Nicht-IT-Ablagesystemen (analoge Akten) nach personenbezogenen Daten suchen, und zwar anhand von Suchkriterien, die die Art und Weise widerspiegeln, in der die Informationen strukturiert sind, z. B. Name und Kundennummer. Die Übermittlung von Daten und anderen Informationen über die Verarbeitung muss in knapper, transparenter, verständlicher und leicht zugänglicher Form unter Verwendung einer klaren und einfachen Sprache erfolgen. Die genaueren Anforderungen in dieser Hinsicht hängen von den Umständen der Datenverarbeitung sowie von der Fähigkeit der betroffenen Person ab, die Mitteilung zu erfassen und zu verstehen (z. B. unter Berücksichtigung der Tatsache, dass es sich bei der betroffenen Person um ein Kind oder eine Person mit besonderen Bedürfnissen handelt). Bestehen die Daten aus Codes oder anderen „Rohdaten“, müssen diese unter Umständen erläutert werden, damit sie für die betroffene Person verständlich sind.
Der betroffenen Person muss in geeigneter Form Zugang gewährt werden. Dies kann z.B. in Form einer strukturierten Zusammenstellung ihrer Daten erfolgen, wobei auch andere Modalitäten (wie mündliche Informationen und Zugang vor Ort) vorgesehen werden können, wenn die betroffene Person dies wünscht. Die strukturierte Zusammenstellung der Daten und die zusätzlichen Informationen sollten in einer dauerhaften Form, z. B. in schriftlicher Form, zur Verfügung gestellt werden, die auch in einer gängigen elektronischen Form vorliegen kann, so dass die betroffene Person sie leicht herunterladen kann. Die Daten können in Form einer Abschrift oder einer Zusammenstellung gegeben werden, solange alle Informationen enthalten sind und der Inhalt der Informationen dadurch nicht verändert wird. Die Daten können auch per E-Mail übermittelt werden, vorausgesetzt, es werden alle erforderlichen Garantien und geeignete Schutzmaßnahmen (z.B. Inhaltsverschlüsselung) angewandt, z. B. in Anbetracht der Art der Daten, oder auf andere Weise, z. B. über ein Selbstbedienungsinstrument.
In einigen Fällen, wenn die Datenmenge sehr groß ist und es für die betroffene Person schwierig, weil zu komplex wäre, die Informationen zu verstehen, wenn sie alle auf einmal gegeben werden – insbesondere im Online-Kontext – könnte die geeignetste Maßnahme ein mehrschichtiger Ansatz sein. Die Bereitstellung von Informationen auf verschiedenen Ebenen kann es der betroffenen Person erleichtern, die Daten zu verstehen. Sofern die verantwortliche Stelle den mehrschichtigen Ansatz wählt, muss sie nachweisen, dass der mehrschichtige Ansatz einen Mehrwert für die betroffene Person hat. Alle Schichten sollten gleichzeitig bereitgestellt werden, wenn die betroffene Person dies wünscht.
Dem Ersuchen muss so schnell wie möglich, auf jeden Fall aber innerhalb von drei Monaten nach Eingang des Ersuchens entsprochen werden. Diese Frist kann erforderlichenfalls um zwei weitere Monate verlängert werden, wobei die Komplexität und die Zahl der Anträge zu berücksichtigen sind. Die betroffene Person muss dann über den Grund für die Verzögerung informiert werden. Die verantwortliche Stelle muss die erforderlichen Maßnahmen ergreifen, um Anträge so schnell wie möglich zu bearbeiten und diese Maßnahmen an die Umstände der Verarbeitung anzupassen.
Die verantwortliche Stelle muss Maßnahmen treffen, die verhindern, dass personenbezogene Daten der betroffenen Person nicht während des Beauskunftungsverfahrens gelöscht werden, auch wenn Aufbewahrungsfristen währenddessen ablaufen. Werden Daten nur für einen sehr kurzen Zeitraum gespeichert, müssen Maßnahmen ergriffen werden, die gewährleisten, dass einem Auskunftsersuchen entsprochen werden kann, ohne dass die Daten gelöscht werden, während das Ersuchen bearbeitet wird.
Das EKD-Datenschutzgesetz lässt in § 19 Abs. 2 und 4 DSG-EKD bestimmte Ausnahmen und Einschränkungen des Auskunftsrechts zu. Es gibt keine weiteren Ausnahmen oder Sonderregelungen. Das Auskunftsrecht unterliegt keinem allgemeinen Vorbehalt der Verhältnismäßigkeit in Bezug auf die Anstrengungen, die die verantwortliche Stelle unternehmen muss, um dem Antrag der betroffenen Person nachzukommen.
Nach § 19 Abs. 2 Alt. 1 DSG-EKD kann sich aus speziellen Rechtsvorschriften eine Geheimhaltungspflicht (z.B. aus Berufsordnungen, Kirchengemeindeordnung ect.) ergeben. Berufsgeheimnisse dürfen nicht beauskunftet werden, weil der datenschutzrechtliche Auskunftsanspruch nach § 19 DSG-EKD keine Offenbarungsbefugnis gem. § 203 StGB darstellt – sofern keine Schweigepflichtentbindung vorliegt. In diesem Fall muss die verantwortliche Stelle der betroffenen Person zumindest mitteilen, dass sie sich auf die Geheimhaltungspflicht beruft (Ausnahme Gewaltschutzanträge, Zeugenschutz).
Gemäß § 19 Abs. 2 Alt. 2 DSG-EKD darf das Recht auf Auskunft der betroffenen Person die Interessen anderer nicht beeinträchtigen. Hier muss eine Interessenabwägung zwischen dem Interesse der betroffenen Person und den berechtigten Interessen der Dritten stattfinden und diese auch dokumentiert werden. Diese Rechte sind nicht nur bei der Gewährung des Zugangs in Form einer strukturierten Zusammenstellung zu berücksichtigen, sondern auch dann, wenn der Zugang zu den Daten auf andere Weise gewährt wird (z. B. durch Zugang vor Ort). § 19 Abs. 2 Alt. 2 DSG-EKD ist jedoch nicht auf die zusätzlichen Informationen über die Verarbeitung gemäß § 19 Abs. 1 Satz 2 Nr. 1 bis 7 DSG-EKD zu beziehen. Die verantwortliche Stelle muss nachweisen können, dass die Interessen anderer Personen in der konkreten Situation beeinträchtigt werden würden. Die Anwendung von § 19 Abs. 2 Alt. 2 DSG-EKD sollte grundsätzlich nicht dazu führen, dass der Antrag der betroffenen Person abgelehnt wird. Die Anwendung von § 19 Abs. 2 Alt. 2 DSG-EKD führt lediglich dazu, dass die Teile weggelassen oder unleserlich gemacht werden, die negative Auswirkungen auf die Interessen anderer Personen haben können.
Nach § 19 Abs. 2 Alt. 3 DSG-EKD kann die Auskunft auch dann verweigert werden, wenn durch die Auskunft die Wahrnehmung des Auftrages der Kirchen gefährdet würde. Bei der Anwendung dieser Fallgruppe ist aber Zurückhaltung geboten.
§ 19 Abs. 4 DSG-EKD erlaubt es der verantwortlichen Stelle, nur solche Anträge abzulehnen, die einen unverhältnismäßigen Aufwand erfordern. Wann ein Antrag unverhältnismäßig ist, hängt von den Besonderheiten des Bereichs ab, in dem die verantwortliche Stelle tätig ist. Unverhältnismäßigkeit kann vorliegen, wenn wiederkehrende Auskunftsanträge gestellt werden. Je häufiger Änderungen in der Datenbank der verantwortlichen Stelle vorkommen, desto häufiger kann die betroffene Person Zugang beantragen, ohne dass dies unverhältnismäßig ist. Ebenso kann ein unverhältnismäßiger Aufwand bejaht werden, wenn die Auskunft eine sehr große Menge an Daten umfasst und damit eine faktische Unmöglichkeit der Auskunftserteilung vorliegt. § 19 Abs. 4 DSG-EKD ist eng und restriktiv auszulegen.
Bildquellen
- hands-460865_1920: geralt by pixabay.com | CC0