Löschung, Auskunft, Einwilligung in der Aufsichtspraxis – Prof. Dr. Kugelmann im Datenschutz Talk

Transkript zur Folge:

Heute geht es um Fälle direkt aus der Praxis der Datenschutzaufsicht und darum,
was Unternehmen und auch Datenschutzbeauftragte daraus natürlich lernen können.
Bei mir zu Gast ist Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den
Datenschutz und die Informationsfreiheit in Rheinland-Pfalz. Prof.
Kugelmann steht nun seit zehn Jahren an der Spitze der Aufsicht,
ist Mitglied der Datenschutzkonferenz und ist natürlich auch bekannt für seine
praxisorientierte Sicht auf die Datenschutzfragen des Alltags.
Ausführliche Vorstellung von Professor Kugelmann findet man in unserer Themenfolge
Bußgeldpraxis der Aufsichtsbehörde, die natürlich wir auch einmal in den Shownotes verlinken werden.
Ich freue mich sehr, dass Sie heute wieder dabei sind und sage herzlich willkommen,
Professor Kugelmann und herzlichen Glückwunsch zum zehnjährigen Dienstjubiläum.
Ja, vielen Dank, wie schnell die Zeit vergeht und wir hatten hier ein kleines Symposium.
Es war ansoweit auch ganz spannend, ein bisschen Revue passieren zu lassen,
welche Änderungen und Entwicklungen in den letzten zehn Jahren auch eingetreten sind.
Ja, tatsächlich glaube ich nochmal ganz spannend, vielleicht für unsere Zuhörer in aller Kürze.
Sie werden ja immer auf acht Jahre gewählt, das haben wir in unserer Themenfolge
seinerzeit auch schon mal besprochen.
Das heißt, Sie haben ja jetzt auch noch sechs Jahre vor sich,
zumindest wenn es jetzt alles regulär verläuft, vielleicht auch noch mehr.
Ich weiß nicht, wie es da mit Optionen auf Wiederwahl nochmal aussieht.
Aber wie blicken Sie zurück und auch wie nach vorne?
Als ich begonnen habe 2015, war ja die DSGVO noch im Werden,
war natürlich dann der große Einschnitt und wir haben das auch mit den Fachkolleginnen
und Kollegen besprochen.
Es gab eine große Erwartungshaltung, auch was die DSGVO alles machen soll.
Wir haben da vielleicht auch als Datenschutzbehörden manchmal von der verständlichen
Erklärung her, soweit bin ich sehr dankbar für solche Formate wie dieses.
Vielleicht 2018 zu wenig gemacht, waren es vielleicht zu technisch.
Aber trotzdem hat sich das ja festgesetzt in der Breite der Bevölkerung, Datenschutz ist da.
Datenschutz schwingt mit, manchmal zur Freude, manchmal zur geringeren Freude
auf das eine oder andere.
Aber auf jeden Fall ist jedem klar, Digitalisierung ohne Datenschutz,
das geht nicht, weil der Datenschutz ist ja genau der Punkt,
an dem die Rechte der Leute reinspielen und da ist es auch der Punkt,
wo man jetzt weitermachen muss und weitermachen soll.
Wir wissen, dass der Datenschutz im Moment so ein bisschen Gegenwind hat an
mancher Stelle, weil die Behauptungen ja immer mitschwingen,
die wirtschaftliche Entwicklung würde möglicherweise gehemmt,
verlangsamt durch zu strenge Datenschutzanwendungen,
Wir versuchen aber auch bei den deutschen Behörden, zumindest auch bei den europäischen,
einen Beitrag zu leisten, um zu sagen, was alles geht.
Und das ist vielleicht auch die Aufgabe in den nächsten Jahren,
deutlich zu machen, was alles geht, wie es geht vor allem eben auch.
Denn ganz viele Anwender wollen ja einfach wissen, was soll ich denn machen,
wie soll ich denn anwenden. Ich mache es, aber ich will nicht wissen, wie.
Natürlich können wir nicht bei jedem Einzelnen da helfen, aber schon die Bemühung
eben auch praxisnahe Hinweise zu geben, gerade von dem Hintergrund der europäischen
Rechtsentwicklung, die ja sehr unübersichtlich ist.
Das ist natürlich insbesondere auch bei so aktuellen Themen wie KI und das, was Unternehmen ja,
Sie haben es schon gesagt, natürlich auch ein Stück weit wahrnehmen,
dass wir da mitunter Hilfestellungen brauchen können, auch aus der Perspektive der Aufsicht.
Wir wollen aber heute mal auf ganz konkrete Themen auch aus der aufsichtswürdigen
Praxis und Tätigkeit sprechen, die vielleicht ein bisschen grundlegender auch
an einigen Stellen sind, die jetzt nicht nur aktuelle Entwicklungen betreffen,
sondern die auch die Dinge betreffen, die eigentlich zu den Basics gehören,
um es mal so zu formulieren.
Und wir wollen einmal auf das Thema Löschung schauen und uns dabei auch an ein
paar Fallbeispielen aus Ihrer Praxis orientieren.
Wir blicken aber auch nochmal auf das Thema Auskunftsrecht. Das ist ja auch
eines der Themen, die sicherlich auch bei Ihnen eines derer ist,
die besonders häufig sicherlich Gegenstand von Beschwerden und Anfragen von Betroffenen ist.
Und wenn die Zeit es noch erlaubt, würde ich vielleicht auch nochmal auf ein,
zwei Rechtsgrundlagenfragen gucken, insbesondere das Thema Einwilligung und
ihre Gültigkeit, was das angeht.
Aber wir wollen dann am Schluss natürlich auch nochmal nach vorne blicken.
Und auch da fand ich aus Ihrem Tätigkeitsbericht heraus ein Projekt sehr spannend,
über das wir gerne, vielleicht wenn Sie mögen, auch nochmal kurz sprechen können, nämlich eine Sandbox,
die Sie als eine Art Experimentierraum für innovative Datenschutzlösungen entwickeln.
Und dann, glaube ich.
Haben wir auch ganz gut wieder den Blick und das ja auch sehr praxisorientierte
und lösungsorientierte Thema, das Sie gerade eben auch schon ansprachen.
Fangen wir an mit dem Thema Löschung. Es sorgt ja schon seit vielen Jahren für Unsicherheiten.
Man muss auch dazu sagen, in der Praxis sicherlich eines der Themen,
die sehr lange, auch schon unter BDSG-Zeiten, sicherlich etwas vernachlässigt
wurden in den Unternehmen.
Und mit der DSGVO wurde das Thema aber natürlich auch bei den Unternehmen dann
etwas stärker in den Fokus gerückt, weil natürlich auch da Bußgeldrisiken plötzlich
sehr viel höher wurden, als sie das vor DSGVO-Zeiten waren.
Herr Kugelmann, Ihre Behörde hatte zuletzt mehrere Fälle, in denen das Thema
auch zu Sanktionen geführt hat.
Vielleicht steigen wir mit dem Fall der Bewerbungsunterlagen ein.
Wären Sie damit einverstanden?
Können wir gerne machen. Bei den Bewerbungsunterlagen ging es ja darum,
ich bewerbe mich, dazu schicke ich meine Daten entsprechend hin beim Arbeitgeber,
dem künftigen Arbeitgeber.
Wenn es klappt, dann klappt es aber nicht.
Und die Frage ist eben, wie lange muss der Arbeitgeber denn die Daten aufheben?
Also ab wann muss er sie denn löschen? Das war die Ausgangsfrage.
Dazu hat man auch ein Urteil unseres Verwaltungsgerichts, das entsprechend vorgeschlagen
hat, hier deutlich zu machen, wie das aussieht.
Und das ist ein gutes Beispiel, wo es darum geht, Bewerbungsunterlagen zu machen.
Das ist ja eben nicht nur eine Datenschutzfrage, sondern man muss ja auch weitere
Rechtsschutzmöglichkeiten ergreifen können.
Also man blickt auf das allgemeine Gleichbehandlungsgesetz, man blickt auf arbeitsgerichtliche
Rechtsmittelmöglichkeiten und dann haben wir uns dann auch dazu entschieden,
dass wir entsprechend befürworten, die Daten nicht direkt löschen zu müssen.
Sondern der Arbeitgeber kann sie aufheben, um eben Unterlagen zu haben für einen
möglichen Rechtsstreit, wenn eben einer sagt, die Ablehnungsentscheidung war
falsch und dann braucht es ja entsprechende Belege.
Das heißt also, wenn man die Fristen sieht, also zwei Monate Anspruchsfrist
nach AGG, drei Monate nach Arbeitsgericht, also bis zu sechs Monaten kann man
die Daten durchaus aufheben, ohne
aus unserer Sicht gegen Datenschutz zu verstoßen. Das ist, glaube ich.
Auch so, zumindest auch in unserer Praxis, das,
worauf wir auch unsere Kunden beraten, Also maximal sechs Monate,
um dann auch im Zweifelsfall, wenn es bei so einer Klage eingeht und bei Gericht
vielleicht auch noch einen Moment dauert, um dann auch da natürlich nicht zu
früh zu löschen und dann plötzlich die Klage unerwartet spät doch noch eintrudelt.
Wie sieht das aus Ihrer Sicht in einem Fall aus, wo der Bewerber seine Bewerbung aber zurückzieht?
Das ist ja dann schon wieder ein Fall, wo vielleicht auch mehr Unsicherheiten bestehen.
Würde man trotzdem auch dort so eine Frist anwenden können, weil man auch da
natürlich im Zweifelsfall belegen müsste, dass der Bewerber seine Bewerbung
selber zurückgezogen hat?
Meines Erachtens durchaus. Also das Verwaltungsgerichtliche Urteil war ja auch
die Frage, was ist überhaupt insoweit personenbezogen.
Unser Verwaltungsgericht hat gesagt, die Ablehnungsentscheidung selber ist Datum
des Arbeitgebers, wird also gar nicht personenbeziehbar auf den Kandidaten sein.
Wenn es jetzt um das Zurückziehen einer Bewerbung geht, ist es ja immer noch
die Frage, da kann ja auch dann noch einer im Nachhinein sagen,
Habe ich gar nicht gemacht, sondern du hast mich rechtswidrig nicht eingeladen.
Gerade im Fall von ADG-Fällen, von Personen, die in entsprechende Kategorien
fallen, kann das ja durchaus zu Schadenersatzforderungen führen.
Und deshalb würde ich durchaus vertreten, dass auch in dem Fall man durchaus
die sechs Monate anwenden kann.
Diese Löschung von sechs Monaten, das klingt natürlich auch immer sehr absolut
im Sinne von, ich muss dann alles löschen.
Jetzt haben wir aber natürlich unterschiedliche Informationen über den Bewerber vorliegen.
Also ganz typisch ist ja mit einer Bewerbung einhergehend eine Art Lebenslauf,
das Bewerbungsschreiben an sich und so weiter. Daneben gibt es natürlich mitunter,
je nachdem, ob der Bewerber das geltend gemacht hat oder nicht,
vielleicht auch nochmal Reisekostenabrechnungen.
Auch hier kann es ja den Fall geben, dass ein Unternehmen dann auch die Reisekosten
zum Beispiel zum Bewerbungs-, zum Vorstellungsgespräch erstattet.
Wie sieht es hier aus?
Also würden Sie sagen, also ich meine bei den Abrechnungsinformationen glaube
ich, da ist es relativ einfach, weil wir da gesetzliche Aufbewahrungspflichten
haben, sobald wir hier natürlich Belege haben, die dann auch unter die Abgabenordnung
und das Handelsgesetzbuch fallen.
Auf der anderen Seite, wenn ich jetzt aber zum Beispiel eine Information darüber,
dass der Kandidat sich schon mal bei mir beworben hat und ich abgelehnt habe,
ohne die Bewerbungsunterlagen selber, wäre sowas aus Ihrer Sicht zulässig?
Oder muss man da sagen, nee, alles, was jetzt über diese Abrechnung hinausgeht,
muss auch wirklich konsequent gelöscht werden?
Oder würde man so eine Art Kontakthistorie noch pflegen dürfen?
Na, also bei der Kontakthistorie wäre ich in der Tat skeptisch,
weil das sind ja Zusatzinformationen, die man dann über den Bewerber,
die Bewerberin dann sozusagen in der Schublade hat.
Und dann ist ja die Frage, wozu brauche ich die?
Wenn der, diejenige sich normal bewirbt, wird er sie das in Anschreiben sagen
können oder eben nicht, sodass ich da einen Gleichklang sehen würde mit den
sonstigen Unterlagen, die die Bewerberin, der Bewerber zugesandt hat.
Das ist natürlich nachvollziehbar.
Es gibt auf der anderen Seite natürlich auch schon mal Bewerber,
die sich sehr häufig beim gleichen Unternehmen bewerben, nach dem Motto,
ich versuche es einfach immer wieder.
Da würde man natürlich auch mit einem berechtigten Interesse argumentieren können,
dass das natürlich dann auch eine Art der Arbeitseffiziente ist,
wenn man das nicht jedes Mal neu prüfen muss.
Aber ich glaube, man wird wahrscheinlich Schwierigkeiten haben zu argumentieren,
dass das immer für dann alle Bewerber auch machbar und legitim wäre.
Von daher kann ich das ein Stück weit nachvollziehen, die Skepsis.
Personen, die einem vielleicht so ein bisschen auf die Nerven fallen,
sind nicht deshalb schon im Unrecht.
Also so weiter muss man sehen, jedes Bewerbungsverfahren ist ein neues Verfahren.
Also auch wenn Sie jetzt arbeitsrechtlich das sehen oder beamtenrechtliche Konkurrenten klagen,
wenn der sich zum vierten Mal bewerbt oder diejenige, dann ist es eben die vierte
eigenständig zu bewertende, in dem konkreten Kontext stehende Bewerbung.
Und ja, man hat ja auch noch sein Gedächtnis, das wird ja dann nicht gelöscht.
Aber jetzt rein formal beginnt dann eben ein Neustart und das ist dann eben
ein neues Verfahren und da gelten auch entsprechend dann erneut neu dann die
entsprechenden Daten des rechtlichen Regelungen.
Dann hatten Sie in Ihrer Praxis auch noch einen anderen Fall,
in einer Arztpraxis, wo auch Daten nicht gelöscht wurden.
Das führte dann auch hinten raus nochmal zu einem Bußgeld.
Was können Sie uns dazu erzählen?
Wir Ärztinnen und Ärzte haben es, wie wir alle, nicht leicht im Leben.
Also es sind viele Vorschriften, die sie da einhalten müssen.
Das sehen wir ja auch alles ein.
Da ist für uns ein wichtiger Punkt der Einklang mit dem Berufsrecht.
Also es ist ja für die Ärzteschaft schwierig, wie für andere Berufsgruppen auch,
wenn jetzt das Datenschutzrecht eben andere Dinge vorsehen würde als das Berufsrecht.
Wir haben in Rheinland-Pfalz bei der Löschung von unserer Landesärztekammer
keine Vorgaben, aber von der Psychotherapeutenkammer eine Frist von zehn Jahren,
eine Aufbewahrungsfrist, eine Höchstfrist,
die wir dann entsprechend auch vernünftigerweise, wenn keine spezifischen anderen
Gründe vorliegen, anwenden würden auf die Ärzteschaft.
Das heißt also, es gibt ja ohnehin dann verschiedene Möglichkeiten,
wenn etwa der Arzt in Rente geht und ein anderer Arzt übernimmt dann die Datei,
dann muss er auch nach diesem Zweischränkesystem in der Schrank,
der neu aufgeschlossen wird, also wenn der Patient zum ersten Mal wieder kommt, sagt, ah, Frau Dr.
Mayer, Sie sind gar nicht frei, Herr Dr. Müller, ja, nee, ich habe die Praxis
übernommen, dann wird ja erstmal neu praktisch die Patientenakte aufgemacht.
Und bei der Löschung in der Tat sehen wir dann mindestens für den rheinland-pfälzischen
Fall zehn Jahre als grundsätzliche Frist vor.
Das scheint auch lang genug klar, wenn es jetzt um einen spezifischen Fall einer
Krankheit geht mit entsprechendem Heilungsverlauf, die vielleicht noch länger ist.
Das ist ja eine plausible Begründung, weshalb man es dann vielleicht sogar noch
länger machen könnte. Also wie generell bei Löschkonzepten, die One-Fits-All-Antwort ist schwierig.
Deshalb sind auch Löschkonzepte insgesamt schwierig zu verallgemeinern.
Hier bei beärztlichen Situationen, also bei Patientendaten, bei Patientinnen-Daten,
gehen wir von einer Frist von zehn Jahren aus.
Die Ärzte haben da teilweise andere Vorstellungen.
Das war auch der Grund dann für die Geldbuße, die wir verhängen mussten.
Das hängt manchmal auch mit seiner grundsätzlichen Skepsis gegenüber irgendwelchen
Vorgaben zusammen, aber vom Ablauf her in der Tat wird man, wenn sich nichts
Neues tut, von zehn Jahren ausgehen.
Jetzt haben Sie es schon angesprochen.
Es gibt natürlich andere Fristen, Aufbewahrungsfristen. Wir kennen das natürlich
auch aus dem eben schon angesprochenen Finanzbereich, wo wir natürlich auch
bestimmte Aufbewahrungspflichten aus der Abgabenordnung und so weiter haben.
Gleichzeitig ist es natürlich für Datenschutzbeauftragte, die in der Regel ja
nicht unbedingt Experten in den jeweiligen Fachgebieten sind,
auch gleichermaßen sehr schwer zu entscheiden,
was ist jetzt wirklich eine verpflichtende Aufbewahrungspflicht und wo muss
man vielleicht aber dann auch den datenschutzrechtlichen Verpflichtungen den Vorrang gewähren.
Was würden Sie Datenschutzbeauftragten da vielleicht auch als Rat geben?
Wie schafft man es, wenn man da an einer Stelle ist, wo man jetzt unsicher ist,
inwieweit eine Pflicht aus einem anderen Gesetz heraus zur Aufbewahrung denn
wirklich verpflichtet, das am besten aufzulösen?
Oder muss man als betrieblicher Datenschutzbeauftragter da vielleicht auch wirklich
dem Verantwortlichen dann die finale Entscheidung überlassen und sagen,
das ist dann deine Verantwortung auch ganz klar zu sagen, welches ist die vorrängige Vorschrift.
Erstmal gilt es ja, sich kundig zu machen, was gilt.
Da gibt es ja entsprechende Möglichkeiten, wie gesagt, bei Ärzten,
Ärzte, Kammer, also die Kammer, die Verbände.
Je nachdem, um welche Berufsgruppe es sich dann halt handelt,
sollten da auskunftsfähig sein.
Ansonsten natürlich sind die betrieblichen Datenschutzbeauftragten nicht per se die Fachleute.
Wenn es dann um unterschiedliche Fristen geht, dann wäre einfach die Frage an
den Verantwortlichen selber, was ist plausibel?
Weil, wie gesagt, das Datenschutzrecht hat ja keiner einmal für alle geltende Frist von X.
Und wenn der Verantwortliche dann auf Nachfrage sagt, hier das und das ist aus
Abrechnungszwecken oder aus Forschungszwecken oder warum auch immer.
Das Konkrete, was ich jetzt für anwendbar halte, dann kann das ja das Datenschutzrechtlich
insoweit überspiegeln,
als das Fachliche ein guter Grund sein kann, weshalb man nicht festgeschriebene
Vorgaben dann entsprechend verlängern würde.
Sie haben das Thema Löschkonzepte angesprochen. Das ist etwas,
wo ich auch mal Ihre Erwartungen gerne zu abklopfen würde, vielleicht vorneweg geschickt.
Ich sage immer unseren Kunden oder auch in Workshops, dass es keine gesetzliche
Verpflicht für das Erstellen eines Löschkonzeptes als solches gibt,
weil es das Löschkonzept so in der DSGVO als Anforderung ja nicht gibt.
Also ein Löschkonzept muss am Ende nicht drüber stehen, aber und dann ist man
doch wieder nachher in der Praxis drin.
Es empfiehlt sich natürlich, das zu tun und genau solche Dinge ja auch da drin
zu beschreiben und zu regeln,
also genau zu festzustellen, was sind denn meine gesetzlichen Anforderungen
neben dem Datenschutzrecht einerseits
und anderen fachbereichsspezifischen Anforderungen andererseits.
Aber Stichwort Löschkonzept, was ist Ihre Erwartung als Aufsichtsbehörde an Unternehmen?
Also ist die Erwartung da, dass man sowas in einem Konzept beschrieben hat oder
haben Sie da eine differenziertere Vorgehensweise, wenn Sie Unternehmen danach fragen?
Wünschenswert wäre schon, das einmal festgelegt zu haben, insbesondere bei größeren
Unternehmen, auch für die Mitarbeiterinnen und Mitarbeiter, die das ja auch
wissen sollten, wann was zu löschen ist,
um dann letztlich, wenn es gut läuft, auch bei der IT eine Löschroutine auch festlegen zu können.
Also soweit, das wäre in der Tat ja genau der Dialog von betrieblichem Datenschutzbeauftragten
mit IT und gegebenenfalls Rechtsabteilung, wenn es um etwas größere Unternehmen
geht, zu sagen, hier, das ist unser Standard.
Wir hatten einmal einen Fall, da wurde uns eine Datenpanne gemeldet und dann
hat der Verantwortliche alle benachrichtigt, die betroffen waren und dann haben
sich hunderte von Leuten bei uns gemeldet und gesagt, wieso bin ich betroffen?
Ich bin seit zehn Jahren nicht mehr Kunde.
Wieso schreibt der mich überhaupt an? Wieso hat er meine Daten überhaupt noch?
Wieso konnten die überhaupt verloren gehen?
Und das dann auch zu einer Geldbuße geführt, denn letztlich der brauchte die
Daten nicht, der Verantwortliche, der hat nur halt,
Die lagen da halt noch rum und wenn dann halt es schief geht und der schlimme
Fall des Hacking eintritt, dann sind die weg und das müsste eben gar nicht sein.
Und sowas halt vorzusehen in einem Ablaufplan, in einer Verfahrensregelung,
die dann vielleicht auch IT-mäßig technisch eben abgefedert ist,
das hilft dann schon und würde dann auch dem Verantwortlichen in so einer Situation
helfen, hier nicht ins offene Messer zu laufen.
Ganz genau. Also das ist dann auch immer unser Praxistipp. Ein Löschkonzept
hilft einfach dabei, sehr strukturiert sich dem Thema zu nähern und ich meine,
das ist ein Beispiel, was Sie gerade genannt haben, dass ich natürlich bei einem
Datenschutzvorfall gegebenenfalls auch Farbe bekennen muss und sagen muss, okay,
ich muss halt Leute informieren, die ich eigentlich gar nicht informieren will,
weil ich vielleicht gar nicht will, dass sie wissen, dass meine Daten noch bei mir sind.
Das gleiche gilt aber auch für Auskunftsanfragen.
Auch da werde ich ja sehr schnell gegebenenfalls entlarvt werden,
wenn ich da nicht vollständig bei Auskunft und wenn dann Daten dabei sind,
die schon hätten gelöscht werden müssen.
Auch dann wahrscheinlich, wenn der Betroffene sich an sie wendet,
steht das Bußgeldrisiko wahrscheinlich auch wieder im Raum.
Gut, dann würde ich das Thema Löschung, also ich meine, das ist natürlich ein
breites Feld und das kann man sicherlich auch noch beliebig vertiefen,
aber das vielleicht mal an der Stelle schon mal abhaken und wir würden zum Thema
Auskunftsrecht kommen.
Ich glaube, ein Thema, was sehr viele Facetten auch hat.
Von einem Fall, den ich auch aus Ihren Unterlagen im Jahresbericht entnehmen
konnte, ging es zum Beispiel auch darum, um ein Beerdigungsdatum einer Mutter zu bekommen.
Das fand ich einen sehr spannenden Fall.
Die Familie ist sich nicht einig und da will man jetzt rauskriegen,
Auskunftsdatum, Beerdigungsdatum und natürlich ist das schon mal ein legitimer Grund.
Das unterscheidet ja diesen Fall von manchen anderen, wo man ziemlich schnell merkt,
da geht es jetzt nicht primär darum, Auskunft über das Datum selber und was
ist mit der Datenverarbeitung passiert, sondern es gibt ganz andere Gründe,
etwa im arbeitsrechtlichen Kündigungsschutzverfahren und ähnliches,
wo das dann ja ergänzend geltend gemacht wird.
Also soweit war das eigentlich zumindest mal ein Fall, wo es nachvollziehbar
war, dass derjenige eben wissen wollte, wann die Beerdigung war.
Dann ist es natürlich auch so, Auskunft braucht keine große Begründung.
Das reicht schon, wie gesagt, ich möchte Auskunft über meine Daten. Was hast du über mich?
Das müssen ja mal die eigenen sein. Und dann kriegt man das auch alles.
Das ist auch vor dem Hintergrund, dass der Europäische Gerichtshof ja auch klargestellt
hat, Und das Auskunftsrecht dient eben oder muss gerade nicht dem Zweck alleine dienen, zu wissen,
wie ist die Datenverarbeitung gewesen, war die rechtmäßig rechtswidrig,
sondern es können auch andere Zwecke verfolgt werden.
Also die Vielzweckwaffe-Auskunftsrecht ist in unserer Praxis das häufigste betroffenen
Recht, das die meisten Fälle generiert und in der Praxis unternehmen ja letztlich auch.
Jetzt war ja in dem Fall, wenn ich mich recht entsinne, ja auch nochmal eine
Besonderheit drin und das ist ja etwas, was in der Praxis durchaus auch übertragbar
ist auf andere Fälle, nämlich dass es ja um eine Information über eine Verstorbene
ging, also abgesehen davon, dass jetzt,
wenn ich den Fall richtig verstanden habe, natürlich, wenn man das Beisetzungsdatum
der Mutter über Artikel 15 versucht herauszufinden, das schon nicht greift,
weil man selber ja gar nicht der Betroffene ist.
Aber in dem Fall ist es ja auch noch der Umstand, dass es eine Verstorbene ist,
die ja damit keine natürliche Person mehr ist und damit natürlich auch nicht
mehr in den Anwendungsbereich der DSGVO fällt.
Nichtsdestotrotz, und da würde mich auch nochmal so Ihre Erfahrungen in der
Praxis interessieren, haben wir ja trotzdem andere Persönlichkeitsrechte,
die wahrscheinlich auch über den Tod hinaus erstmal noch gelten.
Wie geht man damit in der Praxis um, wenn zum Beispiel nach,
also Erben zum Beispiel Informationen über einen Betroffenen haben möchten?
In der Tat, der DSGVO gilt ja für die Daten natürlicher Personen,
also lebender natürlicher Personen.
Das heißt also, hier war es in der Tat so, das Datum des Todes ist eben Datum
der Mutter, aber die ist ja leider verstorben und so weiter.
Keine Anwendbarkeit der DSGVO, aber der postmortale Persönlichkeitsschutz gilt dennoch.
Also das ist dann eben allgemeines Persönlichkeitsrecht. Das heißt also,
wir haben gerade nicht DSGVO-Instrumente, sondern im Prinzip allgemeines Zivilrecht,
Ausgabemöglichkeiten.
Und da wird man sicherlich unterscheiden können und müssen.
Also beim postmortalen Persönlichkeitsrecht, wie schützenswert dann auch sowas ist.
Da wird ja auch angewendet, die Frage, also Kunsturhebergesetz,
die verschiedenen Kategorien, war das eine Person des öffentlichen Lebens,
war das keine Person des öffentlichen Lebens, je nachdem kann eben ein Interesse
daran bestehen, weil es ja letztlich eine Interessenabwägung dann,
also das allgemeine Persönlichkeitsrecht auf der einen Seite,
postmontaler Schutz und das Informationsinteresse auf der anderen Seite.
Wir sind also im Prinzip in der Abwägungssituation, die dann über zivilrechtliche
Vorschriften aufgegriffen wird.
Da würden wir dann sagen, okay, wir empfehlen dies und jenes zu tun,
auch wenn wir jetzt vielleicht unmittelbar nicht formal zuständig sind.
Kommt gelegentlich vor, wenn es etwa um zum Beispiel das Klassenbuch von 1954 geht, also um Daten,
wo teilweise Verstorbene drin sind, teilweise noch Lebende, wo wir da auch sagen
würden, also in dem Fall würden wir auch,
eine Ausgabe durchaus bejahen und würden eben nicht sagen, hier Einwilligung
muss erst eingeholt werden, weil das ein überwiegendes Interesse jetzt eben
aus historischer Sicht ist.
Es wird sicherlich auch immer darauf ankommen, was ist der Zweck,
zu dem man die Daten dann benötigt, um in so eine Abwägung vernünftig einzusteigen.
Aber ich höre raus, und das ist auch so mein Erkenntnisstand,
grundsätzlich sind wir aus dem Datenschutzrecht raus.
Wir sind also immer in einer Abwägung drin und das ermöglicht natürlich auch Unternehmen,
gegebenenfalls hier ohne eine Rechtsgrundlage aus der DSGVO selber,
weil sie nicht zwingend erforderlich ist, abzuwägen und dann auch zu einer begründbaren
Entscheidung zu kommen, die sich wahrscheinlich auch durch sie jetzt als Behörde
nicht sanktionieren ließe.
Ja, so ist es. Das muss plausibel sein und wie gesagt, das läuft dann eben zwischen den Beteiligten.
Da können wir, wenn es gewünscht ist, sozusagen Mediation machen und helfen,
aber wir haben dann natürlich keine formalen Befugnisse.
In solchen Spezialfällen, die nicht sehr häufig sind.
Dann, Herr Blei, kommen wir vielleicht nochmal zurück. Thema Auskunft und zu
dem, was wir eben hatten, nämlich Bewerbersituationen, insbesondere wenn es
nachher zu einer Ablehnung kommt.
Sie haben es schon gesagt, da gibt es ja verschiedene Waffen,
die dann oft auch genutzt werden. und das Auskunftsrecht gehört hat dazu.
Sie hatten auch einen Fall, da ging es zum Beispiel auch um den Ablehnungsgrund
im Stellenbesetzungsverfahren und den Auskunftsanspruch, den ein abgelehnter
Bewerber geltend gemacht hat.
Zu welchem Ergebnis sind Sie da gekommen? Vielleicht können Sie mal ganz kurz was dazu sagen.
Ein Urteil des Verwaltungsgerichts, dass der Ablehnungsgrund eben kein personenbezogenes
Datum des Bewerbers ist, Weil das ist eine Entscheidung, das dann eben nicht
Arbeitgebers ist, also der Seite, die die Entscheidung trifft.
Und das würden wir dann, wie wir rechtstreu sind, dann auch in unserer Praxis übernehmen.
Also hier sehen wir sozusagen Mann als Personenbezug dann aus dem Auskunftsrecht
und so weit draußen, weil es
sich nicht um ein eigenes personenbezogenes Datum des Bewerbers handelt.
Der wollte eben die kompletten Daten haben, die kompletten Unterlagen haben
aus dem Verfahren. Natürlich kriegt er alles, was ihn betrifft.
Aber die Ablehnungsgründe im 1 sind die Entscheidungen, die hat er eben dann nicht bekommen.
Da sprechen Sie einen Punkt ja auch an, der ja auch im Artikel 4,
im Absatz 4 von Artikel 15 ja auch ein Stück weit wahrscheinlich dann zu finden ist, zu sagen,
es müssen ja auch, oder wenn es mal eine Grenze ja aufzeigt,
es müssen keine Daten beauskunftet werden, die die Rechte von anderen Personen verletzen.
Und andere Personen können natürlich auch andere natürliche Personen sein, aber in,
glaube ich, auch der Literatur ist ja hier auch durchaus das schutzwürdige Geschäftsgeheimnis
zum Beispiel von einem Verantwortlichen mit gemeint.
Also das heißt, dass wir hier durchaus auch Schranken haben,
die eine Auskunft an bestimmten Stellen zum Beispiel auch dann zumindest einschränken.
Sie wird sie wahrscheinlich nicht ganz unnötig machen, aber man wird sie zumindest
einschränken können, oder?
Das ist gerade eine hochspannende Diskussion, auch im Zuge der Reform der Datenschutz-Grundverordnung.
Also wie verstehen wir 15 Absatz 4?
Wir würden auch intern sagen, wir sind gerade dran, uns da eine einheitliche
Linie auch für die Behörde nochmal herauszuarbeiten, weil da steht ja drin,
eigentlich ist das nur, die Recht und Freiheiten anderer Personen sind nur zu
beachten im Zusammenhang des Rechts auf Kopie. Also nur in Absatz 3.
Und da ist dann in der Tat, in der Literatur streitig, gilt das auch für Absatz
1, also den generellen Auskunftsanspruch.
Kann ich das überhaupt gelten machen? Gilt Absatz 4?
Und wenn ja, sind es die Rechte und Freiheit nur natürlicher Personen oder eben
auch des Verantwortlichen.
Also habe ich ein Gegenrecht. Also die erste Frage, also gilt 15 Absatz 4 insgesamt,
würden wir für Rheinland-Pfalz bejahen?
Das ist deshalb nachvollziehbar, weil nach der Rechtsprechung ja Absatz 1 und
Absatz 3 so ein gemeinsames Recht sind.
Da kann man also mit ein bisschen gutem Willen durchaus sagen,
der Gegengrund gilt eben nicht nur beim Herausgabe von Kopien,
sondern generell beim Auskunftsanspruch, ist aber wie gesagt umstritten.
Das zweite ist die Frage der Verantwortliche.
Da wird ja von vielen auch in der Wirtschaft beklagt, der Verantwortliche kommt
eigentlich in Artikel 15 gar nicht vor,
sondern eben nur der Auskunftsberechtigte und der Verantwortliche ist nur Adressat,
aber seine Interessen kriegt man ganz schwer da rein.
Ob man die über Artikel 15 Absatz 4 auch noch reinkriegt, da bin ich mir auch noch nicht ganz sicher.
Ob also die Rechte und Freiheiten Dritter, nicht eben Dritte sind,
nicht das Verantwortliche.
Da gibt es ja durchaus auch Vorschläge, den Normtext zu ändern künftig,
um genau das sicherzustellen.
Das ist ein bisschen wackeliger Boden noch. Das wäre sicherlich aus Sicht der
verantwortlichen Unternehmen wünschenswert. Im Zusammenkommen,
unser eigenes Interesse als Verantwortlicher spricht dagegen,
diese und jene Informationen auch noch rauszugeben.
Ich glaube, wir alle wären einig, dass es schon den einen oder anderen Fall
gibt, wo das sehr weitgehend ist,
was Auskunft betrifft und auch sehr hohe Kosten verursacht, wenn ich beim Außendienstmitarbeiter
in den letzten 30 Jahren die E-Mails durchgucken muss.
Das ist sicherlich alles plausibel und praxisnah, ob man es rein rechtlich so
einfangen kann, da wie gesagt, da bin ich noch nicht ganz sicher.
15.4 insgesamt ja für rechter Dritter, ja. Für den Verantwortlichen,
das da reinzulesen, ist vielleicht noch ein Schritt weiter.
Okay, ich verstehe, da gibt es noch durchaus Interpretationsspielräume.
Ich würde einen anderen Punkt aufgreifen, den Sie auch ansprachen,
ist zum Beispiel der langjährige Mitarbeiter, der jetzt Auskunft verlangt.
Auch das kennen wir beide. Es ist nicht selten, dass es natürlich auch in einem
Kontext von Kündigungsschutzklagen und so weiter passiert.
Also durchaus auch genutzt wird, entweder um einfach dem Arbeitgeber Arbeit
zu verursachen oder aber vielleicht auch um Informationen zu erlangen,
die man dann nachher wieder geltend oder verwerten kann in einem laufenden Gerichtsverfahren.
Aber die Motivation, auch da haben wir ja glaube ich ausreichend Rechtsprechung
mittlerweile zu, die ist erstmal gar nicht ausschlaggebend dafür,
dass ja der Auskunftsanspruch besteht.
Also Sie haben es auch schon gesagt, es muss eigentlich gar nicht begründet werden.
Auf der anderen Seite aber ist es natürlich oft ein, gerade bei langjährigen Mitarbeitern,
nahezu sehr großes Unterfangen, wenn man sagt, da muss jetzt jede E-Mail,
in der er zum Beispiel drin war oder da muss jedes kleinste Informationsschnipsel
bereitgestellt werden.
Natürlich eine sehr große Herausforderung.
Was ist da Ihre Erfahrung in der Praxis?
Wie kann man da als Unternehmen auch gegenüber Betroffenen sich verhalten,
um das vielleicht erstmal auch ein bisschen in eine Richtung zu lenken,
wo man sagt, das konzentriert man vielleicht auf bestimmte Arten von Daten oder
wie kleinteilig muss sozusagen der Informationsgehalt sein, damit er dann auch
beauskunftscht werden muss?
Nun, der Europäische Gerichtshof ist da ja sehr auskunftsfreundlich.
Das heißt, da gibt es natürlich auch Rechtsprechungen, dass zum Beispiel nur,
wenn jemand zahlreiche Auskunftsanfragen stellt, dass noch lange kein Missbrauch ist.
Auch viele, viele, viele Auskunftsanfragen, jeden zweiten Tag eine,
können also gerechtfertigt sein.
Was dann die Frage des Umgangs betrifft, vertreten wir, wie viele andere Kolleginnen
und Kollegen auch, die Möglichkeit, gestuft vorzugehen, also erstmal nachzufragen.
Das heißt also, lieber Antragsteller, du hast gesagt, du willst jetzt irgendwie
alles, was ich über dich weiß, kannst du das spezifizieren?
Also einfach versuchen, in der Tat, wie Sie es gesagt haben,
das etwas zu konkretisieren, um dann dem berechtigten Anspruch,
der besteht, irgendwie auch effektiv rechnen zu können.
Wenn das klappt, ist es gut. Wenn natürlich der Antragsteller dabei bleibt,
nee, ich will alles, dann ist man letztlich genötigt, soweit es geht, auch alles zu geben.
Wir haben immer wieder Versuche gesehen, auch Unternehmen dann Daten sozusagen
zu aggregieren, irgendwie so Bündelungen zu machen, dass man sagt,
ja, großen Ganzen, hier hast du 500 Mal E-Mails geschrieben.
Wenn der Antragsteller es akzeptiert, dann ja.
Wenn nicht, ist es ziemlich schwer, da zu sagen, man müsste nicht nochmal eine Stufe weitergehen.
Also die Frage ist ja letztlich, wann beginnt die Grenze des Missbrauchs?
Wann ist es also wirklich so weit, dass man sagen kann, also jetzt ist es eigentlich
nur noch Ärgernis und kein Ertrag.
Die ist halt sehr, sehr, sehr weit. Das wäre aus unserer Sicht auch was,
wo man dran schrauben könnte, auch beim Normtext künftig, aber noch ist es so, wie es ist.
Und da ist eben es sehr, sehr weit, wie es ein Missbrauch eintritt. Also,
Der Versuch, die Empfehlung wäre, das zu konkretisieren, den Antrag genauer
zu kriegen, damit man weiß, welche Informationen man auch kundtun kann,
um den Antrag schnell zufriedenzustellen.
Und wenn das gar nicht geht, dann so viel wie möglich und dann muss man gucken,
ob das dann letztlich dem Auskunftsanspruch gerecht wird.
Und da schließe ich ja so ein bisschen der Kreis zum ersten Thema,
nämlich zum Löschen ist natürlich auch Teil der Wahrheit.
Alles, was schon gelöscht ist, muss ich nicht mehr beauskunften.
Also auch da gilt natürlich insbesondere auch für unstrukturierte Daten,
dass man sich da entsprechende Gedanken machen sollte, wie man auch die Daten
möglichst kurz nur speichert und dann entsprechend löscht oder auch anonymisiert.
Die Frage ist, wenn man es anfängt zu löschen, wenn der Auskunftsanspruch kommt,
ist es natürlich auch kein gutes Zeichen.
Deshalb wäre wünschenswert immer ein gutes Datenmanagement, das eben auf Dauer
gut funktioniert und dann macht es einem das Leben insgesamt leichter.
Die sehr auskunftsfreundliche, insgesamt auch sehr betroffenenfreundliche Rechtsprechung
des Europäischen Gerichtshofs haben Sie schon erwähnt und auch beim Thema Exzess,
dass es da ja schon sehr weite Grenzen gibt, bis man da hinkommt.
Haben Sie in Ihrer Praxis schon Fälle gehabt,
wo Sie dann auch gesagt haben, nee, also da sehen wir auch durchaus den Missbrauch,
den Exzess quasi eher als gegeben und da haben wir dem Verantwortlichen dann
auch zugestanden, nicht mehr zu beauskunften?
Seltene Fälle, weil es in der Tat...
Aufgrund der Rechtsprechung halt wirklich großen Begründungsaufwand erfordert.
Aber ja, das waren eben dann Situationen, wo es nicht darum ging,
dass eben dieselbe Person dann häufige Datenschutzanfragen gestellt hat,
sondern eben häufige zu Daten, die er schon hatte.
Häufige zu Daten, die er schon hatte, auch teilweise in einem Ton,
der deutlich machte, hier geht es nicht um vernünftige Erwägungen,
also auch der Ton macht der Musik.
Auch wir sind als Behörde Gegenstand von Auskunftsanfragen.
Also auch wir kriegen ja Anträge, Teil der Auskunft, LFDI, was du an Daten über mich hast.
Und auch da gibt es eben Fälle, wo das Personen sind, wo man versucht,
denen gerecht zu werden, aber wo man schon merkt, es wird immer aggressiver
und irgendwann mal ist es dann auch deutlich,
da ist kein Interesse mehr, dass vernünftigerweise befriedigt werden kann.
Also da müssen mehrere Bündelpunkte zusammenkommen, die Anzahl plus der Ton
plus der Gegenstand und dann kann man schon auch ab und zu von Exzess reden.
Ja, es ist natürlich eigentlich wenig verwunderlich, dass sie solche Anfragen
dann auch bekommen und wahrscheinlich genauso damit kämpfen,
wie die Unternehmen dann auch.
Es ist zumindest für die Unternehmen vielleicht ein bisschen tröstlich,
dass sie dann auch in der ähnlichen Situation verstehen, wo der Schmerz liegt.
Weil wir kennen das bei unseren Kunden natürlich auch hin und wieder und das
ist auch ja nicht selten so, dass es ja immer nur ein oder zwei sind,
je nachdem wie groß meine betroffene Gruppe ist,
Die es dann aber auch wirklich bis zum Exzess treiben.
Also das einfache Auskunftsansuchen ist ja völlig legitim und auch in der Regel
gut handelbar, aber wenn es dann in die siebte, achte, neunte Runde geht,
dann fragt man sich natürlich als Unternehmen und verantwortlich ja sehr wohl,
ob der Datenschutz und das Datenschutzrecht da noch am Ende wirklich förderlich ist.
Wie würden Sie es einsortieren bei Daten, die man vielleicht den Betroffenen
nicht sicher zuschreiben kann?
Also ich denke jetzt zum Beispiel an Informationen, die vielleicht noch Gegenstand
von einer Ermittlung sind oder wo man vielleicht noch gar nicht weiß,
ob es der Betroffene wirklich ist, ob es da vielleicht erst noch ein Urteil abzuwarten gibt,
weil man noch gar nicht weiß, ob der Betroffene der Beschuldigte ist.
Oder vielleicht auch, wenn es dann um Auskünfte zu Videomaterial geht,
wo man auch natürlich nicht weiß, wo ist der Betroffene wirklich drauf zu sehen
und wo auch nicht, weil wir vielleicht gar kein Foto von dem haben.
Haben Sie solche Fälle auch schon gehabt oder haben Sie da eine Meinung zu?
Also da hatten wir eigentlich bisher weniger Praxisfälle.
Weil dann der Verantwortliche, das Unternehmen, die Behörde eben dann erstmal
sagen würde, das sind ja nicht deine Daten, wir geben sie dir deshalb auch nicht raus.
Die erste Stufe ist ja erstmal die Identität des Antragstellers einigermaßen zu klären.
Muss man keinen großen Aufwand betreiben, aber es sollte schon derjenige sein,
der auch den Anspruch hat.
Und dann soll er eben seine eigenen Daten auch kriegen können,
wenn da Zweifel bestehen.
Dann würde ich vielleicht in der Tat spätestens dann, wenn wir bei 15.4 reden
und rechte Dritte, also wenn andere Leute auf dem Video auch drauf sind,
dann eher im Zweifel dann Zurückhaltung üben.
Und dann hier, man kann einfach sagen, wir haben hier noch ein paar Informationen,
die allerdings noch nicht gesichert sind.
Hast du noch Zusatzinformationen, Antragsteller, um uns sicherzustellen,
dass das wirklich du bist und das wirklich deine Daten sind?
Solange können wir sie dir aber auch nicht rausgeben. Das wäre vielleicht dann
nochmal der Versuch, verfahrensmäßig auch ein bisschen zu helfen.
Stichwort Identitätsfeststellung des Betroffenen.
Es ist ja nicht selten, dass die betroffenen Anfragen auch per E-Mail reinkommen
und auch gerne per E-Mail beauskunftet werden sollen.
Was sind da Ihre Praxistipps, was es verhältnismäßig auch an Legitimation dann durchzuführen,
damit ich auch auf der anderen Seite keinen Datenschutzverstoß als Unternehmen
begehe, wenn ich dann jetzt zu leichtfertig die Daten vielleicht per E-Mail rausschicke?
Wir hatten in der Tat schon einen einen oder anderen Fall in der Hinsicht.
Da ist es ein Unterschied, wenn ich als Unternehmen schon eine Beschäftsbeziehung
hatte, in dem diese E-Mail vorkam. Also mit dem Kunden.
Das ist das einfachste Beispiel. Der Kunde hat die E-Mail und ich habe mit dem
schon kommuniziert, von der E-Mail kommt jetzt der Antrag. Dann würden wir sagen,
da ist plausibel, da ist der richtige Antragsteller.
Wenn die jetzt über eine Fake-Adresse von irgendwo kommt, da kann man sicherlich
nochmal nachhaken, sollte es dann auch tun, um nicht die Daten an den Falschen zu geben.
Auch da haben wir sozusagen eigene Erfahrungen, die dann auch zu verwaltungsgerichtlichen
Streitigkeiten geführt haben.
Und das Verwaltungsgericht hier hat uns in der Tat dann auch,
Dann hier verwaltungsrechtliche, nach Verwaltungsverfahrensgesetz,
Maßnahmen zu ergreifen, um sicherzustellen, dass das derjenige ist.
Aber die müssen wir dann auch machen.
Also die Schwelle sollte nicht besonders hoch liegen, je geringer, je besser.
Aber es sollte zumindest eine gewisse Sicherheit bestehen, dass der Antragsteller
auch die richtige Identität besitzt.
Was würden Sie grundsätzlich empfehlen? Also grundsätzlich besteht ja ein Anspruch,
auch die Informationen elektronisch zu bekommen, wenn ich sie elektronisch fordere.
Jetzt habe ich aber als Unternehmen vielleicht nicht diese vorhergehende Korrespondenz.
Ich bin mir nicht sicher, ob die E-Mail-Adresse richtig ist.
Heißt, gehe ich dann besser hin und verlange eine Legitimation,
zum Beispiel in Form einer
Ausweiskopie oder würde ich das Unternehmen lieber hingehen und das dann einfach
per Post an die mir bekannte Postadresse zum Beispiel schicken,
um sicher zu sein, es an den Richtigen zu senden?
Und das war dann unsere Lösung. Wir haben eine zustimmungsfähige Postadresse
verlangt und das ist dann auch sozusagen der relativ sichere Weg,
dann eben per Post, klassisch, in Papier, den Anspruch zu befriedigen.
Ja, und es hat ja den großen Vorteil, wir haben mit der Verschlüsselung nicht
ganz so große Herausforderungen, die wir natürlich beim Versand per E-Mail auch
immer noch im Hinterkopf haben müssen.
Ja, ein Thema glaube ich auch, was sicherlich ganze Folgen noch füllen könnte,
aber auch da müssen wir aus Zeitgründen dann jetzt einen Schnitt machen.
Zum Thema Rechtsgrundlagen, ich hatte es ja in der Anmoderation schon angekündigt,
ein spannendes Thema und auch nicht selten in Unternehmen natürlich eine spannende
Frage, das Thema Einwilligungen und wie lange ist denn eine Einwilligung gültig,
wie lange muss ich oder darf ich mich sozusagen darauf beziehen und wann muss ich erneut nachfragen.
Da hatten Sie in Ihrem Tätigkeitsbericht sich, wenn ich richtig in Erinnerung
habe, auch mal zugeäußert.
Wie ist da Ihre Sicht? Nun, rein rechtlich gibt es keine Gültigkeitsdauer der Einwilligung.
Die Einwilligung ist erteilt oder sie ist nicht erteilt.
Wenn sie erteilt ist, gilt sie, solange bis eben zurückgezogen wird oder Widerspruch eingelegt wird.
Das ist erstmal die Grundaussage. Auch da muss man dann sehen,
in welchem Kontext das Ganze sich abspielt.
Natürlich ist es wünschenswert und schön, wenn man dann als Versicherung dann
alle ein paar Jahre mal nachfragt, gilt da eine Einwilligung noch?
Ob das der Aufwand getrieben wird, ist eine zweite Frage.
Wir hatten in der Tat den Fall, wo es auch um Einwilligung im medizinischen
Bereich ging, eines Patienten, einer Patientin.
Und auch da ist es so, erst mal gilt das.
Und da kann man dann auch nicht sagen, die Gültigkeitsdauer ist abgelaufen,
jetzt müssen wir alles rückabwickeln.
Sondern es ist dann halt die Frage, ist es vertraglich? Dann habe ich einen Vertrag als Grundlage.
Habe ich eine Vorgabe, wo ich sage, die Einwilligung soll ohnehin nur für drei
Jahre gelten. Ich nehme meine klinische Studie teil oder wie auch immer.
Für diesen konkreten Kontext. Dann habe ich Vorgaben, dann habe ich Rahmenbedingungen,
dann habe ich Vereinbarungen.
Habe ich die nicht, dann gilt die Einwilligung so lange, bis sie eben widerrufen wird.
Das ist natürlich eine sehr beruhigende Nachricht.
Und gleichermaßen ist natürlich in der Praxis manchmal wahrscheinlich trotzdem
klug, nochmal nachzufragen, wenn man sehr lange keinen Gebrauch von der Einwilligung gemacht hat.
Also wir kennen ja auch die Fälle natürlich zum Beispiel der Einwilligung bei
Cookie-Bannern, wo man ja...
Eine Vielzahl gegebenenfalls am Tag gibt und gleichzeitig Webseiten,
die man vielleicht aber auch dann nur sehr gelegentlich mal besucht,
also ich meine, da gibt es auch, korrigieren Sie mich, aber auch von der DSK
eine entsprechende Position, dass man da durchaus auch die Einwilligung irgendwann
nochmal erneuern sollte.
Das ist in der Tat der Kontext, also wenn wir im Werbeumfeld dann wissen bei
Cookie-Bannern, bei der schnellen Einwilligung, nur um halt dann endlich mal
auf die Webseite zu kommen,
sage ich ja, dann muss man schon überlegen, wenn ich da zwei Jahre nicht da
drauf war, gilt das dann noch.
Deshalb ist es letztlich Teil der Rechenschaftspflicht natürlich,
das Verantwortlichen deutlich zu machen. Ich kann belegen, das gilt noch.
Die ist auch noch informiert, weil es kann ja gut sein, dass sich inzwischen
auch was getan hat, also auf der Webseite.
Dass da andere Hintergründe, andere Apps, andere Hintergrundinformationen laufen.
Also dass man schon deshalb auf der sicheren Seite wäre, wenn man die Einwilligung
nochmal neu einholen würde. Das sind ja auch dann keine Aufwände.
Also das ist ja dann eben den Klick nochmal sich abzusichern zu lassen.
Also da ist es vielleicht, um auf der sicheren Seite zu sein,
durchaus empfehlenswert, dass es ohnehin die Einwilligung aktuell zu halten,
um dann sicher zu gehen, dass die Datenverarbeitung auf der Basis auch rechtmäßig ist.
Tut man das nicht, hat man vielleicht ein paar Schwierigkeiten in der Folge.
Stichwort Beweisbarkeit, Stichwort Streitigkeiten im Zivilrecht,
wo man nichts belegen kann.
Also insoweit ist es im Eigeninteresse der Verantwortlichen,
gerade bei, ich sage mal, so flüchtigen Einwilligungen.
Dann nochmal sicherzustellen, dass die noch gilt.
Ja, gerade wie Sie schon sagen, Webseiten sind selten statisch und zumindest
über einen längeren Zeitraum hinweg.
Und alleine, dass ich eine Einwilligung brauche, setzt ja schon voraus,
dass etwas Einwilligungspflichtiges an Verarbeitung hinten stattfindet,
was sich in der heutigen Zeit bei der rasanten Entwicklung der Technologien
im Web natürlich sehr naheliegend ist,
dass sich dann auch einiges verändert hat und deswegen alleine schon die Einwilligung
sinnvoll ist, zu erneuern.
Vielen, vielen Dank auch für diesen Einblick.
Ich würde, wie wir das eingangs angeteasert haben, vielleicht dann nochmal einen
Blick nach vorne werfen.
Auch das habe ich Ihrem Tätigkeitsbericht entnommen, dass Sie mit der Universität,
korrigieren Sie mich, Bayreuth,
Genau.
Ich war nämlich überrascht, weil es keine ist in Ihrem Bundesland.
Eine Sandbox aufsetzen.
Was können Sie unseren Zuhörern zu diesem Projekt verraten?
Nun, das ist ein öffentliches Projekt. Insoweit verrate ich da keine Gereimnisse.
Das ist ein Drittmittelprojekt. Also ein Projekt auf einer Förderlinie des Bundesministeriums
für Bildung und Forschung.
Deshalb eben Universität. Bayreuth in dem Fall.
Ich kenne den Kollegen eben, der hat mich angesprochen. Da gab es die Möglichkeit,
auch als Behörde teilzunehmen und deshalb haben wir jetzt das gemeinsame Projekt
einer Datenschutz-Sandbox.
Das Projekt ist eben ein Projekt, also ein gefördertes Projekt mit dem Ziel,
Rahmenbedingungen auszuarbeiten, auch Muster auszuarbeiten, Dokumente auszuarbeiten,
Kriterien auszuarbeiten.
Wie soll es denn aussehen, wenn in der Sandbox oder zu deutsch einem Reallabor
ja dann zum Beispiel Unternehmen X zu mir kommt und sagt, hier,
ich habe die Anwendung so und so.
Lass uns doch mal gemeinsam drauf gucken.
Ob diese Anwendung auch datenschutzkonform ist und was muss ich denn tun,
welche Stellschrauben muss ich drehen, damit die dann datenschutzkonform ist.
Das ist so ein bisschen der Hintergrund.
Wir haben das natürlich von dem Hintergrund auch gemacht, dass nach KI-Verordnungen
es ja KI-Reallabore geben wird und muss ab nächstes Jahr.
Und wir der Auffassung sind, das gibt es in allen möglichen Umfeldern.
Es gibt auch einen Entwurf, ein Reallaborgesetz des Bundes. Also das ist eine
Thematik, die weit darüber rausweicht.
Wir wollen speziell für Datenschutz auch sicherstellen, dass das auch hier bei uns geht.
Es machen auch nicht nur die Idee, haben nicht nur wir, auch ein paar andere
Landeskollegen, auch die Bundeskolleginnen wollen Reallabore ermöglichen.
Und unser Forschungsprojekt soll eben eine rechtssichere Möglichkeit schaffen
mit entsprechenden Vorgaben, wie man sowas macht und wie man es aufsetzt,
welche Kriterien man als Unternehmen erfüllen muss, um sich bewerben zu können,
welche Vertraulichkeitsvereinbarungen bestehen und das wollen wir gemeinsam
mit den Informatikern ausarbeiten.
KI-Verordnung, wie Sie schon sagen, sieht das ja vor.
Ich habe Ihr Projekt aber so verstanden, es wird dann nicht nur für KI-Anwendungen
sein, sondern es kann auch andere innovative oder Spezialfälle sein,
die dann dort betrachtet werden können.
Kann man da schon was sagen, wie das nachher auch technisch funktionieren wird?
Also ist das eine eigene Umgebung, in der dann bestimmte Dinge erstmal quasi
installiert werden müssen, die dann unter ihrer Kontrolle liegen?
Oder wie muss ich mir das vorstellen?
Nein, das läuft auf dem Rechner des Unternehmens.
Also das Unternehmen sagt hier, ich bin ein Startup im Automobilbereich und
habe eine super gute Idee für eine App, die bei E-Autos dies und jenes verbessert.
Mit den personenbezogenen Daten der Fahrer und Fahrerinnen arbeitet,
können wir mal gemeinsam uns das angucken. Das heißt, sie schildern uns das.
Wir arbeiten gemeinsam Dinge aus.
Es gibt dann einen Plan, den auch das Unternehmen vorlegen muss, einen Arbeitsplan.
Und das Angucken der Software läuft dann im Unternehmen, auch in deren geschützter Umgebung.
Also das ist nicht jetzt dann bei uns in der Behörde.
Dann würden wir eben dort gemeinsam dann gucken, ob das auch technisch sichergestellt
ist, was man rechtlich haben will.
Und solche Projekte, die Luxemburger machen das schon, weil die ja auch KI-Behörde
werden, deshalb müssen also KI-Reallabore machen, deshalb machen die das auch
schon jetzt mit Datenschutz.
Solche Projekte sind dann eben auf sechs, neun, vielleicht zwölf Monate begrenzt.
Mit dem Ziel, dem Unternehmen zu sagen, so, wir waren es nochmal bei dir,
haben es nochmal angeguckt, die Empfehlungen sind eingearbeitet.
Wenn du das so auf den Markt bringst, dann ist das aus unserer Sicht marktfähig.
Ich finde das super, die Idee, also aus der KI-Verordnung schon für KI-Projekte
natürlich, aber ich finde es auch sehr gut und ich finde, zeigt auch,
wie konstruktiv dann die Daten- und Aufsichtsbehörden hier in Deutschland sich
dem Markt auch stellen und versuchen auch lösungsorientiert dann gemeinsam Lösungen zu finden.
Deswegen, ich finde das eine sehr lobenswerte und hervorragende Idee,
die dann auch natürlich bei Ihnen sicherlich entsprechende Kapazitäten bindet
und von daher umso schöner, wenn es dann nachher funktioniert.
So drücke ich die Daumen,
Dass es gut läuft. Das ist unser Bestes.
Herr Professor Kugelmann, ich möchte mich ganz herzlich bei Ihnen bedanken.
Gibt es aus Ihrer Sicht noch irgendeinen Punkt, den wir nicht angesprochen haben,
den Sie aber unseren Zuhörern auf jeden Fall noch mitgeben möchten?
Ich bin sehr zufrieden, dass wir ein bisschen auch Basisfragen mal wieder erörtert
haben, weil wir reden viel über strategische Dinge, neues BDSG,
neue DSGVO, die großen Dinge.
Aber im Zweifel, sowas wird ja auch künftig drinstehen und deshalb da praxisnahe
Lösungen zu finden, das bleibt eben unsere Daueraufgabe.
Danach kann nichts mehr kommen. In diesem Sinne, herzlichen Dank für Ihre Zeit
und ich freue mich, wenn wir das dann bei Gelegenheit vielleicht auch mal fortsetzen
können. Liebe Zurne, für euch hoffe ich natürlich auch sehr.
Ihr konntet was mitnehmen, wenn ihr weitergehende Fragen habt,
wenn ihr Themen habt, die wir mit Professor Kugelmann oder vielleicht auch einem
anderen Aufsichtsbehördenvertreter mal besprechen sollen, dann schreibt gerne in die Kommentare.
Ihr findet in den Shownotes den Link zur Folgenseite und da hinterlasst gerne
einen Kommentar. und auch sonst freuen wir uns über Feedback und in diesem Sinne
vielen Dank fürs Zuhören, bleibt uns gewogen und auf bald!