Schlagwort: Backups

Kein Anspruch auf Auskunft über Backup-Daten bei unverhältnismäßigem Aufwand

24. April 2020

Eine für Arbeitgeber interessante Entscheidung hat das Landgericht Heidelberg getroffen (Urteil vom 06.02.2020 – Az. 4 O 6/19). Der Kläger begehrte als betroffene Person gegenüber seinem ehemaligen Arbeitgeber, dem Verantwortlichen, Auskunft über alle ihn betreffenden personenbezogenen Daten. Hilfsweise begehrte er die Auskunft über die E-Mail-Korrespondenz in einem Zeitraum von rund 1,3 Jahren. Die betroffene Person war in diesem neun bis zehn Jahre zurückliegenden Zeitraum Vorstandsmitglied des Verantwortlichen. Der Verantwortliche hatte mittlerweile Insolvenz gemeldet und sämtliche Daten zu Backup-Zwecken an einen Dritten übergeben. Das Gericht lehnte den Auskunftsanspruch einer betroffenen Person ab. Die Wiederherstellung und Aufbereitung der Daten stellten in dem konkreten Fall einen unverhältnismäßigen Aufwand dar.

Präzisierung des Anspruchs auf Auskunft bei umfangreicher Verarbeitung

In seinen Urteilsgründen stellt das Gericht zunächst klar, dass die betroffene Person gegen den Verantwortlichen aus Art. 15 DSGVO grundsätzlich einen umfassenden Auskunftsanspruch über die Verarbeitung ihrer personenbezogenen Daten hat. Allerdings gewährt Erwägungsgrund 63 S. 7 DSGVO Verantwortlichen eine Erleichterung, die eine große Menge von Informationen über die betroffene Person verarbeiten. In einem solchen Fall kann der Verantwortliche von der betroffenen Person verlangen, dass sie ihr Auskunftsersuchen auf bestimmte Informationen oder bestimmte Verarbeitungstätigkeiten präzisiert.

Den umfassenden Hauptantrag der betroffenen Person wies das Gericht ab, weil sich der Anspruch auf alle personenbezogenen Daten bezog. Zu dem Hilfsantrag, in dem die betroffene Person ihr Auskunftsbegehren auf die E-Mail-Korrespondent in einem bestimmten Zeitraum konkretisierte, führte das Gericht weiter aus:

Zweifel an Erstreckung des Anspruchs auf Backup-Daten

Es könne bereits bezweifelt werden, dass der Verantwortliche die im Backup bei einem Dritten gespeicherten Daten überhaupt noch verarbeitet. Denn der Auskunftsanspruch beziehe sich regelmäßig nicht auf Daten, die an einen Dritten übergeben worden seien. Das könne auch dann gelten, wenn der Verantwortliche ein Zugriffsrecht hat.

Unverhältnismäßiger Aufwand gemessen am Informationsinteresse

Im Ergebnis stellt das Gericht aber darauf ab, dass die Erteilung der Auskunft für den Verantwortlichen einen unverhältnismäßig großen Aufwand darstellt. Das Gericht hat keine Zweifel daran, dass allein die Wiederherstellung der Daten Kosten von bis zu 4.000 € verursachen würde. Zudem können davon ausgegangen werden, dass die betroffene E-Mail-Korrespondenz mehrere tausend E-Mails umfasse. Denn die betroffene Person war über ein bis eineinhalb Jahre Vorstandsmitglied den Verantwortlichen. All diese Mails müssten zur Sicherung berechtigter Interessen Dritter gesichtet und geschwärzt werden, bevor sie an die betroffene Person herausgegeben werden könnten. Diese Aufbereitung würde bei dem Verantwortlichen unverhältnismäßige Ressourcen binden. Das Informationsinteresse der betroffenen Person sei demgegenüber zu gering. Das Gericht betonte, dass die begehrten Informationen neun bis zehn Jahren alt waren, der Anspruch erst spät geltend gemacht wurde, die betroffene Person seit neun Jahren nicht mehr für das verantwortliche Unternehmen arbeitete und es mittlerweile insolvent sei.

Bewertung

Das Gericht bezieht sich in seiner Entscheidung auf altes Recht: § 34 Abs. 7 i.V.m. § 33 Abs. 2 Nr. 1 BDSG alt kannten eine Ausnahme den Auskunftsanspruchs, wenn die Daten ausschließlich der Datensicherung dienten und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordert hätte. Der Wegfall der Spezialnorm bedeute nicht, dass nun alle Backup-Daten dem Auskunftsanspruch unterfielen.

Eine entsprechende Ausnahme findet sich in § 34 Abs. 1 Nr. 1 lit. b BDSG auch im aktuellen Recht. Die Entscheidung des Landgerichts Heidelberg kann dennoch nicht pauschal Auskunftsbegehren entgegengehalten werden, da sie einen Sonderfall betrifft. Sie steht insbesondere nicht einem Auskunftsbegehren entgegen, das sich auf im System des Verantwortlichen vorgehaltene Daten bezieht. Die Entscheidung zeigt aber Möglichkeiten auf, wie einem Auskunftsbegehren begegnet werden kann, wenn es eine aufwändige Wiederherstellung und Aufarbeitung der Daten nach sich ziehen würde.

Wenn der Verantwortliche eine große Menge personenbezogener Daten von der betroffenen Person verarbeitet und sich das Auskunftsbegehren auf alle Daten bezieht, sollte die betroffene Person zunächst darauf verwiesen werden, ihren Antrag auf bestimmte Datenkategorien, Zeiträume oder Verarbeitungstätigkeiten zu präzisieren.

Jährliche Schäden von 55 Mrd. Euro durch Datenverlust

27. Juli 2017

Eine repräsentative Studie des Digitalverbandes Bitkom hat ergeben, dass mehr als die Hälfte (53%) der deutschen Unternehmen in den letzten beiden Jahren in irgendeiner Form Opfer von Wirtschaftsspionage, Datenverlust oder -Diebstahl geworden ist. Entsprechend real sei die Gefahr für Unternehmen aller Branchen und Größen. Häufigstes Vorkommnis sei der Diebstahl von IT- oder Telekommunikationsgeräten. Unklar ist dabei, ob die Täter, die häufig „aus den eigenen Reihen“ stammen, dabei auf die Smartphones und Laptops selbst oder auf die hierauf gespeicherten Daten abzielen. Immer häufiger (mind. jedes 5. Unternehmen im Betrachtungszeitraum) sei auch das sog. Social Engineering zu verzeichnen, bei dem Mitarbeiter durch Vortäuschung falscher Tatsachen und Identitäten zur Preisgabe sensibler Informationen verleitet werden sollen.

Bemerkenswert ist, dass Unternehmen entsprechende Vorfälle aus Angst vor Imageschäden vergleichsweise selten (lediglich 31%) an Polizei oder andere Stellen melden. Aus datenschutzrechtlicher Sicht ist zu beachten, dass bei dem Verlust personenbezogener Daten nach geltendem und auch nach künftigem Recht eine Meldepflicht bestehen kann, deren Nichtbeachtung bußgeldbewährt ist. Mit der Anwendung der Datenschutz-Grundverordnung ab dem 25.05.2018 stellt sich in diesem Bereich eine drastische Erhöhung ein: Die – aus welchen Gründen auch immer – unterlassene Meldung eines Datenverlusts an die Aufsichtsbehörde kann dann mit einem Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweiten Konzern-Jahresumsatzes (Art. 83 Abs. 4 DSGVO) belegt werden. Diese potentiell immense zusätzliche Belastung kann durch den verordnungskonformen Umgang mit entsprechenden Situationen durch den Datenschutzbeauftragten verhindert werden.

Die Bitkom-Studie verdeutlicht die Notwendigkeit präventiver Maßnahmen wie z.B. die flächendeckende Verschlüsselung von Datenträgern, Installation aktueller Virenscanner-Software sowie regelmäßige Anfertigung von Backups. Neben der „technischen Sicherheit“ sind auch organisatorische Maßnahmen, z.B. die regelmäßige Sensibilisierung der Mitarbeiter, äußerst ratsam. Zwar kann auch hierdurch keine 100-prozentige Sicherheit gewährleistet werden. Dem verhältnismäßig geringen Aufwand stehe allerdings eine signifikante Verbesserung gegenüber der Risikolage ohne entsprechende Maßnahmen gegenüber.