BfDI: Defizite beim Auskunftsrecht (Part 1)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, hat am Dienstag den 05.04.2022 der Präsidentin des Deutschen Bundestages seinen 30. Tätigkeitsbericht für das Jahr 2021 übergeben.
Darin befinden sich insbesondere zahlreiche Hinweise (Seite 24. ff.) zum Recht auf Auskunft Art. 15 DS-GVO, die Verantwortliche und Datenschutzbeauftragte für die Bewertung/Neubewertung ihrer Prozesse zum Auskunftsmanagement nutzen können.

1. Beauskunftung in einem gängigen elektronischen Format
Der BfDI macht darauf aufmerksam, dass gem. Art. 15 Abs. 3 S. 3 DS-GVO die begehrten Informationen im Rahmen des Auskunftsanspruchs durch den Verantwortlichen in einem gängigen elektronischen Format zur Verfügung zu stellen sind, soweit die betroffene Person den Antrag auf Auskunft elektronisch gestellt hat und sich nichts Gegenteiliges ergibt.

Durch verschiedene Eingaben von Petenten wurde dem BfDI bekannt, dass insbesondere einige Sozialleistungsträger (hier: Deutsche Rentenversicherung Bund) dieser Anforderung nicht gerecht werden und kein geeignetes elektronisches Verfahren zur Verfügung stellen können, durch welches eine Auskunft nach Art. 15 Abs. 3 S. 3 DS-GVO wie beschrieben beantragt und erteilt werden kann. Nach der Auffassung der Aufsichtsbehörde stellt dies einen Verstoß gegen die DS-GVO vor, dass der BfDI aufsichtsrechtliche Maßnahmen vorbereite.

Der Einwand angeblich fehlender technischer Voraussetzungen oder eines unverhältnismäßigen Aufwands lasse die DS-GVO bei der elektronischen Anspruchserfüllung nicht gelten. Die Sozialleistungsträger und Krankenkassen seien zu dieser Form der Auskunftserteilung verpflichtet.

2. Ablehnung der Auskunftserteilung
Auch bei vielen Krankenkasse herrsche trotz der Zeit, die man für eine Umsetzung der DS-GVO-Vorgaben im Hinblick auf das Auskunftsrecht gehabt habe, noch immer große Unsicherheit.
Hier weist der BfDI auf den Umgang mit § 83 Abs. 2 SGB X hin, auf den sich einige Krankenkassen bei der Ablehnung von Auskunftsbegehren zu berufen scheinen.

§ 83 Abs. 2 SGB X schränkt den Auskunftsanspruch auf nationaler Ebene ein, indem er den Anspruchsberechtigten anhält („soll“), grundsätzlich die Art der Sozialdaten, über die Auskunft erbeten wird, näher zu bezeichnen. Bei großen Organisationseinheiten – wie den Krankenkassen – ist dies die Regel, da sie über komplexe Datenverarbeitungen verfügen, so der BfDI. Von daher sei die angeblich mangelnde Konkretisierung des Auskunftsbegehrens durch den Betroffenen kein absoluter Ausschlussgrund für die Auskunftserteilung. Wenn die Sozialdaten jedoch nicht automatisiert oder nicht in automatisierten Datenverarbeitungsanlagen gespeichert sind, d. h. analog in Papierform vorliegen, werde aus dem „soll“ ein „muss“. D. h. in diesem Fall müsse die Krankenkasse nur dann Auskunft geben, wenn der Antragsteller so präzise Angaben macht, dass die Sozialdaten aufgefunden werden können (Art. 83 Abs. 2 S. 2 SGB X).
Hier hätten die Krankenkasse die Möglichkeit das Informationsinteresse und den Aufwand zum Auffinden der Sozialdaten gegeneinander abwägen und soweit letzteres unverhältnismäßig ist, die Auskunft verweigern.

(Foto: vanillya – stock.adobe.com)

Letztes Update:15.04.22

  • Online-Kompaktkurs: Datenschutz-Richtlinien zum Leben erwecken

    Online-Kompaktkurs: Datenschutz-Richtlinien zum Leben erwecken

    Online-Kompaktkurs

    141.61 € Mehr erfahren
  • Ihr Dialog mit der Datenschutzaufsicht

    Ihr Dialog mit der Datenschutzaufsicht

    Seminar

    1032.40 € Mehr erfahren
  • Die Aufgaben und der Tätigkeitsbericht des betrieblichen DSB praxisnah im Unternehmen

    Die Aufgaben und der Tätigkeitsbericht des betrieblichen DSB praxisnah im Unternehmen

    Seminar

    574.20 € Mehr erfahren
  • Beschäfigtendatenschutz Tätigkeitsbericht LfDI RLP

    Zulässige Erhebung privater Kontaktdaten von Beschäftigten

    Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Prof. Dr. Dieter Kugelmann, hat Anfang Mai 2022 den 29. Tätigkeitsbericht zum Datenschutz veröffentlicht.Unter Ziffer 6 des Tätigkeitsberichts bespricht der LfDI RLP einige Fragen aus dem Bereich des Beschäftigtendatenschutzes, die sich der Behörde vor dem Hintergrund der Bekämpfung der Corona-Pandemie gestellt haben. Konkret geht es darum,

    Mehr erfahren
  • Online Handel, Gast-Zugang

    DSK sieht Gast-Zugang als Voraussetzung für datenschutzkonformen Online-Handel

    Der aktuelle Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder dürfte einige Online-Händler aufgeschreckt haben, da die Umsetzung dieses „Beschlusses“ (Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang) mit zusätzlichem Aufwand und somit auch mit zusätzlichen Kosten verbunden sein dürfte. Im Kern fordert der Beschluss folgendes:„Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel

    Mehr erfahren
  • EU weit harmonisierte Bußgelder

    Bußgelder für Datenschutzverstöße sollen europaweit harmonisiert werden

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte bereits im Oktober 2019 ihr angekündigtes Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DS-GVO durch Unternehmen vorgelegt. Das Konzept für Bußgeldzumessung gestaltete im Wesentlichen die Vorgaben des Art. 83 DS-GVO aus und war auf Fortentwicklung angelegt. Ziel des Konzepts war es, den Datenschutzaufsichtsbehörden

    Mehr erfahren