Selbstauskünfte sind auch bei Verschlüsselung gespeicherter Daten zu erteilen
Personenbezogene Daten werden aus Sicherheitsgründen häufig verschlüsselt gespeichert. Werden diese zur Verarbeitung entschlüsselt und erlangt der Verantwortliche hierdurch Zugriff auf die Daten, steht die Verschlüsselung einer Auskunftserteilung nicht entgegen.
Zum 13. Januar 2018 wurde in Deutschland die neue EU-Zahlungsdiensterichtlinie Payment Services Directive 2 (PSD2) in nationales Recht umgesetzt. Durch die Umsetzung sind für Verbraucher diverse Verbesserungen in Kraft getreten. Vor allem aber wurden zwei neue Dienste etabliert, die Verbraucher unabhängig von Kreditinstituten nutzen können. Bei diesen Diensten handelt es sich um die Zahlungsauslösedienste und die Kontoinformationsdienste. Ein Zahlungsauslösedienst kann von einem Zahler beauftragt werden, um zu Lasten seines Bankkontos eine Überweisung auszulösen, z.B. um im Onlinehandel einen Bezahlvorgang vorzunehmen. Kontoinformationsdienste stellen einem Kontoinhaber konsolidierte Informationen zu einem oder mehreren Bankkonten zur Verfügung und können Dritten daraus gewonnene Informationen zur Bonitätsbeurteilung liefern. Beide Dienste können zur Durchführung von Zahlungen auch miteinander kombiniert werden.
Beide Dienste erfordern den Zugriff auf das Bankkonto und die dadurch erkennbaren Buchungen in Form von Zahlungen und Zahlungseingängen. Die Nutzung dieser Dienste schafft daher auch einen umfassenden Einblick der Dienstleister in die Vermögensverhältnisse sowie in die Konsum- und Zahlungsgewohnheiten des Nutzers und Kontoinhabers. Allerdings unterfallen alle Leistungen nach der PSD2 und damit auch die Leistungen der vorgenannten Dienstleister der DSGVO. Sie müssen daher datenschutzgerecht erbracht werden. Dies erfordert vor allem eine Begrenzung der Datenverarbeitung auf den beauftragten Zweck des Dienstes. Eine Datenverarbeitung ohne entsprechende Beauftragung darf nicht stattfinden. Wird jedoch ein entsprechend umfangreicher Auftrag erteilt, ist auch eine entsprechend umfangreiche Datenverarbeitung zulässig. Schon deshalb empfehle ich eine sorgfältige Prüfung des Umfangs eines derartigen Dienstes vor Erteilung eines Auftrags und eine sparsame Nutzung dieser Dienste. Der Nutzen und die mit der Nutzung des Dienstes vorhandenen Einbußen an Privatsphäre sollten sorgfältig gegeneinander abgewogen werden.
Aufgrund der Anwendung der DSGVO auf diese Dienste, unabhängig von ihrer datenschutzrechtlichen Zulässigkeit, ist auch eine Beachtung der Rechte von betroffenen Personen durch die Dienstleister erforderlich. In einem Beschwerdefall wurde die Erteilung einer Selbstauskunft gem. Art. 15 DSGVO nicht durchgeführt. Der Dienstleister berief sich hierbei auf die aus Sicherheitsgründen verschlüsselten Daten. Die Verschlüsselung der Daten führe zu ihrer Anonymisierung. Eine Verarbeitung von personenbezogenen Daten, über die Auskunft erteilt werden könne, läge deshalb nicht vor. Dem entsprach zum Teil auch die verwendete Datenschutzerklärung. In dieser wurde ebenfalls auf die Verschlüsselung und darauf hingewiesen, dass die Daten nur von der betroffenen Person und unter Nutzung des hierfür erforderlichen Schlüssels abgerufen werden könnten. Dieser Schlüssel läge dem Dienstleister nicht vor. Er könne daher weder auf die Daten zugreifen, noch eine Auskunft gem. Art. 15 DSGVO erteilen.
Dem widersprach jedoch der Inhalt des Dienstes. Dieser sah eine umfangreiche Verarbeitung und Auswertung der gespeicherten personenbezogenen Daten vor. Eine derartige Verarbeitung ohne vorherige Entschlüsselung der Daten war nicht plausibel. Dies erkannte der Dienstleister nach Hinweisen der Datenschutzbehörde auch und änderte daraufhin seine Datenschutzerklärung. Diese weist nun explizit auf die Prozesse hin, durch die auch der Dienstleister die personenbezogenen Daten entschlüsselt verarbeitet und diese auch durch Mitarbeiter gelesen werden können. Alle Prozesse waren vom Zweck der Verarbeitung umfasst, so dass keine unzulässige Verarbeitung vorlag. Der Umfang der Verarbeitung war lediglich in der Datenschutzerklärung fehlerhaft dargestellt, was bei betroffenen Personen und Mitarbeitern des Dienstleisters zu Missverständnissen und zur Verweigerung der Auskunft geführt hatte. Auf die Hinweise hin wurde auch die begehrte Auskunft erteilt. Zusätzlich wurden die internen Prozesse so umgestaltet, dass auch spätere Auskunftsanfragen datenschutzkonform erteilt werden. Zukünftig beabsichtigt der Dienstleister die automatisierte Erteilung von Auskünften nach Art. 15 DSGVO.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks