Seit Einführung der EU Datenschutzgrundverordnung (DSGVO) am 25.05.2018 sind Auskunftsersuchen in manchen Unternehmen Standard. Denn Betroffene sind, durch die in den Medien berichteten Vorfälle, wesentlich sensibler geworden, was das Thema Datenschutz angeht.

Datenschutzpannen

Auch in den letzten Monaten und Wochen gab es mehrere Vorfälle, die bekannt wurden:

• Bereits im August wurde bekannt, dass das bayrische Rote Kreuz besonders sensible personenbezogene Daten, wie z. B. Informationen zu Schwangerschaften oder HIV-Infektionen, an Facebook übermittelt hatte. Hier wurde das fehlerhafte Konfigurieren einer Eingabemaske zum Verhängnis der Datenweitergabe.
  
  
• Das Universitätsklinikum Mainz, das durch eine Patientenverwechslung eine Rechnung falsch versendet hat, wodurch sich strukturelle Defizite im Patientenmanagement offenbart haben. Hier wurde von der Behörde in Rheinland-Pfalz ein Bußgeld in Höhe von 105.000 Euro festgelegt, dass die Klink bereits akzeptiert haben soll.
  
  
• Der Internetanbieter 1&1 Telecom GmbH hingegen will sich gegen das Bußgeld in Höhe von 9,55 Mio. Euro wehren. Auferlegt wurde diese Höhe, da Personen, die in der Service-Hotline angerufen haben, bereits bei Angabe von einem Namen und einem Geburtsdatum weiterführende Informationen erhalten konnten. Diese waren somit für jeden zugänglich, dem diese beiden Daten bekannt waren, ohne dass der Anrufer eindeutig als Betroffener identifiziert wurde.
  
  
• Auch das Fehlen eines Datenschutzbeauftragten kann ein Bußgeld zur Folge haben. Der BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) legte gegen die Rapidata GmbH ein Bußgeld in Höhe von 10.000 Euro fest, da diese, trotz mehrfacher Aufforderung Ihrer Bestellpflicht eines Datenschutzbeauftragten gem. Art. 37 DSGVO nicht nachgekommen ist. Hierbei wurde, lt. Aussage des BfDI, berücksichtigt, dass es sich um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.

Webseiten und Cookie-Banner

Auch auf Webseiten hat sich aufgrund der DSGVO einiges zum Vorteil der Betroffenen verändert. Vor allem seit diesem Jahr ändern sich nach und nach die Cookie-Banner. Das „nervige etwas“, dass viele Nutzer beim Besuch einer Homepage „stört“, ist aber sinnvoll, sofern ihnen nicht egal ist, wer was über sie weiß, ohne dass sie darüber informiert werden.

Zwischenzeitlich werden die Nutzer zum Beispiel um ihre Einwilligung für diverse Tools, die auf einer Webseite installiert sind, gebeten. Und nach dem EuGH Urteil vom 29.07.2019 im „Fashion-ID“ Fall sollte Webseitenbetreibern bewusst sein, dass die Einbindung des „Like“-Buttons von Facebook als Plugin rechtlich unzulässig ist (wir berichteten hierzu im August).

Mit dem Urteil des EuGHs vom 1. Oktober 2019 wurden ebenfalls die Rechte der Nutzer hinsichtlich der datenschutzrechtlichen Einwilligung gestärkt. Dieser hat in seinem Urteil eine Einwilligungspflicht für alle technisch nicht notwendigen Cookies bestätigt. Im konkreten Fall ging es um eine bereits vorausgefüllte Einwilligung auf einer Webseite, bei der der Haken im Kästchen bereits gesetzt war.
Hier wird bereits durch den Erwägungsgrund 32 der Datenschutzgrundverordnung das Stillschweigen, bereits angekreuzte Kästchen oder die Untätigkeit des Nutzers das Wirksamwerden von Einwilligungen explizit ausgeschlossen. Dem EuGH zufolge erfordert jegliches Setzen von technisch nicht notwendigen Cookies demnach die vorher über ein aktives Nutzerverhalten ausdrücklich erklärte Einwilligung. Vorangekreuzte Einwilligungskästchen genügen diesem Erfordernis nicht. Zudem wurde bekräftigt, dass es hierbei keine Rolle spielt, ob ein Personenbezug vorliegt oder nicht. Dies bedeutet im Umkehrschluss auch die Opt-In-Pflicht für alle Cookies, die für den Betrieb der Webseite technisch nicht erforderlich sind.

In seiner Pressmitteilung vom 14.11.2019 stützte der BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) ebenfalls mit der Meldung, dass personenbezogenes Webtacking ebenfalls nur mit Einwilligung möglich ist.

Wir hatten uns bereits im August mit dem Thema „Cookies und andere böse Angelegenheiten“ in unserer dreiteiligen Serie beschäftigt. Denn, neben den jedermann bekannten Cookies, gibt es auch andere Tools, die eine Opt-In-Pflicht mittels Cookie-Banner erfordern und nicht aktiv sein dürfen. Diese Tools führen nämlich ebenfalls eine automatische Weitergabe von personenbezogenen Daten durch, über die Sie den Nutzer nicht nur informieren müssen, sondern auch seine Einwilligung benötigen.

Weshalb dieser „Ausflug“ zu Webseiten und Cookie-Bannern, wo wir doch hier eigentlich über das Thema „Auskunft“ und Auskunftsersuchen sprechen?
Dies wird Ihnen sehr schnell in unserem nächsten Abschnitt klar, sofern Ihnen jetzt bewusst ist, weshalb Sie bei der Verwendung von Cookies, externen Skripten oder Dritt-Anfragen eine proaktive Einwilligung Ihrer Webseitenbesucher benötigen.

Das Auskunftsersuchen

Nutzen Sie als Betroffener eine Online-Suchmaschine Ihrer Wahl, werden Sie bei der Suche mehrere Vorlagen für eine Anfrage zum Auskunftsrecht der betroffenen Person gem. Art. 15 DSGVO finden. In Artikel 15 DSGVO ist genau aufgelistet, worüber der/die Betroffene Auskunft erhalten darf:

1. die Verarbeitungszwecke
   [wozu die Daten der betroffenen Person verarbeitet werden, z. B. Newsletter Versand]
   
   
2. die Kategorien personenbezogener Daten, die verarbeitet werden
   [z. B. Adressdaten, Kontaktdaten, usw.]
   
   
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
   [ob und wer die Daten außerhalb des Unternehmens erhält oder in Zukunft erhält, z. B. ein Steuerberater, und ob die Daten in ein Land außerhalb der EU/EWR bzw. eine internationale Organisation gehen]
   
   
4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
   [wie lange Sie die Daten speichern oder wie lange die Speicherung geplant ist]
   
   
5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
   [Dies ist die Information, welche Rechte Sie im Umgang mit Ihren Daten haben]
   
   
6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
   [Dies ist die Information, dass Sie das Recht zur Beschwerde haben]
   
   
7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
   [wurden die Daten nicht direkt bei Ihnen erhoben, erhalten Sie Auskunft über deren Herkunft]
   
   
8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
   [inwiefern ein Profiling* stattfindet, das gegenüber der betroffenen Person eine rechtliche Wirkung entfaltet oder diese beeinträchtigt]

*Profiling (Quelle: Wikipedia):

Die nutzbare Erstellung des Gesamtbildes einer Persönlichkeit für bestimmte Zwecke. Die Erstellung erfolgt durch das Zusammenführen von Daten, sowie deren anschließende Analyse und zweckbezogenen Auswertung.
Hierunter fallen z. B. in der Kriminaltechnik eine Spurensammlung für die Überführung des Täters, im Marketing die Erstellung von Kundenprofilen, um Kaufentscheidungen vorhersehen oder beeinflussen zu können oder z. B. das Analyse-Tool Google Analytics auf Webseiten.

Ein Auskunftsersuchen erhalten Unternehmen auf unterschiedliche Weise und aus unterschiedlichen Gründen. Die Gründe sind letztlich egal, da der Betroffene sein Recht auf Auskunft wahrnehmen darf und dies zu seinen Grundrechten gehört.

Dies erfolgt für gewöhnlich postalisch, kann aber auch, bei korrekter und ausreichender Authentifizierung, telefonisch oder per E-Mail erfolgen.

Wird die Anfrage durch die Person per E-Mail ausgeführt, erhält diese im Normalfall der zuständige Datenschutzbeauftragte oder die Person, die im Unternehmen für das Thema verantwortlich ist. Bei Unternehmen, die eine Bestellpflicht für einen Datenschutzbeauftragten haben, gehört es ebenfalls zur Verpflichtung, eine datenschutzkonforme Kontaktmöglichkeit für Betroffene zur Verfügung zu stellen, da Anfragen vertraulich behandelt werden müssen. Dies geschieht meist über eine E-Mail-Adresse, die für den Datenschutz eingerichtet wird und ausschließlich vom Datenschutzbeauftragten gelesen werden kann. Die Behörde in Baden-Württemberg macht die Einrichtung einer solchen E-Mail-Adresse sogar zur Vorgabe für Unternehmen. Zudem ist das Unternehmen gem. Art. 37 Abs. 7 DSGVO verpflichtet, die Kontaktdaten des Datenschutzbeauftragten der Behörde zu melden und diese zu veröffentlichen. Eine Veröffentlichung erfolgt für gewöhnlich über die Webseite des Verantwortlichen in dessen Angaben zum Datenschutz.

Möchte ein Betroffener nun für sein Auskunftsersuchen per E-Mail Kontakt zum Datenschutzbeauftragten aufnehmen, kann er die E-Mail-Adresse über die Behörde anfragen, diese einem ihm vorliegendem Informationsschreiben entnehmen oder die Person findet die E-Mail-Adresse über die Datenschutzinformation auf der Webseite des Unternehmens.

Auskunft zur Verarbeitung von personenbezogenen Webseitendaten

Geht der Betroffene den zu erwartenden Weg über die Homepage des Unternehmens, werden auch hier automatisch personenbezogene Daten von ihm verarbeitet.

Selbstverständlich kann das Unternehmen nicht wissen, über welchen Weg die Person die E-Mail-Adresse erhalten hat, doch es muss nahezu davon ausgehen, dass dies mit hoher Wahrscheinlichkeit über die Webseite geschehen ist.

Was bedeutet dies? Dies bedeutet, dass Sie als Unternehmen bei einem Auskunftsersuchen verpflichtet sind, dem Betroffenen mitzuteilen, dass auch bei einem Besuch der Homepage seine personenbezogenen Daten verarbeitet werden. Der Betroffene hat das Recht, genauere Informationen über die Verarbeitung seiner Daten zu erhalten.

Jetzt werden einige von Ihnen vielleicht anbringen, dass es genau hierfür die Datenschutzerklärung auf den Webseiten gibt.
Stimmt genau. Diese sind verpflichtend auf einer Webseite, damit der Besucher sich über die Verarbeitung seiner Daten informieren und seine Grundrechte in Bezug auf diese ausüben kann.

Zu diesen Grundrechten gehören:

• Das Recht auf Auskunft - sowohl über die Herkunft, die Empfänger und den Zweck für den die Daten verwendet werden
• Das Recht auf Berichtigung oder Löschung von fehlerhaften Daten
• Das Recht auf Einschränkung der Verarbeitung
• Das Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung
• Das Recht auf Datenübertragbarkeit
• Das Beschwerderecht bei der zuständigen Aufsichtsbehörde

Ziehen wir jetzt wieder die Verbindung zu den Urteilen des EuGHs bzgl. Einwilligung und dem Cookie-Banner, wird Ihnen vielleicht klar, weshalb das Thema sehr spannend ist. Setzt der Verantwortliche den Datenschutz auf seiner Webseite korrekt um und hat eine aktuelle Datenschutzerklärung auf seiner Seite eingebunden, dann stellt auch auf genauere Nachfrage das Beauskunften seitens des Verantwortlichen keine Herausforderung dar. Denn dann erfolgt das Setzten von Cookies, die Dritt-Anfragen oder das Laden von externen Skripten ausschließlich mit der Information und Einwilligung des Seitenbesuchers.

In diesem Fall ist es für den Unternehmer recht einfach, ein erweitertes Auskunftsersuchen zu beantworten und dem Betroffenen mitzuteilen, wie seine Daten verarbeitet werden.

Doch was, wenn nicht?

Folgen einer nicht datenschutzkonformen Webseite im Zuge des Auskunftsrechts

Was passiert, wenn Sie das Cookie-Banner, in dem Sie um die Einwilligung bitten sollen, weglassen? Sie setzen, wie bereits erwähnt, unberechtigter Weise Cookies auf dem Rechner des Webseitenbesuchers. Dies ist der eine Punkt.

Hinzu kommt, dass Sie, je nach eingebundenem Tool, immer personenbezogene Daten weitergeben, ohne dass Sie die Erlaubnis hierfür haben. Nehmen wir das Beispiel Google Analytics. Fragen Sie hier Ihren Webseitenbesucher nicht, ob Sie ihn analysieren dürfen, und das Tool ist aktiv, setzt es Cookies auf dem PC des Nutzers. Hinzu kommt, dass, selbst wenn Sie Google Analytics auf Ihrer Webseite mit IP-Anonymisierung eingebunden haben, automatisch personenbezogene Informationen über den Besucher an Google weitergeleitet werden. Welche Daten das u. a. sind, hatten wir bereits in unserem Blog-Beitrag aufgelistet. Somit haben Sie selbst mittels Analytics nur begrenzte Analyseinformationen, aber Google weiß durch die automatische Datenübermittlung weit mehr über Ihren Webseitenbesucher. Denn Google hat bereits an anderen Stellen die einzelnen „Steinchen“ über den Besucher gesammelt und kann durch die Zusammenführung dieser Informationen diesen identifizieren.  [https://www.dacuro.de/neuigkeiten/beitrag/cookies-und-andere-gefaehrliche-angelegenheiten-teil-1-3].

Und jetzt kommt hinzu, dass Sie der Verantwortliche Ihrer Webseite sind und auch für die dort vorhandene Datenverarbeitung. Jetzt überlegen Sie sich, jemand, der Sie vielleicht nicht so gerne mag, möchte in seinem Auskunft Schreiben gerne von Ihnen wissen, welche Daten Sie von ihm auf Ihrer Webseite verarbeiten. Denn wenn der Betroffene dies explizit bei Ihnen nachfragt, müssen Sie diese Frage korrekt und vollständig beantworten. Ansonsten kann er ggfs. von seinem Recht zur Beschwerde bei der Aufsichtsbehörde gebrauch machen. Und vertrauen Sie unserer Erfahrung: Sie möchten nicht, dass Ihnen diese Frage durch eine Aufsichtsbehörde gestellt wird.

Gehen wir den Gedankengang noch einen Schritt weiter. Die Person möchte von Ihnen, dass Sie seine auf der Webseite verarbeiteten Daten löschen, weil er Widerspruch gegen die Verarbeitung einlegt. Läge Ihnen die Einwilligung zur Analyse des Webseitenbesuchers vor bzw. hätte er diese erteilt, hat er die Möglichkeit, in Ihrer Datenschutzerklärung zu erfahren, dass bei einer freiwilligen Verarbeitung ein Widerspruch mittels Opt-Out für die Zukunft möglich ist und er diesen selbst durchführen kann.

Hat Ihnen der Nutzer jedoch keine Einwilligung erteilt und wurde ohne sein Wissen getrackt bzw. analysiert, wird es schwierig für Sie, dem Wunsch auf Löschung nachzukommen. Sie verfügen wahrscheinlich nicht über die technischen Voraussetzungen, dies zu realisieren.

Sie könnten das Recht des Nutzers nicht umsetzen und sind der Gefahr ausgesetzt, dass dieser sich an die Behörde wendet.

Fazit

Beim Auskunftsrecht eines Betroffenen hat dieser das Recht über die gesamte Verarbeitung seiner Daten informiert zu werden. Sicherlich müssen Sie nicht damit rechnen, dass jeder, der eine Auskunft von Ihnen möchte, zuvor auf Ihrer Webseite war. Doch erhalten Sie die Anfrage per E-Mail und der Betroffene konnte sich authentifizieren, ist die Wahrscheinlichkeit, dass er zuvor auf Ihrer Homepage war, um Ihre E-Mail-Adresse zu recherchieren, immens hoch. Somit müssen Sie davon ausgehen, dass Sie an dieser Stelle ebenfalls personenbezogene Daten des Anfragenden verarbeitet haben, über die Sie ihn informieren müssen.

Ist Ihre Webseite datenschutzkonform umgesetzt, stellt dies für Sie keine Herausforderung dar. Ist sie es nicht, kann dies, neben den klassischen Abmahngefahren, zu einem wirklichen Problem werden.

Aus diesem Grund empfehlen wir unseren Kunden immer einen datenschutzkonformen und aktuellem Stand Ihrer Webseite aufrecht zu erhalten und prüfen diese regelmäßig. Wir arbeiten in diesem Zusammenhang auch mit vielen Webdienstleistern zusammen, für die diese Umstellung ebenfalls neu ist. Teilweise stellt sich die Umsetzung, eine Webseite wirklich datenschutzkonform darzustellen, als schwierig heraus. Aus diesem Grund bieten wir 2020 nur für Webdienstleister einen Workshop an, wie sie ihren Kunden eine datenschutzkonforme Webseite zur Verfügung stellen können. Für Webagenturen stellt sich nicht nur die Schwierigkeit dar, eine Homepage korrekt umzusetzen, sie müssen auf weit mehr Punkte achten, als nur das Cookie-Banner. Auf diese Aspekte gehen wir ebenfalls in unserem Tagesseminar ein. Sollten wir Ihr Interesse geweckt haben oder Sie Ihre Agentur unterstützen wollen, freuen wir uns, wenn Sie uns weiterempfehlen.

Selbstverständlich stehen wir Ihnen auch zu allen weiteren Fragen rund um den Datenschutz oder als externer Datenschutzbeauftragter zur Verfügung. Unser Team von der dacuro wirft nicht nur ein Auge auf einen Schwerpunkt, sondern unterstützt Sie ganzheitlich rund um das Thema Datenschutz. Wir sind nicht nur im Rhein-Neckar oder Rhein-Main Gebiet tätig, unsere Kunden befinden sich bundesweit von Freiburg bis Hamburg, sprechen Sie uns einfach an.