Amateur am Werk
Ich habe von Jura soviel Ahnung wie eine Kuh vom Stricken (ok, ein bisschen mehr, da ich schon sehr viele internationale Vertragswerke lesen und beurteilen musste). Meine Analyse ersetzt also nicht die Rechtsberatung, zum Beispiel bei Martin Steiger.
Das Thema DSGVO lässt mich nicht los. Gestern Abend haben wir über das Auskunftsrecht diskutiert. Wer hat denn ein Recht aus Auskunft? Wie stelle ich sicher, dass die Person, die um Auskunft (oder Korrektur, Löschung, …) anfragt auch tatsächlich die betroffene Person ist?
Das Szenario
Ich frage mich (vielleicht zu Recht), welche Informationen ein Betreiber eines Online-Portals zu mir gespeichert hat. Also frage ich dort an, welche Daten er zu der IP Adresse 178.199.14.53 gespeichert hat. Ein Lookup dieser IP-Adresse zeigt dem Betreiber aber, dasss diese Adresse der «Swisscom (Switzerland) Ltd» gehört. Ist er zur Herausgabe der Informationen berechtigt, obwohl es auch die Daten tausender anderer Swisscom-Kunden betreffen kann (NAT – Network Address Translation, beziehungsweise CGNAT – Corporate Grade NAT, stark vereinfacht: Viele Benutzer teilen sich eine IP-Adresse und der Provider kümmert sich um den Rest).
Und was, wenn ich bösartig werde, mir die Adresse kanzlerin.merkel@gmail.com reserviere und dann diverse Hotels anfrage, welche Daten sie von mir gespeichert haben (Geburtsdatum und Geburtsort könnte ich ja noch von Wikipedia bekommen). Darf das Hotel mir die vollständigen Datensätze inklusive Übernachtungspreise, gebuchte Massagen, Pay-TV, … liefern?
Und was, wenn ich eine solche Anfrage bei einem Psychologen mache? Darf er die Patientenakten einfach so rausgeben?
Was sagt die DSGVO?
In den Gründen für die DSGVO steht folgender Absatz (64):
”Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.
Ich interpretiere das jetzt mal als: «Nein, Du Depp, Du sollst nicht beliebige Daten an beliebige Personen ohne Prüfung von deren Identität herausgeben.»
Aber was bedeutet das bei Anfragen? Wie kann ich das sicherstellen? Und vor allem: Wie lässt sich das mit dem Grundsatz der «Einfachheit» vereinbaren, mit denen diese Auskunft- und Weissdergeierwas-Begehren gestellt werden können sollen?
Im Artikel 12 Absatz 1 steht am Ende Folgendes:
”Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
Zunächst mal bringt «erfolgt schriftlich oder in anderer Form» den Logiker in mir an den Rand eines Nervenzusammenbruchs. Der Teil ist so sinnvoll wie «das Auto war blau oder hatte eine andere Farbe».
Aber das Wichtige ist: Wie genau wird die Identität nachgewiesen?
Was müsste ich also prüfen?
Fangen wir mal damit an, dass jemand «nur» nach einer IP-Adresse fragt: Ich müsste ihn nun eigentlich bitten, mir nachzuweisen, dass es sich um «seine» IP-Adresse handelt (die also nicht mit tausenden anderen geteilt wird). Dann bräuchte ich eine (schriftliche?) Bestätigung, dass etwaige Mitunter (zum Beispiel Ehepartner/in, Kinder) mit der Auskunft einverstanden sind. Natürlich brauche ich zur Verfifikation einen Nachweis der Identität.
Was jetzt, wenn eine Person wissen will, welche Daten zu ihr gespeichert sind. Hier kommen wir jetzt zum Nachweis der Identität: Reicht dafür eine Kopie eines offiziellen Ausweisdokumentes oder muss dieses notariell beglaubigt sein?
Wenn die Anfrage zu einer E-Mail Adresse kommt, ist das recht einfach: Auskunft nur auf Mails von der betroffenen E-Mail Adresse. Damit habe ich zumindest die valide Annahme, dass es dieselbe Person ist.
Mich beschleicht immer mehr das Gefühl, dass man hier zuviel über einen Kamm geschert hat:
Dass man das gemacht hat, ist ja auch durchaus sinnvoll: Eine Verordnung für alle ergibt mehr Sinn, als 489 Verordnungen, bei denen ich mich schon auf der Suche nach der richtigen verirre und irgendwo weinend am Strassenrand liege.
Hier entsteht aber unser Problem (als sehr einfach gestrickte Menschen, wie ich einer bin): Wir können nicht ohne Weiteres unterscheiden, was für unseren speziellen Fall gilt und was eben doch «nur» für Anwaltskanzleien, Ärzte, Pharma- / Medizintechnikunternehmen, etc. gilt (solltet Ihr in einer der genannten Branchen arbeiten: Sorry, dass ich Euch aus dem «wir» ausgeschlossen habe … und viel Spass mit der DSGVO).
Oder um das gestern gesagte zu wiederholen: Es scheint alles nicht so grausam zu sein, wie vermutet.
Beim Studium der Texte (ich bin jetzt offiziell Schriftgelehrter. Moment, ich ergänze schnell mein CV) ist mir übrigens noch etwas zum Datenschutzvertreter mit Niederlassung in der EU untergekommen. Über das Thema habe ich die letzten Tage auch intensiv nachgegrübelt.
OT: Wann braucht man einen Datenschutzbeauftragten mit Niederlassung in der EU?
Hierzu steht eine wunderschöne Ausnahme in Artikel 27 Absatz 1a
”eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt
Dort (Artikel 9 Absatz 1) steht Folgendes (in den Absätzen danach werden die Ausnahmen aufgeführt. In diesen Ausnahmefällen werden solche kritischen Daten gespeichert und dann braucht man einen Vertreter in der EU):
”Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Wenn ich das jetzt richtig interpretiere, braucht's im Regelfall für Schweizer Websites keinen Vertreter in der EU.
