09.05.2019
Auskunftsersuchen nach DSGVO
Mitarbeiter haben dank DSGVO ein Recht auf Auskunft (Teil 3)
Autor: Nils Müller
Good Stock / shutterstock.com
Ausnahmen bestätigen die Regel, heißt es. Im letzten Teil unserer Reihe zum DSGVO-Auskunftsrecht geht es um Situationen und Fälle, bei denen die Auskunft vom Arbeitgeber verweigert werden kann.
Wie bereits dargelegt, darf die Auskunftserteilung an den Mitarbeiter die Rechte des Arbeitgebers oder anderer Mitarbeiter (oder Dritter) nicht beeinträchtigen. Dies kann insbesondere dann der Fall sein, wenn Geschäftsgeheimnisse offenbart werden müssten oder der Dritten zustehende Datenschutz gefährdet ist. Letzteres kann vor allem bei indirekter E-Mail-Kommunikation eine große Rolle spielen, sodass im Ergebnis solche Daten zu schwärzen oder gar von der Übergabe an den Auskunftsberechtigten auszuschließen sind. Es ist jedoch zu beachten, dass ein Arbeitgeber nicht jegliche Auskunft verweigern darf, sondern E-Mails zu filtern oder Stellen zu schwärzen hat, die die Rechte des Arbeitgebers oder Dritter beeinträchtigen. Der dadurch entstehende Aufwand ist freilich nicht zu vernachlässigen.
Bei einer großen Menge von gespeicherten Informationen über die betroffene Person kann der Arbeitgeber zwar verlangen, dass präzisiert wird, auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht. Allerdings ist die betroffene Person dadurch letztlich nicht daran gehindert, trotzdem die Herausgabe aller sie betreffenden personenbezogenen Daten zu verlangen.
Das neue Bundesdatenschutzgesetz (BDSG-neu) enthält in § 34 noch weitere Eingrenzungen des Auskunftsrechts, insbesondere für Archiv- und Protokollierungsdaten. Die Voraussetzungen dafür sind komplex und sollten einer juristischen Einzelfallprüfung unterliegen. Sehr umstritten ist im Übrigen, ob der Verantwortliche die Auskunft wegen unverhältnismäßigem Aufwand verweigern kann. Dabei muss der Aufwand des Arbeitgebers mit dem Schutzbedarf des Betroffenen abgewogen werden. Dies erfordert ebenfalls eine juristische Einzelfallprüfung und ist mit erheblicher Rechtsunsicherheit verbunden.
Empfehlungen
Unterlassene oder nicht vollständige Auskunftserteilungen an betroffene Personen sind nach
Art. 83 Abs. 5 lit. b DSGVO mit einer hohen Geldbuße bedroht. Es sind im Rahmen des Auskunftsersuchens sämtliche Daten zu berücksichtigen, die bei Eingang der Anfrage in den Händen des Arbeitgebers lagen, im Grundsatz auch die E-Mail-Kommunikation. Daten sollten in keinem Fall gelöscht werden, um das Auskunftsbegehren abzuwehren oder den Umfang der Auskunft zu verringern – dies kann strafrechtlich verfolgt werden. Es ist für Arbeitgeber ratsam, organisatorische Vorkehrungen für zügige und korrekte Auskunftserteilungen zu treffen und gegebenenfalls Standardprozesse zu etablieren.
Art. 83 Abs. 5 lit. b DSGVO mit einer hohen Geldbuße bedroht. Es sind im Rahmen des Auskunftsersuchens sämtliche Daten zu berücksichtigen, die bei Eingang der Anfrage in den Händen des Arbeitgebers lagen, im Grundsatz auch die E-Mail-Kommunikation. Daten sollten in keinem Fall gelöscht werden, um das Auskunftsbegehren abzuwehren oder den Umfang der Auskunft zu verringern – dies kann strafrechtlich verfolgt werden. Es ist für Arbeitgeber ratsam, organisatorische Vorkehrungen für zügige und korrekte Auskunftserteilungen zu treffen und gegebenenfalls Standardprozesse zu etablieren.
Unser Beitrag Mitarbeiter haben dank DSGVO ein Recht auf Auskunft (Teil 1) erklärt die Regeln des Auskunftsanspruchs.
Unser Beitrag Mitarbeiter haben dank DSGVO ein Recht auf Auskunft (Teil 2) hingegen legt dar, in welchen Fällen Mitarbeiter ein Recht darauf haben, den E-Mail-Verkehr seines Vorgesetzten einzusehen.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Personalie
CEO Frank Roebers verlässt Synaxon
Er war 32 Jahre bei der Verbundgruppe und hat sie maßgeblich geprägt. Nun tritt der CEO von Synaxon Ende des Jahres zurück – und gründet ein eigenes Unternehmen.
>>