Grenzen des Auskunftsrechts

00:00:00: Hallo und herzlich willkommen in der Auslegungssache heute mit der Episode 140.

00:00:20: Wir zeichnen auf am 1.08.2025.

00:00:23: Mein Name ist Horger Bleich, ich bin Redaktor bei CT, dem Magazin für Computertechnik aus Hannover,

00:00:28: das auch diesen Podcast hier produziert.

00:00:30: An meiner Seite ist wie steht es in seinem Homeoffice, Jörg.

00:00:35: Hallo Jörg.

00:00:36: Horger, du bist doch auch in deinem Homeoffice, aber es ist ja auch schön hier zu sein.

00:00:40: Ich freue mich immer auf unseren gemeinsamen Podcast und wie immer haben wir uns einen

00:00:44: Dritten dazu geholt, einen qualifizierten Gast.

00:00:48: Und wir freuen uns, Dr. Carlo Pilz begrüßen zu dürfen.

00:00:52: Hallo Carlo, schön, dass du da bist.

00:00:54: Hallo, grüßt euch beide und schön, dass ich wieder dabei sein darf.

00:00:57: Genau, du warst nämlich schon mal dabei und zwar und diese Zahlen irritieren mich immer

00:01:02: bei Episode 49.

00:01:05: Wir sind also fast 100 Episoden weiter inzwischen.

00:01:08: Das war im Oktober 2021 und du warst damals unser Gast zum Thema TDDSG, also noch die

00:01:17: letzte Version von diesem wunderbaren sich ständig namensmäßig erinnernden Gesetz.

00:01:22: Ich darf trotzdem die Freude dich kurz vorstellen zu dürfen, du bist rechtsanwalt in Berlin,

00:01:27: Stahlpilz-Liege, also mit eigener Kanzlei, Berät, Nationale und internationale Mandanten,

00:01:33: vor allem in Fragen des naheliegend Datenschutzes, IT-Sicherheits-Rechts und IT-Rechts, bist

00:01:39: auch noch umtriebig in anderen Dingen, Chefredakteur der Zeitschrift Datenschutzberater, ich glaube,

00:01:45: du hältst auf viele Vorträge, betreibst ein Block der Liegedata, auch das ist ganz interessant.

00:01:51: Und ja, was ist, worum geht es in dem Block?

00:01:54: Vielleicht magst du es kurz erklären.

00:01:55: Geht es vor allem schwerpunktmäßig um datenschutzrechtliche Themen und hier und da, wenn ich Lust und

00:02:01: Zeit habe, schweife ich vielleicht noch ein bisschen in Randgebiete ab, mal ein bisschen

00:02:06: Neues zur Digitalisierungsrecht der EU oder ein bisschen IT-Sicherheit auch, aber Schwerpunkt

00:02:12: ist definitiv Datenschutzrecht und die lustigen Fragen, die uns so in der Praxis beschäftigen.

00:02:18: Das steht für meistens tiefgehendere Analyse von datenschutzrechtlichen Problemen und wird

00:02:24: da, glaube ich, in der Funktion auch gerne gelesen und darüber sind wir auch auf dich

00:02:29: wieder mal aufmerksam geworden, denn ich weiß nicht, ob es in dem Block war oder auf der

00:02:34: Website war, also jedenfalls bei einem von deinen Onlineveröffentlichungen gab es einen Artikel,

00:02:40: der sich auseinandergesetzt hat mit dem Thema, wenn das datenschutzrechtliche Auskunftsrechts

00:02:46: kollidiert, mit dem Geschäftsgeheimnisgesetz und das hat uns dann veranlasst, dich mal

00:02:53: wieder anzufragen, war sowieso schon längst überfällig und Holger, du hattest das gefunden

00:02:58: und dachtest, wir machen mal mal wieder eine Sendung zum Auskunftsrecht, wo wir uns auch

00:03:02: so ein bisschen, insbesondere mit den Grenzen des Auskunftsrechts beschäftigen.

00:03:06: Ja, fand ich total spannend, weil ehrlich gesagt, ich hatte das nicht so auf dem Schirm, also

00:03:11: ich kenne das mit den Geschäftsgeheimnissen natürlich irgendwie aus meiner Funktion als

00:03:15: Journalist, weil wir IFG-Anträge stellen, also Anträge nach Informationsfreiheitsgesetz.

00:03:20: Datenschwied ist natürlich immer eine Rolle, dass es Verweigerungen gibt der Auskünfte,

00:03:24: wenn Geschäftsgeheimnisse von 3.

00:03:26: Dann geht es im Endeffekt um Verträge geht, wo Unternehmen erwähnt sind und so weiter.

00:03:29: Aber ich hatte nicht auf dem Schirm, dass es bei Auskunftsrecht nach Artikel 15 natürlich

00:03:33: auch eine große Rolle spielt und deswegen freue ich mich, dass Karl uns das heute immer

00:03:37: ein bisschen erklärt.

00:03:38: Und bevor wir da hinkommen, kommen wir zu immer, zuerst zu unserem Bußgeld der Woche.

00:03:45: Unser Bußgeld der Woche kommt aus Spanien, wie so häufig, Empfänger ist ein...

00:03:53: Jörg, wie heißt denn die spanische Datenschwiede?

00:03:55: Nein, nein, ich bin nicht immer mit den befehlenden iberischen Sprachkenntnissen blamieren.

00:04:04: Also der Empfänger hieß jedenfalls so Neres und es ist vermutlich ein Hotel.

00:04:07: Und es geht um Hotels und die spanische Datenschutzbehörde hat auf eine Beschwerde reagiert und dieses

00:04:16: Hotel hat beim Check-in verlangt, dass der Beschwerdeführer seinen Ausweis übergibt

00:04:22: und das Hotel wollte ihn dann scannen.

00:04:25: Als sich der Betroffene weigerte, übertrug man die Daten manuell.

00:04:30: Das war ein wesentlichen der Part, der uns informierte.

00:04:33: Und dann gibt es so ein kleines Fun-Fact. Angestellte des Hotels hatten eine Zugangskarte

00:04:38: in seinem Zimmer vergessen, mit denen er zugetritt zu allen Hotelzimmern hätte haben können.

00:04:41: Das ist natürlich auch ein bisschen peinlich.

00:04:43: Aber das ist nicht der Part, der uns interessiert, sondern das haben wir mal zum Anders genommen.

00:04:48: Das ist auch mal für Deutschland nochmal zu recherchieren.

00:04:51: Also ich bin viel in Hotels unterwegs und werde sehr häufig.

00:04:55: Nicht nach einer Kopie von meinem Ausweis, das hatte ich auch schon, aber zumindest gefragt,

00:04:59: ob sich diese Meldepfleine immer noch ausgüllen soll.

00:05:03: Und das ist tatsächlich inzwischen nicht mehr erlaubt.

00:05:08: War mir auch neu, ich hatte das mal nach recherchiert.

00:05:10: Seit dem 1. Januar 2025 gibt es eine wesentliche Änderung für Check-ins im Hotel.

00:05:17: Und die sagt, für deutsche Staatsangehörige entfällt die Meldepflicht in Hotels vollständig.

00:05:24: Das heißt, wir müssen keinen Meldeschein mehr ausführen, nichts unterschreiben.

00:05:27: Keine Ausweisdaten, natürlich, das dürfte vorher schon rechtswidrig gewesen sein.

00:05:32: Ausnahme gibt es in Kurorten und bei Heilbildern.

00:05:35: Aber für alle normalen Hotels entfällt diese Pflicht und damit auch die Rechtsgrundlage,

00:05:41: dafür diese Daten zu erheben, für die Meldescheine.

00:05:44: Überraschenderweise bleibt die Meldepflicht für ausländische Gäste, und zwar egal, ob EU oder nicht EU befrehen.

00:05:51: Diese müssen weiterhin bestimmte Angaben machen und auch einen gültigen Pass- oder Reisepass vorliegen.

00:05:57: Und da wird zum Teil auch die Passnummer erfasst.

00:06:00: Auch dafür gibt es, muss man keine Kopie machen, aber das Gesetz sagt, es muss vorgelegt werden.

00:06:06: War nicht erstaunlich, diese Differenzierung.

00:06:09: Karol Wetten von kurz drüber gesprochen klingt ein bisschen europarecht.

00:06:13: Wie sich zumindest ein langes EU-Bürger betrifft, oder?

00:06:16: Ja, also wir kennen das Thema aus der Diskussion oder auch Entscheidung zum Maut.

00:06:22: Und dann der Differenzierung zwischen zum Beispiel deutschen Bürgern und EU, anderen EU-Bürgern.

00:06:30: Also gibt es sicherlich Möglichkeiten, das zu begründen, aber warum das jetzt hier erforderlich sein soll?

00:06:37: Uns fällt keiner ein.

00:06:38: Ja, mein Tipp wäre, EU-Ausländer, nicht die EU-Ausländer, aber mein Tipp wäre wahrscheinlich Terrorbekämpfung.

00:06:47: Dass man irgendwie guckt, ob man ausländische Gefährder beim Hotelcheck in der Buschupan oder so was.

00:06:53: Wer könnte ich mir vorstellen?

00:06:55: Wenn du das Hotel gleich die Gefährder-Liste abt?

00:06:57: Nein, aber die Meldelisten müssen ja irgendwie weitergegeben werden, oder?

00:07:00: Die bleiben ja nicht im Hotel, oder?

00:07:02: Nee, schon auch schon, die bleiben im Hotel und werden dann gegeneinander gefragt, oder?

00:07:09: Das kenne ich aus Terrorlistenscreenings auch und da muss man, glaube ich, sich schon so ehrlich machen, ob die Terroristen...

00:07:15: Also ich will es nicht ausschließen, dass sie ein bisschen dümmlich sind, aber ob sie dann wirklich mit dem Namen einchecken, mit dem sie auf der Terrorliste stehen, dann werden sie zu Recht, zu Recht gefasst.

00:07:26: Aber noch mal, ich werde noch mal ganz kurz zurückkommen, wollen auf die Geschichte mit dem Personal-Ausweis-Scannen.

00:07:31: Ich habe mir die Entscheidung über Flogen der spanischen Datenschutzbehörde, die argumentieren ja, glaube ich, mit dem Grundsatz der Datenminimierung.

00:07:39: Also das heißt, bei so einem Ausweis-Scannen, vor allem dann, wenn dann im Nachhinein auch nichts geschwärts wird auf dem Scannen, und das ist ja meistens nicht so, wenn man, wenn die Hotels diese Dinger-Scannen dann weg entweder als der Teil wegpacken oder als Ausweis-Kopie in die Akte legen.

00:07:53: Dann werden halt eine Menge Daten erfasst, die für die Identifizierung überflüssig sind.

00:07:59: Also es ist angefangen beim Bild bis auf ein bisschen zu weiteren Daten, die da draufstehen, biometrische Merkmale und so weiter, die nichts damit zu tun haben, und weit über das hinaus geht, was das Hotel eigentlich braucht zur Identifizierung.

00:08:13: Ja, eigentlich braucht es ja gar nichts zu Identifizieren, das ich ja dafür in der Regel schon vorher angemeldet und das sehe ich jetzt hier überhaupt.

00:08:21: Also dann wollen wir aber nochmal klarstellen, es ist, also wenn mich ein Hotelmitarbeiter auffordert beim Check-in den Ausweis zu übergeben, Zwecks einer Kopie oder eines Scans, dann darf ich nein sagen.

00:08:36: Das darfst du sowieso in fast allen Fällen, weil dein Ausweis, das habe ich jetzt nicht nach recherchiert, es gibt, glaube ich, ein paar Ausnahmen, aber im normalen Fall, ich glaube im Bankenbereich, im normalen Fall geht dein Ausweis außer Behörden niemanden irgendwas an.

00:08:51: Und wenn der jetzt den Kompromissvorstand macht, ich scannen ihn und dann können sie die Teile schwerzen, die ihnen zu viel sind. Ich kann mir vorhin schon da sowas vorkommen.

00:09:02: Ja, dann hast du möglicherweise deine Einwilligung geteilt, Kompliment, oder, Karl, was meinst du?

00:09:07: Wenn man vorher ordentlich und sauber drauf oder informiert wurde, kann das vielleicht als Einwilligung gelten, wobei man natürlich aufpassen muss, kennen wir ja alle bei den neuen Scan-Geräten.

00:09:19: Also im Digital ist es dann sicherlich irgendwo da in der Festplatte drin, auch wenn du das ausgedruckte, dann schwerzt.

00:09:27: Ja, und gut, dann werde ich das in Zukunft verweigern und werde mir dann wahrscheinlich ein neues Hotel suchen müssen, weil sie mich nicht aufnehmen werden.

00:09:37: Ja, wer hat im Vorgespeich brauchen, dass wir das haben?

00:09:42: Ja, die haben das ummittel. Also ich komme abends an, erschöpft von meiner Wanderung

00:09:47: und möchte einfach nur noch ins Bett und dann sagen die "Nope, wenn du mir einen Ausweis nicht gibst, kommst du hier nicht durch."

00:09:54: Und dann habe ich aber kommen noch eine Alternative, weil in dem Dorf, wo ich übernachten will, gibt es kein anderes Hotel.

00:10:00: Ja, ich hatte das immer bei einem Hotel in so einem einsamen See, da hätte ich auch nach Hause fahren können, vier Stunden oder so und da gab es keine Alternativen und dann macht man das seine Knirschen.

00:10:13: Wahrscheinlich würde ich heute mich im Langenheim beschweren.

00:10:18: Ich trage noch nach, das Bußgeld hat eine Höhe von 5.400 Euro, es wurde von um zunächst auf 9.000 Euro ausgesprochen und dann reduziert wegen freiwilliger Zahlung und Haftungsanerkennung.

00:10:32: Klingt jetzt erstmal viel, aber für so ein Einzelfall mein ich jetzt, aber es ist auch tatsächlich wahrscheinlich nicht viel, weil es handelt sich ja um eine ganze Kette.

00:10:43: Also das ist wahrscheinlich ein ziemlich, ja, also ich habe mal geguckt, dass es schon umsatzstärker Hotelkette und das, also angesichts dessen ist es nicht gerade üblich.

00:10:54: Nee, es ist nicht mal üblich, wie wenn natürlich auch gesagt haben und vielleicht ist es ja auch so, dass es ein Einzelfieler von einem Mitarbeiter oder so und das hätte ich an der Stelle vorgetragen und dann kommst du da und ich bin in ein hohes Bußgeld oder Carlo zu hoch, zu niedrig, hättest du auch gemacht.

00:11:08: Nee, ich fand es schön, dass du gesagt hast, hätte ich vorgetragen an der Stelle.

00:11:12: Ja, bald ist das natürlich stimmen würde.

00:11:15: Ja, nee, es glaube ich, also wir gehen mal davon aus, dass es ein Fehler war und das passiert ja wirklich oft.

00:11:22: Ich hatte letztens ein Fall gelesen, wo jemand bei einem Elektronifachgeschäft vor Ort war, was gekauft hat und der Mitarbeiter gesagt hat, ich muss das jetzt aber noch eintragen in unsere Kundendatenbank, wer sie sind und was sie gekauft haben.

00:11:37: Da hat die Behörde auch gesagt, nee, das ist unzulässig, wozu beim Bargeschäft irgendwelche Daten erheben.

00:11:42: Das war auch ein Fehler des Mitarbeiters, der hat das halt nicht richtig verstanden.

00:11:45: Passiert, muss man einfach so zugestehen, passiert.

00:11:52: So viel zum Bußgeld, dann gehen wir über zu unserem heutigen Thema, da hast du mal gesagt, grenzenlose Auskunftspflichten.

00:12:01: Das ist die spannende Frage, wie grenzenlos sind sie denn und wir würden ein bisschen einsteigen, ein bisschen generell was zur Auskunft zu erzählen.

00:12:11: Das hatten wir zwar auch schon mal, aber das ist sehr, sehr lange her, deswegen denke ich, ich könnte das ruhig nochmal mit einem Experten wie Carlo an unserer Seite nochmal durchsprechen.

00:12:19: Du bist da ja, glaube ich, auch sehr, sehr in der Praxis bei Beratung und das ist hier sicherlich auch ganz spannend und wir haben immer so ein Prüfungsschema gemacht,

00:12:28: an dem wir uns ein bisschen abarbeiten, erst mal erstes Prüfungspunkt wäre Anwendbarkeit der DSGVO und die erste spannende Frage werden überhaupt personenbezogene Daten gespeichert.

00:12:40: Und ein Fehler, der glaube ich relativ häufig vorkommt, das habe ich jetzt auch schon ein paar mal gehört, ist das Unternehmen, die keine Daten gespeichert haben und es gibt dann eine ganze Menge Fehlanfragen, dass die sich dann gar nicht melden.

00:12:55: Das ist keine besonders gute Idee, oder Carlo?

00:12:57: Richtig, also die sogenannte Negativauskunft, das ist auch, finde ich, ziemlich klar im Artikel 15 DSGVO drin, dass man eine Antwort darauf geben soll, ob man personenbezogene Daten speichert und das ist dann zu sagen, ja, ich speichere oder nein, ich speichere nicht und dieses Nein, ich speichere nicht, gibt es auch schon einige Urteile dazu, da hat man Anspruch drauf, man hat einen Anspruch darauf, so diskutabel man das sehen möchte.

00:13:26: Dass man erfährt, dass dort keine Daten gespeichert sind, aber Achtung natürlich für die Verantwortlichen, ob nun öffentlicher oder privater Bereich in der Praxis, es gibt, wie formuliere ich das jetzt net, es gibt Leute, die legen es darauf an, dass Fehler gemacht werden und wenn ich antworte, nein, ich habe keine Daten über sie gespeichert und das war es, ist diese Aussage eigentlich falsch, weil ich habe natürlich Daten, nämlich die aus der Anfrage, die dir mehr geschickt haben.

00:13:56: Habe ich schon selber erlebt, ja, nee, ihre Antwort ist falsch, Verstoß gegen die DSGVO, kann man gut händeln, ich habe gesehen, selbst bei LDA hat dazu ein Muster zu einer Negativauskunft veröffentlicht und da schreiben die nämlich genau rein, außer jene Daten, die sie uns im Rahmen ihrer Auskunftsanfrage zur Verfügung gestellt haben.

00:14:15: Weißt du von Verfahren, oder Schadensersatzansprüchen, in denen gelten gemacht wurden, weil das nicht gemacht wurde, weil das klingt nach einem ziemlich guten, mit meiner Anwalt bis zu Sachen, mit meiner Justiz, die Antätigkeit nicht so läuft?

00:14:34: Also ich, ob es Schadensersatz dafür gab, das weiß ich jetzt nicht ad hoc, es gab auf jeden Fall Verfahren. Ich meine sogar mal LAG Niedersachsen, die das entschieden hatten, dass du darauf einen Anspruch hast auf Negativauskunfts, der dann schaden, ist ja natürlich die Frage, welchen Schaden man dann hat, Kontrollverlust, ich wusste nicht, ob oder ob nicht, da Daten gespeichert werden, bin ich ein bisschen zurückhaltend, ehrlicherweise, aber also im Rahmen von Klageverfahren war die Frage Negativauskunft ja, nein, schon nicht.

00:15:04: Von Thema, das definitiv.

00:15:06: Das meinte ich auch gar nicht, ich meinte speziell diese Sache mit, du hast mir jetzt aber nicht mitgeteilt, dass du meinen Brief hast, oder ein Dancer, es klingt sowieso eine Abzock, möglich auch die aber hoffentlich, und den Gerichten nicht erfüllen.

00:15:19: Wir werden von Abzockern nicht gehört, die mögen uns nicht, hoffen wir es mal.

00:15:25: Meinst du?

00:15:26: Ich wollte noch einmal ganz kurz vielleicht ein bisschen zurück, weil ihr seid jetzt schon sehr voraussetzungsreich, also wir reden ja von, dem finde ich, ziemlich zentralen Betroffenenrecht in der DSGVO, nämlich und das ist definiert in Artikel 15, und ihr habt jetzt schon ein bisschen über die Auskünfte gesprochen.

00:15:48: Was mich interessieren würde, ist, beziehungsweise vor allem welche Fristen gibt es für die Auskünfte und welche Nachfragefristen oder Nachlieferungsfristen auch, weil wir hatten das auch schon mal hier besprochen, ich weiß es ist länger her, aber vielleicht auch, weil ich bin ja eher Betroffene als Jurist, vielleicht auch für den Betroffenen zur Info, dass er eine Auskunft stellen kann und wie lange er darauf warten muss, die zu erhalten.

00:16:17: Ja, also der Grundsatz der vorgesehen ist, in der DSGVO ist innerhalb eines Monats, musst du die Auskunft erteilen, gibt Ausnahmemöglichkeiten, weil du sagen kannst, ich habe jetzt hier viele Anträge, weil ein besonderes Thema aufgekommen ist öffentlich und dann wird das Unternehmen geflutet, viel Arbeit, dann kann man das gegebenenfalls verlängern.

00:16:40: Der Grundsatz ist bis zu ein Monat, ich darf und das wäre auch meine Empfehlung, sollte natürlich versuchen, das vor diesem einen Monat einfach zu erledigen, das Thema. Aber das ist der Grundsatz bis zu einem Monat.

00:16:58: Es gibt doch auch, gibt es nicht diese Regelung mit den besonders komplexen Recherchen und dass man dann noch als Unternehmen oder als Behörde eine Fristverlängerung sich ausbedingen kann?

00:17:08: Genau, maximal kommst du damit am Ende auf drei Monate, dann ist aber Sense.

00:17:13: Also bis drei Monate muss so ein Verfahren abgeschlossen sein quasi.

00:17:17: Zumindest musst du bis da ein Auskunft gegeben haben, ja.

00:17:20: So, dann habe ich so ein Ding auf dem Tisch liegen, so ein Auskunft, meistens im E-Mail-Postfach und da steht dann drin, ich mitgehe mir aus 25, hier meine E-Mail-Adresse, möchte gerne Auskunft über alle meine gespeicherten Daten haben, ist mein Arbeitsalltag, ehrlich gesagt, da steht dann also der Name und ich habe dann Name und eine E-Mail-Adresse und davon kriege ich drei in einer Woche.

00:17:48: Ich bin dann natürlich nicht bereit, eine Auskunft auf dieser Basis zu erteilen und weil sie das zurück und die Leute regen sich jedes Mal wahnsinnig drüber auf, wenn ich das pur, meistens dann gerne schon mit der LFD Niedersachsen in CC, die freuen sich bestimmt auch immer.

00:18:07: Was für Anforderungen habe ich, Carlo, daran an eine mögliche Identitätsprüfung, um einen Missbrauch zu vermeiden.

00:18:18: Also wir hatten da schon tolle Sachen, wir haben schon mal ein bisschen her, aber einen gefälschten Brief von der, der so tat, als war er ja von der Polizei und das stellte sich dann hinterher raus, das war von einem Typen, der da an die neue Adresse der Ex-Froren rein kommen wollte, so ein Stalkerfall.

00:18:37: Und das ist so bei mir, das hat sich so eingebrannt, dass ich irgendwie überhaupt keine Lust habe, so einfach so auf Zuruf, da hatten raus zu geben, auf Zuruf werden, jetzt werden wir Leute auf Blacklist, ein bisschen mehr brauchen wir bei Sperren und bei Löschen, aber Auskunft ist für mich so ein heiliger Graal, bei dem ich wirklich sicher sein möchte, dass da alles stimmt oder bin ich da zu Vorsicht?

00:19:00: Ich finde nicht, dass du zu vorsichtig bist, wir hatten in der Vergangenheit eines der ersten großen Bußgelder in Deutschland, in diesem Bereich sechstellig, gegen tolle Kommunikationsunternehmen durch den BFDI damals noch, wo es genau um dieses Thema ging, Identifizierung und wo im Grunde zu schnell geantwortet wurde, es gibt.

00:19:24: Das muss man sagen, die DSGVO gibt uns keine Checkliste dafür oder keine Datenmerkmale, die erforderlich sind, das heißt, ich muss immer ein bisschen situativ gucken, was ist mein Ziel, ich muss da legen können für den Worst Case, dass es eskaliert, dass ich ordentlich geprüft habe, ja, das ist die Person und das ist natürlich sehr situationsabhängig, ich gebe das häufig in eine Beratung mit, dass ich auf jeden Fall Daten, wenn ich mir nicht sicher bin, erheben darf, weitere Nachfragen.

00:19:54: Aber es macht nur Sinn, sich Daten zu holen, die man auch gegen irgendwas abgleichen kann, ja, es gibt Fälle in der Praxis, kommen wir wieder zurück zum Anfang, wo irgendein Online-Unternehmen sagt, ja, senden Sie eine Ausweiskopie und ich habe im Zweifel überhaupt keine Daten über diese Person, wo ich das abgleichen könnte, ja, passt das, ja, also bustalische Adresse oder so.

00:20:15: Das macht keinen Sinn, da bekomme ich ein Problem, dass ich zu viele Daten erhob. Was ich gerne mache ist, was ich nicht, nennen Sie uns die Ihre Kundennummer, nennen Sie uns Ihre letzte Rechnungsnummer oder also irgendwas, was ich quasi intern matchen kann, als Zusatzmerkmal.

00:20:33: Es gab mal eine schöne Veröffentlichung vom LFD Baden-Württemberg, wo die mal wirklich, ich glaube, ich weiß nicht, acht, neun oder zehn Fälle durchgeprüft haben, zur Identifizierung von betroffenen Personen, welcher Wegung der Beste ist.

00:20:49: Und am Ende hat sich rausgestellt, es gibt nicht den besten Weg, mit der Beste waren auch Online-Kundenkonto mit eigenem Login. Das war eigentlich noch mit das Beste.

00:20:59: Die haben zum Beispiel gesagt mit Personalausweis vorlegen lassen, ja, aber wenn die in der Wohngemeinschaft sind oder andere Familienmitglieder, die hätten ja auch Zugriff auf den Personalausweis und die könnten, ne, aber daran sieht man, ja, Risiko hast du überall.

00:21:14: Also, ich baue ziemlich absolut, ne, aber klar, ich bin natürlich bei dir, wenn du nur eine E-Mail-Adresse hast als Login, dann macht ein Personalausweis natürlich sehr wenig.

00:21:24: Genau. Ja, also ich bin wirklich ein Freund, ich sage meinen Mandanten immer, ich argumentiere lieber mit der Datenschutzbehörde, dass ich zu vorsichtig war und auf den Datenschutz geachtet habe, als den Fall zu haben, ja, komm, wir schmeißen hier die Daten raus, kostenlos für alle, sehr überspritzt formuliert.

00:21:40: Dann kann man noch ein bisschen gucken vom Risiko her, um was für Daten geht's, um was für Datenmengen geht's. Ja, geht's um Gesundheitsdaten, wäre jeder von uns ein bisschen sensibler.

00:21:50: Und was man auch machen kann, wenn man eine postalische Adresse hat und Mickey Mouse anschreibt mit E-Mail, ist ja häufig der Fall dann Antworten, die nicht mehr, wenn man fragt, ja, irgendwie nachts geschrieben, sauer aufs Unternehmen und dann kommt nichts mehr.

00:22:05: Wenn man sich unsicher ist, kann man sagen, ok, dokumentiere ich und stopp, hat nicht geantwortet auf meine Nachfrage, fertig. Wenn man sich nicht sicher ist, muss ich vielleicht doch, und man hat eine postalische Adresse, habe ich auch schon gemacht, per Einschreiben an die postalische Adresse, wo ich weiß, da wohnt der Kunde definitiv, da habe ich nämlich auch was hingeschickt, da send ich's hin, per Einschreiben.

00:22:24: Weil was passiert? Entweder ist es wirklich, bekommt der Auskunft oder er war es nicht. Gut, dann bekommt aber trotzdem die richtige Person der Auskunft und wundert sich halt, warum haben sie mir denn der Auskunft geschickt?

00:22:36: Ja, also vielleicht ein kurzer Exkurs zum Thema, von wegen New York, weil du so abgewiegelt hast, ist es abseitig, dass der Personalausweis irgendwelchen falsche Hände kommt oder so, oder wenn ich zum Beispiel in der WG, ich empfehle mal Artikel zu lesen, die jetzt gerade erscheinen, zum Thema Altersvalidierung in Großbritannien, wo gerade letzte Woche das Gesetz für die Altersvalidierungspflicht bei Pornoanbietern in Kraft getreten ist.

00:23:06: Da kannst du mal sehen, wie kreativ vor allem Jugendliche sind, wenn es darum geht, sich Zugang zu Pornografie zu verschaffen. Also es gibt wirklich sehr lustige Artikel, was da alles mit Ausweisfälschungen gerade passiert, wie versucht wird diese Altersvalidierung zum Gehen und eben die Identifikation irgendwie zu auszutricksen, die da vorgeschaltet ist.

00:23:25: Also da geht schon einiges, also bis hin zu KI-generierten Bildern natürlich, aber es gibt zum Beispiel einen Online-Spiel, womit man wohl ganz hervorragend irgendwie Fotos fälschen kann mit Avatarn in dem Spiel und das wird bevorzugt gerade von den KDs um sich, und das funktioniert tatsächlich, um sich dann Zugang zu verschaffen zu den Portalen.

00:23:44: Nur so, also je nachdem, wie groß der Druck Porno ist, dann ist der Kreativität keine Grenzen gesetzt, sag ich dir, das ist wirklich kein Porno. Ich glaube, bei Porno ist die Improvisationsfähigkeit von minderjährigen Grenzen los, das glaube ich nicht, aber diese Welt kann man dann vielleicht auch übertragen, ja.

00:24:04: Ja, wenn du so einen Stocking-Fall hast, oder so, ist das durchaus auch noch vollziehbar.

00:24:09: Gut, also es gibt Grenzen, ja, wir haben einen bestimmten halbes Dutzend Verfahren auch geführt, in diesen Dingen, die dann auch immer zu unseren Gunsten oder zumindest nicht weiter eskaliert sind, wo sich dann Leute darüber beschwert haben.

00:24:26: Gut, also wir prüfen die Identität, und dann als nächstes prüfen wir mögliche Ausnahmen, das würde ich jetzt mal ein Stück zurückstellen, dazu kommen wir gleich,

00:24:37: und dann lass uns vorziehen, was müssen wir denn so beauskumpften, also was ist der Inhalt der Auskunft? Klar, erst mal der Punkt Bestätigung, ob Daten, dass Daten verarbeitet werden, aber dann kommt diese Liste Verarbeitungszwecke, Kategorien, personenbezogene Daten und, und, und, und, und, die im 15 Absatz 1 müsste es sein, steht, die sehr interpretationsbedürftig ist, finde ich,

00:25:05: so Verarbeitungszwecke, gehen wir mal ein bisschen durch, also zumindest die, die nicht völlig selbst erklären sind, Verarbeitungszwecke, was steht denn da so, was schreibe ich denn da so, bei Verarbeitungszwecke rein?

00:25:17: Auch da hast du, hast du gerade vorgelesen, was im Gesetz steht, und mehr steht da auch nicht, und da gibt es keine Beispiele für Ansicht der Aufsichtsbehörden, verständlicherweise ist natürlich Transparenz für Betroffene möglichst konkret die Verarbeitungszwecke zu benennen, aber wir haben keine Beispelisse,

00:25:35: keine Anhang, wie konkret die genannt sein müssen, also ich könnte jetzt sagen zur Abwicklung von Verträgen, Verarbeitungszwecke, wenn ich sehr risikoaffin bin, kann ich sagen, umsatz zu generieren, das ist auch ein Verarbeitungszwecke, ja, je breiter der wird, desto eher laufe ich natürlich in Risiko rein, dass sich einer besperrt und sagt, verstehe ich ja gar nicht für was.

00:25:56: Mein Tipp dabei ist, ja, so transparent wie möglich, wichtig für mich ist, aus Sicht des Betroffenen, dass er versteht, welche Daten für welchen Zweck verarbeitet werden, was ich zum Beispiel nicht gut finde, sieht man aber auch in Datenschutzerklärung ganz oft, wenn einfach aufgeführt wird, ja, für diese 20 Verarbeitungszwecke verarbeiten wir ihre Daten und wir verarbeiten folgende Daten, ich weiß aber jetzt nicht, welche Daten für welchen Zweck.

00:26:26: Ja, ich finde das immer ganz charmant gegenüber den Betroffenen, wenn man versucht das ein bisschen zu matchen.

00:26:32: Klingt aber nach Arbeit noch mehr auffahnt.

00:26:36: Ach, George, jetzt kommen wir zu Arbeit.

00:26:41: Also das ist Arbeit, die gut aufgestellte Datenschutzorganisation hat natürlich ein gutes Verzeichnis von Verarbeitungstätigkeiten, wo du dann sagst, da gucke ich rein, was sind meine Verarbeitungszwecke, mit welchen Datenarten, für welchen Zweck.

00:26:56: Da orientiere ich mich, also will heißen ja, Auskunft ist Arbeit, wenn ich intern einigermaßen aufgestellt bin, kann ich aber auch was zurückgreifen.

00:27:07: Nächste Kategorie, kategorien, personenbezogene Daten, da habe ich immer gesagt, es gibt nur zwei, es gibt personenbezogene Daten und besondere Arten von personenbezogene Daten, wäre schön, was gibt es denn da sonst noch so?

00:27:23: Auch da kannst du glaube ich relativ kreativ unterwegs sein, es wird vermutlich nicht in diese Richtungen gehen, was du gesagt hast, also wir haben quasi normale personenbezogene Daten und sensible personenbezogene Daten, sage ich mal.

00:27:37: Sondern was ich da häufig sehe ist so, z.B. nicht bei Mitarbeiterpersonen, bei Allstammdaten oder wenn du das ein bisschen konkreter machen willst, Daten zur Abrechnung oder Gesundheitsdaten, weiß ich nicht, beim Eingehlerungsmanagement oder so, das soll schon ein bisschen spezifischer werden, aber wie du sagst, es gibt keine zwingende Vorgabe, wie konkret es sein muss.

00:28:04: Und es gibt ja auch kein Verzeichnis, wo man die Kategorien rauslesen könnte, das wäre ja vielleicht etwas Schönes für ein Erwärmungsgrund gewesen oder so was.

00:28:13: Was ich immer gerne mache, wir müssen ja, also wir im Sinne von Rechtsanwender, müssen ja nicht schlauer sein, als die Aufsichtsbehörden im Zweifel, deswegen gucke ich immer ganz gerne, wie machen das denn die Aufsichtsbehörden selber bei sich für ihre Verarbeitung, also gut, in unserem Fall müsstest du ja erstmal eine Auskunft stellen bei der Behörde, um das zu sehen.

00:28:34: Aber zum Beispiel für eine Datenschutzerklärung, also für die Hinweise, wie informieren die darüber, und das sind ja ähnliche Informationen zum Teil, ja, wie machen die das, da kann man sich mal ein bisschen Inspiration auch holen, finde ich, wie detailliert die das machen.

00:28:50: Und zumindest eine gute Vorlage, über die man nicht hinausgehen müsste. Nächster Punkt ist wahrscheinlich einer der umstrittensten und gerade vom EUGH, wenn ich es richtig in Erinnerung habe nochmal entschieden, was war EUGH, nicht BGH, Empfängerkategorien von Empfängern, das ist, glaube ich, nicht im Sinne der Unternehmen gelöst worden,

00:29:18: wie so häufig vom EUGH, was muss ich da rein, muss ich wirklich jedes einzelne Unternehmen da reinschreiben, mit dem ich auch Auftragsverarbeitung habe, und was in irgendeiner Form

00:29:30: der Gründung mit den Daten hat, ein bisschen die genannt werden, ist das nicht möglicherweise auch ein Geschäftsgeheimnis?

00:29:36: Ja, ich merke schon, ich werde ja so ein bisschen heute der Überbringer der schlechten Nachrichten für die...

00:29:43: und dafür laden wir die Gäste an, weil ich wollte es ja nicht selber sein. Für die Unternehmen, für die Unternehmen, aber ja, es ist tatsächlich so, EUGH hat das entschieden, bei der Auskunft hat das entschieden, nicht bei der, ich sag mal, normalen Transparenz und Informationspflicht für Datenschutzhinweise, sondern bei der Auskunft, ich muss über die konkreten Empfänger informieren, wenn ich diese Empfänger kenne, kann nur das darüber Auskunft geben, was ich habe und was ich kenne.

00:30:09: Empfänger bedeutet, wie du richtig gesagt hast, Auftragsverarbeiter, meine Dienstleister, die mit Personen bezogen mit den Daten umgehen, da hört es in der Praxis, sind wir hier im Datenschutzmanagement schon häufig auf, dass man das überhaupt weiß, intern, wichtig mitzunehmen ist, Empfänger ist aber nicht nur Auftragsverarbeiter, Empfänger sind auch andere Verantwortliche.

00:30:33: Also andere Unternehmen, die jetzt nicht mal Dienstleister sind, denen ich aber mal Daten weitergegeben habe, warum auch immer Kooperationen, Veranstaltungen, was weiß ich, es ist ein weiter Begriff, es gibt Möglichkeiten das einzuschränken, tatsächlich gab es auch schon mal Rechtsprechungen in Deutschland, ich meine, Ullge Karlsruhe war das, die mal gesagt haben, über den Empfänger musst du nicht informieren, wenn das für dich z.B. IT-sicherheitsmäßig ein Problem darstellen würde.

00:31:00: Dann sind die über die Ausnahme bekommen, da kommen wir dann noch dazu zu den Ausnahmen und haben gesagt, entgegen gesetzte Interessen, wenn wir unseren IT-Sicherheitsspezialisten Preis geben oder wer bei uns die Server hostet oder so, da können wir uns gleich darauf einstellen, dass der angegriffen wird, können wir gleich einen neuen suchen, machen wir nicht, hat das Gericht gesagt, versteht es, geht's mit.

00:31:23: Gerade kommt doch, wann du bist, wenn du natürlich so ein Hoch-Sicherheits-Ding bist, sagen wir mal, du bist eine Banke oder so, dann würde ich da jetzt wirklich nicht über jeden einen IT-Security Partner Auskunft geben wollen.

00:31:40: Was passiert denn, wenn ich als Unternehmen falsch bei Auskunfte, weil das gerade jetzt in dem Fall könnte das ja sehr leicht passieren, dass ich keine Ahnung, wenn ich 150 Auftragsverarbeiter habe, dass ich 10 davon vergesse zu erwähnen, kann mir daraus dann hinterher ein Stricke dreht werden?

00:31:59: Theoretisch ja, aber wo kein Kleger da kein Richter, das heißt, wenn der Betroffene das jetzt nicht besser weiß, dass es sozusagen Empfänger gibt, Auftragsverarbeiter, die jetzt nicht erwähnt sind, wird im Zweifel nichts passieren, weil er kann es ja nicht validieren.

00:32:17: Er könnte eine Beschwerde einlegen, weil der Aufsichtsbild sagt, das glaube ich nicht, das stimmt nicht, die haben nicht ordentlich erfüllt.

00:32:23: Ich mache immer den Klassiker, das ist irgendwie bei Mitarbeitern. Mitarbeiter gehen im Unfrieden, machen Auskunft, klar, und dann sagen die, mein ehemaliger Arbeitgeber hat mir Auskunft erteilt, da fehlt aber noch die Angabe jetzt nicht zur Empfänger, sondern zur Kategorienperson bezogen der Daten oder Zwecke, da ist der Name auf der Kuchenliste immer geführt worden.

00:32:45: Ja, der Arbeitgeber hat jetzt nicht bei Auskunft zittert, der weiß aber, weil er 10 Jahre da war, es wurde jedes Jahr eine Kuchenliste geführt.

00:32:52: Das ist Spalten.

00:32:54: Ja, das ist, kann man drüber streiten, ob das jetzt im Sinne des DSG VOR war das Ganze, ich meine am Ende, wenn es personenbezogene Daten sind, sind es personenbezogene Daten da.

00:33:08: Wäre das missbrauchlich, ich finde, also für mich klingt es ja nach missbrauchlich, also wenn man an der Auskunft über irgendetwas verlangt, was man sehr genau weiß, das ist, das Thema ist durch, das kannst du.

00:33:21: Ja, ja.

00:33:23: Ein bisschen bescheuert oder?

00:33:25: Also ja, aus Unternehmenssicht natürlich, da hatten wir in der Vergangenheit, gab es viele Rechteprechungen auch vom BGH im Versicherungsbereich, so Korrespondenz zum Beispiel, dass du sagst, als Unternehmen, warum fragst du mich danach?

00:33:38: Ach, das hast du mir doch geschickt oder das habe ich dir doch geschickt, das hast du doch trotzdem umfasst.

00:33:47: Das ist wieder, finde ich, so ein Punkt, wo mir das Datenschutzrecht, beziehungsweise auch die Betroffenenrechte manchmal so ein bisschen weit gehen, ehrlich gesagt, damit ich ja ausnahmsweise mal ein bisschen auf your Seite, auch wenn ich das sonst...

00:33:59: Ich habe mir auch einen Unternehmensvertreter geworden, inzwischen, wir sind ein bisschen krisiert worden im Forum, das wir jetzt kommen, da können wir gleich noch so, okay.

00:34:07: Gut, dann kommen wir als nächstes zu Speicherdauer oder Kriterien dafür, die Unterscheidung finde ich spannend, oder Kriterien, dafür ist ja jetzt irgendwie ein völlig anderes Beast, als wenn ich bei allen Daten nochmal die Speicherdauer ermitteln muss.

00:34:24: Genau, ich muss, sagt das Gesetz, glaube ich, so falsch möglich oder wenn es geht, musst du darüber informieren, da frage ich mich auch schon, ja, wie geht das Gesetz davon aus, dass ich das nicht weiß, so ist das auch okay, aber ich glaube eher im Sinne von falsch möglich, die konkrete Speicherdauer, also ich muss eine Zahl nennen, 6 Monate, 30 Tage, wie auch immer, und wenn ich das nicht wüsste, muss ich mich langhangeln, Kriterien, und das ist so ein bisschen auf einer, ja,

00:34:54: höheren Ebene, Metaebene, ich denke da immer an, wenn die Erforderlichkeit nicht mehr gegeben ist, der Verarbeitung, da kannst du natürlich sagen, ja, wie allgemein ist das, ja, aber das ist ein Kriterium, oder du sagst, weiß ich nicht, wenn das Arbeitsverhältnis beendet wurde, oder also was auch immer, ja, ich verstehe den Unterschied so, dass eine ist nennende Zahl, und das andere ist nennen irgendwie eine Aktivität oder besonderes Vorbeugel.

00:35:23: Ja, dann die Volkfalt in Rechtsgrundlage.

00:35:25: Gut, dann haben wir so ein paar Soft-Dinger bestehen, eines Rechtsortberichtung, Glöschung, Einschränkung und Widerspruch.

00:35:33: Das ist, glaube ich, unproblematisch, beschwerdere ich bei der Aufsichtsbehörde, ist unproblematisch, Herkunft der Daten.

00:35:41: Da wird es dann richtig spannend, falls nicht bei der betroffenen Person erhoben.

00:35:46: Ich muss also, hatte ich noch nie als Problem, weil ich hatte immer den Fall, dass die bei der Betroffenen erhoben wurden.

00:35:53: Aber wenn ich so einen bunten Topf habe, einen bunten Blumenstrauß an Datenquellen, habe ich hier richtig Spaß.

00:36:00: Und das war früher immer das, worauf wir aufmerksam gemacht haben.

00:36:03: Wenn du nicht weißt, gerade so bei Spam und bei unerwünschter Werbung, dann frag doch mal, mach hier mal so eine Anfrage.

00:36:11: Und das war immer erstaunlich, wo die deine Daten her hatten.

00:36:14: bei Werbebriefen so, das waren dann meistens so drei Unternehmen aus Deutschland, die diese

00:36:23: ganzen Daten gespeichert hatten. Aber wie sehr ins Zitalen muss ich da gehen? Muss ich da wirklich

00:36:29: sagen, das habe ich von der X-Ups und der GbH am so unzophierten schon, ne? Der Zusatz,

00:36:36: der ja noch drinsteht, ist alle verfügbaren Informationen über die Herkunft. Und das ist,

00:36:42: finde ich, geht schon zumindest soweit, dass ich sage. Wenn ich es von einem Unternehmen - ich

00:36:48: mache es jetzt mal plastisch - ich kaufe Leads, Listen mit E-Mail-Adressen oder was auch immer,

00:36:53: dann gehört für mich das verkaufende Unternehmen dazu, die Person oder wer auch immer, von

00:36:59: dem ich das gekauft habe. Alle verfügbaren Informationen. Das ist in der Praxis, dann

00:37:03: häufiger mal ein Diskussionspunkt. Welche Informationen habe ich denn noch verfügbar oder

00:37:08: verfüge ich? Aber ja, über die Herkunft der Daten muss ich quasi Bescheid wissen und darüber dann

00:37:17: auch verauskunften. Und der nächste Punkt ist auch wieder einer der höchst umstrittenen,

00:37:26: zu denen es auch jede Menge Rechtsprechung gibt. Wirklich jede Menge Rechtsprechung,

00:37:29: wenn ich es richtig auf den Schirm habe, Kopie der Daten. Also ich kann dann gleich den Lkw

00:37:33: mieten, wenn es ein langjähriger Mitarbeiter ist. Also wenn ich jetzt eine Datenschutzauskunft

00:37:37: von Heise haben wollte, mit ich bin da jetzt seit knapp 25 Jahren, Holger, du auch, dann kann

00:37:44: Heise erstmal den Lkw voran lassen, weil Kopie von Daten und ich habe die Auskunft

00:37:51: öftlich, fernschriftlich erstellt und sage, ich möchte echt Kopien von Daten. Darf ich das?

00:37:59: Genau, also du darfst in jedem Fall auch als Mitarbeiter, auch als Angestellter, auch die

00:38:04: haben Recht auf Auskunft und du darfst eine Kopie deiner personenbezogenen Daten

00:38:10: heraus verlangen. Kopie gibt es, wie du schon gesagt hast, mit die umstrittenste Alternative

00:38:17: dieses Anspruchs, das gehört zu dem Anspruch dazu, ist nicht ein eigener Anspruch, aber eine

00:38:21: Modifikation. Das war lange, lange umstritten, was das denn nun bedeutet. Also der Klassiker

00:38:26: an der Diskussion ist ja E-Mails mit deinem Namen drin. So, muss ich jetzt E-Mails im PDF-Format,

00:38:32: sage ich mal, oder ausdrucken, ganze Konversation und das Dokument herausgeben oder geht es um die

00:38:37: E-Mail-Adresse in der E-Mail. Und da muss man sagen, eine der wenigen Entscheidungen des EURGH,

00:38:42: wo er, glaube ich, versucht hat, ein bisschen pragmatisch zu sein, so gesagt hat, na ja,

00:38:48: es geht um die Kopie der personenbezogenen Daten und nicht per se um Kopien von Dokumenten,

00:38:54: die diese Daten enthalten. Also der Auskunftsschreckstrich Kopieanspruch ist kein Akten-Dokumenten-Herausgabeanspruch

00:39:05: per se, sondern bezieht sich auf personenbezogene Daten. Aber der EURGH macht das natürlich nicht

00:39:12: ohne Einschränkungen, sondern sagt, ja, aber es kann sein, dass du im Rahmen des Kopieanspruchs

00:39:19: als Unternehmen, als öffentliche Stelle, dazu verpflichtet bist, auch die Dokumente herauszugeben.

00:39:25: Also die ganze E-Mail als PDF-Ausdruck, in welchem Fall, ja, wenn das unerlässlich ist für die

00:39:36: betroffene Person, um ihre betroffenen Rechte ausüben zu können. Und das ist jetzt aktuell so der

00:39:43: Stand, wo wir sind in der Praxis. Kopie, ja, per se nur personenbezogene Daten, Dokumente oder

00:39:48: in einem oder so gesagt Auszüge aus Datenbanken. Es geht um die Kontextualisierung für den EURGH, der

00:39:54: will, dass die betroffene weiß, reicht mir vielleicht nicht nur das Datum-E-Mail-Adresse, sondern

00:39:59: muss ich auch wissen, in welchem CRM-System steht das drin, was sind da für Felder drum herum,

00:40:04: dass ich das, es geht um die Frage der Rechtmäßigkeit der Datenverarbeitung, dass ich das prüfen kann.

00:40:09: Und da sagt er, ja, musst du herausgeben, die Dokumente, wenn das unerlässlich ist für die

00:40:18: Wahrnehmung der betroffenen Rechte, für die Verständlichkeit. Und da wird jetzt gerade drüber

00:40:23: gestritten und diskutiert, wie man davor geht und wann das überhaupt der Fall ist, diese

00:40:27: Unerlässlichkeit. Ach, das hat der EURGH nicht mitgegeben. EURGHER natürlich nicht, ja. Ich habe

00:40:36: das sehr wohlwährend, um zu sagen, dass eines der sehr wenigen pragmatischen Urteile des

00:40:41: EURGH da schon ein leichter Hoffnungkritik mitgeschwunden hat an der Rechtsprechung des EURGH. Ja, also es kommt

00:40:48: darauf an, aus welcher Sichtweise man drauf schaut. Aber ich glaube, ich als Betroffener bin

00:40:55: sehr zufrieden mit der Rechtsprechung des EURGH. Ja, das ist aber jetzt auch nicht nur per se

00:41:01: betroffenen, freundlich oder feindlich, es ist einfach auch die Frage, wie geht man damit um.

00:41:05: Also auch die Frage, wie mache ich es dem Betroffenen Recht und dass es durch diese sehr großen

00:41:13: Umstände, die man da hat und sehr großen Aufwander ja auch nicht im Interesse des

00:41:17: Betroffenen per se, dass es einfach häufig so ein Play-Dohjeef, so ein besonderes bürokratischem

00:41:25: Datenschutz aus meiner Sicht ist. Ich glaube, wir sind dogmatisch. Ja, Watch ohnehin. Das ist nochmal

00:41:31: ein anderes Tier hier. Also was ich nur mitgeben will, die Datenschutzbehörde NRW, die hat in einem

00:41:40: ihrer letzten Tätigkeitsberichte mal dieses Thema tatsächlich aufgemacht, wie das ist mit

00:41:44: einem Vor- und Nachnamen auf einem Briefpapier gegen eine Rechtsarbeitskanzlei, wo ein ehemaliger

00:41:51: Partner dann wohl auskunft wollte und gesagt hat, ihr müsst mir alle Dokumente rausgehen,

00:41:55: weil ich stehe ja damit meinem Namen drauf, obwohl der Text auf dem Brief gar nichts mit ihm zu tun

00:42:01: hatte. Und da hat die LDI NRW gesagt, nee, das sehen wir nicht so, nur weil da dein Name drauf

00:42:07: steht, dass du Anspruch auf die ganzen Dokumenten hast. Ich hatte das bei mir auch im Blog so ein

00:42:11: bisschen die Frage aufgeworfen, ob damit jetzt auch das Thema E-Mail geklärt ist. Ich vermute nein,

00:42:17: weil wir eben noch dieses Kriterium der Unerlässlichkeit haben, aber man sieht eben selbst die

00:42:23: Aufsichtsbehörden sind jetzt nicht sofort dabei zu sagen, ja klar. Jörg, Wagenladungen, ganze Lkw-Ladungen

00:42:30: an Dokumenten, wo du irgendwo erwähnt bist. Ich stelle mir das bei Hoeger vor mit seiner Artikel,

00:42:37: die er in den letzten wieviel Jahren, 26 Jahren geschrieben hat. Aber Jörg, die liegen auch

00:42:44: digital vor. Ja, aber du sagst, ich hätte sie gerne, das wäre noch eine Frage an Karin. Wenn du sagst,

00:42:51: du hättest gerne Ausdruck, du hättest sie nicht gerne digital, ist das wohl glaube ich auch sein

00:42:55: gutes Recht? Ja, kannst du versuchen noch, dass das eventuell sagst, unverhältnismäßig ist

00:43:01: aber schwierig im Rahmen der betroffenen Rechte, das einzuwenden. Ich bin tatsächlich auch ein Freund

00:43:08: schon auch in Diskussion oder in Austausch mit den Betroffenen zu gehen. Wie können wir sie denn

00:43:13: am besten zur Verfügung stellen? Ja, das kannst du vielleicht machen, aber jetzt stell dir mir vor,

00:43:18: du bist ein großer Konzern, du bist VW und musst wahrscheinlich tausende Auskunftsbegehren pro

00:43:25: Monat abarbeiten. Und dann wirst du wahrscheinlich nicht mehr in der Lage sein, auf jedes individuelle

00:43:30: einzugehen. Ne, da wirst du standardisiert machen, aber da bist du, ich weiß nicht, wie sie es machen.

00:43:34: Standardisiert. Also, wärst du sicherlich auch gut dabei, das irgendwie elektronisch

00:43:40: möglich zu machen, über eine Downloadmöglichkeit. Das du sagst hier. Das machen die auch so genau.

00:43:45: Okay, ja, weil das an das kriegst du es ja, wie du sagst, nicht gehandelt. Und da haben wir auch

00:43:49: schon ein paar Urteile in Deutschland zu, wenn ich dir sage, ne, Holger sagt hier, ich will jetzt

00:43:54: alle meine Daten haben, dann komme ich als Unternehmen und sage, ja klar, stell ich dir zur

00:43:59: Verfügung und zwar in deinem Mitarbeiter-Login-Bereich findest du jetzt einen Button "Daten-Kopie herunterladen".

00:44:07: Das haben wir schon als Urteile in Deutschland, die sagen, damit kannst du den Auskunftsanspruch

00:44:12: erfüllen. Ja, aber da geht es ja dann nicht mehr um ehemalige Mitarbeiter und das sind ja die,

00:44:18: die besonders keine dann Auskunftsansprüche wahrnehmen. Da könnte ich dann überlegen,

00:44:22: ob ich eine einmal Online-Plattform irgendwie bereitstelle mit einem Zugang, den ich separat

00:44:26: übersende. Ach so, das ist übrigens vielleicht, ich weiß nicht, ob es noch kommt in unserer Liste noch

00:44:30: wichtig, Datensicherheit und Datenschutz bei der Übersendung der Auskunft, auch ein schönes Thema

00:44:36: in der Praxis. Ja, also bitte nicht irgendwie personenbezogene Daten, also mindestens nicht

00:44:41: Gesundheitsdaten einfach so per E-Mail übermitteln. Und was wir auch nicht machen dürfen, ist zu sagen,

00:44:47: hier ist die verschlüsselte PDF mit Passwort an deinem E-Mail-Account, ja und zehn Sekunden

00:44:54: später kommt die nächste E-Mail an den selben Account mit dem Passwort im Klartext. Also gerne

00:45:01: das Passwort per SMS, per Brief, anderer Kommunikation. Mit medium Pro, ja. Genau. Und wir schicken

00:45:07: alles schriftlich an die gespeicherte Adresse, so wie erinnere. Gut, sehr per Post. Ja, per Post.

00:45:15: Immer. Gut, das war Kopie von Frist, haben wir schon besprochen, Form in der Regel elektronisch oder

00:45:26: schriftlich, klar und verständlich haben wir auch besprochen. Dann, nachweis der Auskunftserteilung

00:45:34: und des Inhalts, ja, das können wir auch machen, dann würde ich sagen, gucken wir mal so ein bisschen

00:45:38: an die Grenzen des Auskunfts, weil ich zu die Frage, unter welchen Bedingungen kann ich denn sagen,

00:45:43: nee, hier knallen zwei Interessen aufeinander, das werde ich ja häufig haben. Wir haben mal so ein

00:45:50: paar Beispiele rausgearbeitet und das, was uns hier dann gleich am meisten interessieren wird,

00:45:54: ist das mit dem Geschäftsgeheimnisgesetz. Aber wir haben auch andere Sachen, vielleicht fangen wir

00:45:58: mal an mit der ja nicht ganz unerheblichen Missbrauchsklausel. Also die Frage, kann ich die

00:46:06: Auskunft verweigern, wenn ich einen offenkundig unbegründeten oder einen exzessiven Antrag habe?

00:46:12: Oder darf ich in diesem Fall auch noch eine interessante Frage, darf ich ein Endgeld verlangen?

00:46:17: Das würde natürlich ein spannendes neues Verdienstfeld sein, so für VW oder so.

00:46:23: Genau, so wie du es dargestellt hast, ist es tatsächlich auch gesetzlich vorgesehen. Bei

00:46:31: den sogenannten unbegründeten oder exzessiven Anträgen darf sich der verantwortliche überlegen,

00:46:38: ob er wirklich antwortet, inhaltlich, oder ob er sagt, naja gut, aber das ist halt Aufwand für

00:46:44: mich und da stelle ich dir eine angemessene Gebühr oder auch mein Endgeld dafür in Rechnung. Was

00:46:54: man sicherlich wissen muss für die Praxis, diese Ausnahmevorschrift im Art. 12 ist die vorgesehen

00:46:59: für betroffenen Rechte allgemein, ja es ist nicht nur Auskunft, sondern Löschung, Berichtigung wie

00:47:04: auch immer, die wird natürlich sehr restriktiv ausgelegt, insbesondere von den Aufsichtsbehörden,

00:47:11: aber auch von den Gerichten muss man sagen. Das heißt, die Fälle, die darunter subzumiert werden

00:47:18: können, offensichtlich oder offenkundig unbegründet, da ist man nicht so schnell drin. Also ich wäre

00:47:24: tatsächlich, auch wenn das natürlich mein Thema ist, Beratung des Verantwortlichen, das muss ich

00:47:30: mir schon gut überlegen, welche Anhaltspunkte ich dafür habe, dass das offenkundig unbegründet ist.

00:47:34: Es gibt keine gesetzlichen Fallgruppen dazu, aber es muss schon einiges passieren, dass ich sage,

00:47:40: ich habe genug Anhaltspunkte, tatsächliche, dass du das, es gibt so Beispiele, wie du machst das ja

00:47:46: nur um Kohle zu machen. Also wir hatten auch mal einen Fall, wo das jemand gemacht hat und dann

00:47:51: gesagt hat, ja man 15er, also Auskunftsantrag, den ziehe ich zurück, wenn sie mir dafür 1000 Euro

00:47:58: überweisen. Da muss man, finde ich ehrlich sagen, das sind die etwas dummen Betroffenen, ja klar,

00:48:06: weil es gibt heutzutage welche, die das mit Werfen machen und auch innerlich gar nicht so schlecht,

00:48:10: die sagen halt gar nichts, die sagen einfach Auskunft, Artikel 15 und der OGH, das haben wir

00:48:16: schon klar, sagt, muss er nicht begründen, muss er keinen Zweck angehen, wofür du das haben willst.

00:48:22: Wenn es jetzt auch in dem Artikel 12 heißt exzessiv, gibt das dann eine Intervallgrenze des

00:48:30: Auskunftsanspruchs, heißt es, ich darf nur einmal im Monat, ich darf nur einmal im halben Jahr,

00:48:33: es gibt es verschiedenste Sachen, die vertreten werden. Ich meine, wir waren in der Sachsen oder

00:48:41: Sachsen-Anhalt, die Behörde hatte das mal in einem Tätigkeitsbericht, da sind die davon ausgegangen,

00:48:44: glaube ich, also nicht drei Monate oder sechs Monate oder so in einem Einzelfall. Ich finde

00:48:52: tatsächlich ganz gut, es gibt ja vom europäischen Datenschutzausschuss zu diesem ganzen Thema

00:48:56: Auskunft eine Orientierungshilfe, wenn man so will. Und ich finde deren herangehensweise eigentlich

00:49:01: ganz gut, die sagen, erste Auskunft bekommst du ja gebührenfrei, keine Kosten. Deswegen ist dieses

00:49:09: Thema mit welcher Dokumente bekommst du denn auch so relevant, weil ich ja sonst vielleicht dafür

00:49:14: zahlen müsste. Und das bekommst du gebührenfrei, wenn du danach aber wieder eine Auskunft machst,

00:49:22: nicht ausgeschlossen, kannst du machen. Aber wenn sich der Datenbestand dann zum Beispiel nicht

00:49:27: geändert hat, es sind noch dieselben Daten, da ist nichts mehr passiert, dass dann das Unternehmen

00:49:31: sagt, ja, passt auf, lieber Freund, du hast ja erst vor drei Monaten angefragt und es hat sich

00:49:36: seitdem auch nichts geändert. Willst du wirklich nochmal dasselbe haben? Wenn ja, machen wir jetzt

00:49:41: aber, wollen wir ein Endgeld von dir. In welcher Höhe kann so was sein? Irgendeine Idee? Ich würde

00:49:48: immer, also die Vorgabe ist im Grunde, muss verhältnismäßig natürlich sein. Ich würde halt

00:49:55: immer so, wie viel Mannntage brauchen wir dafür? Ja oder so an den Gerichts, an den Kosten,

00:50:01: die bei Gericht gelten gemacht werden, für Alpha-Kopien, wie würde ich mich hier vielleicht

00:50:04: orientieren? Die werden ja ganz schön, und habe ich so eine Euro pro Seite, das ist glaube ich,

00:50:08: wenn ich es so jetzt nicht habe. Aber wir haben da einen ganzen Artikel ganz schön,

00:50:12: würden nicht ganz schön teuer, ganz viel Geld kosten, Holger, das solltest du dir überlegen.

00:50:17: Und na ja, exzessiv gibt es auch keine Fixengrenzen, aber so die Tendenz ist eben, wenn deutlich wird,

00:50:27: du machst es dafür, um die Organisation zu behindern, um der Organisation Schaden zu

00:50:32: zufügen. Wir haben einen Urteil des Europäischen Gerichtshofs zu einer Parallelvorschrift für

00:50:37: Beschwerden bei Aufsichtsbehörden. Da gibt es auch so eine Ausnahme. Wenn die Beschwerden exzessiv

00:50:42: sind oder offensichtlich unbegründet, also unsere Aufsichtsbehörden haben auch das Problem mit

00:50:46: exzessiven Anträgen und Beschwerden. Und da hat der Europäische Gerichtshof mal ein bisschen

00:50:52: Kontur gegeben und gesagt, auf was man da achten sollte oder was man als Kriterium nehmen kann,

00:50:56: wenn es eben darum geht, eine Organisation lahm zu legen. Klar, du hast einen gewissen

00:51:02: Interpretationsspielraum, bei einem Beschwerdericht hat man einfach und was sie auch gesagt haben,

00:51:08: nur weil jemand oft Beschwerde einlegt, ist das noch nicht per se missbräuchlich. Ja, also

00:51:13: keine Ahnung, Holger hört jetzt auf, Beheise. Irgendwie halbes Jahr im Kopf aus irgendeinem

00:51:21: Urteil. Es gibt Ansichten, die sagen drei bis sechs Monate als Intervall, aber was Holger zum

00:51:28: Beispiel machen könnte, wenn er Beheise aufhört und sagt, ich mache jetzt den Datenschutzritter

00:51:31: in Niedersachsen und lass mir eine Unternehmensliste geben mit allen Unternehmen über 100 Mitarbeitern,

00:51:37: ja, der kann bei allen Unternehmen anfragen. Das kann dann auch Beschwerden einreichen,

00:51:43: wenn da was nicht passt und wenn das am Ende was was ich 35 Beschwerden in Niedersachsen sind,

00:51:48: gegen verschiedene Verantwortliche. Wir haben doch schon verschiedenste Business-Modellier,

00:51:58: das nütziert, neue. Gut, wir haben noch ein paar andere Sachen, ein paar andere Ausnahmen. Das war

00:52:08: die Missbrauchsklausel, dann gibt es eine Nationale Ausgabe in § 34 BDSG, die sehr technisch ist,

00:52:15: die würde ich jetzt hier an der Stelle mal weglassen. Dann gibt es noch so ein paar Sonderlocken,

00:52:19: Einschränkungen zur Wahrung der öffentlichen Sicherheit, zur Verhinderung von Straftaten,

00:52:24: bei Forschungs- und Statistikdaten. Und es gibt so ein paar noch mal spezial gesetzliche Regelungen.

00:52:30: Unmöglichkeit, gut, das brauchen wir, glaube ich, nicht groß erklären. Aber dann bleibt der

00:52:38: letzte große Punkt, nämlich der Schutz der Freiheiten und der Rechte von Dritten. Und dazu

00:52:44: gehört natürlich auch unser Geschäftsgeheimnisgesetz, aber auch noch eine ganze Menge mehr. Also,

00:52:48: was ist denn zum Beispiel, jemand fordert Auskunft über eine E-Mail oder eine Serie von E-Mails,

00:52:56: wo ich mich zwar auch über seine Personen unterhalten habe, aber wo es auch, sagen wir mal,

00:53:02: beispielsweise hochsensible Daten gab es nicht. Ich nenne immer dieses Beispiel, wie geht's denn da im

00:53:07: Kind, hat's immer noch die Krebserkrankung oder sowas. Was ich, wo jetzt auch gar keinen fallen

00:53:10: möchte, dass es nach außen geht, schwärzt sich dann, wäre wahrscheinlich eine Möglichkeit,

00:53:14: aber wahnsinnig aufwendig. Und mir dann vorhalten zu lassen, hey, das ist aber nicht ungeschwärzt,

00:53:21: da habe ich nicht alle Auskünfte, da kann da auch noch was über mich drinstehen. Oder weiß ich

00:53:26: in den solchen Apfel oder kann ich vielleicht sogar verweigern. Genau, die Ausnahme, die im

00:53:33: Gesetz vorgesehen ist, ist relativ breit gefasst, so wie du es ja auch schon gerade erklärt hast.

00:53:37: Rechte und Freiheiten anderer Personen, das können ehemalige Mitarbeiter sein, das können andere

00:53:45: Kunden auch sein, zum Beispiel, Online-Plattform, Online-Shop. Und was diese Rechte und Freiheiten

00:53:53: sind, ist auch nicht abschließend. Das heißt, dein Beispiel mit Persönlichkeitsrechten,

00:53:58: vielleicht aus der Sozialsphäre, vielleicht sogar Privatsphäre, auch das kann ich in die

00:54:03: Waagschale werfen, um zu sagen, nee, meines Erachtens überwiegen diese Schutzbedürftig oder

00:54:10: überwiegt die Schutzbedürftigkeit der anderen Personen, gebe ich keine Auskunft. So, und dann,

00:54:13: was mache ich? Ja, erste Möglichkeit, Schwerzen. Und ja, das ist im Zweifel aufwendig. Was wir

00:54:23: tatsächlich beachten müssen, ist die Tendenz, insbesondere in der Rechtsprechung, gerade im

00:54:29: arbeitsgerichtlichen Bereich, geht dahin zu sagen, du als Unternehmen, du darfst jetzt nicht per See

00:54:33: sagen, E-Mails gebe ich dir nicht, weil da sind ja Daten anderer Personen drin Punkt. Das wäre viel

00:54:40: zu pauschal, die Begründung der Ablehnung. Sondern sie sagen, ja, du kannst Ablehn, du kannst

00:54:47: Schwerzen, du musst auch nicht herausgeben, wenn Rechte anderer betroffen sind, aber du musst

00:54:52: es schon begründen. Und dann muss man schauen, wie tief begründen, pro E-Mail, ja, klar, wäre ein

00:54:57: Aufwand. Ja, ich sage, ich muss mir jede E-Mail anschauen. Ich habe das schon erlebt, dass man

00:55:01: thematisch vorgeht und sagt, weiß ich nicht, HR, E-Mails, Mitarbeiter, Gespräche oder so, dass

00:55:09: man die kategorisch erst mal rausnimmt. So was wäre eine Möglichkeit. Aber im Zweifel hatten wir

00:55:17: auch schon festgestellt, ist es Aufwand für den Verantwortlichen zu sagen, nee, gebe ich dir nicht,

00:55:24: weil du musst schmerzen, faktischer Aufwand, plus du brauchst eine juristische Begründung,

00:55:28: die Valide ist, warum du es nicht rausgibst. Und da sind, ich sage mal, Persönlichkeitsrechte,

00:55:33: andere Personen ein Thema, Datenschutzrechte sind ein Thema, wo das richtig, richtig relevant ist,

00:55:40: ist so Hinweisgeberschutz, Compliance-Systeme, ja, wenn ich vorher zusichere, dass ich Namen nicht

00:55:49: weitergebe. Und dann kommt jemand, über den sich beschwert wurde und der sagt, ich will jetzt mal

00:55:53: wissen, wer die Meldung hier gemacht hat. Gibt es auch schon Ansichten, Aufsichtsbehörden dazu,

00:55:58: die sagen, ja, wenn du das zusicherst, Anonymität, kannst du dich auch erst mal darauf berufen,

00:56:03: Schutz der Meldenden, quasi. Ich habe ein Praxisbeispiel, was mich gerade auch beschäftigt. Wir haben

00:56:14: einen, ich glaube es ist nicht mal ein ESA, also ein Vornutzer, der sich wie so häufig schlecht

00:56:19: behandelt fühlt und der das eskaliert hat, auch über den unserer Kollegen vom Kunden-Service. Und

00:56:31: Kunden-Service tritt nach außen in der Regel nicht mit Namen auf, weil es einfach viele unterschiedliche

00:56:35: Leute sind. So, das macht keinen Sinn, dass da Petra Müller steht, weil im Zweifelsfall Petra Müller

00:56:39: das nicht diejenige ist, die das dauerhaft bearbeitet. Aber jedenfalls wurde der dann hart

00:56:44: ausfällig auch und er hat Leute beleidigt und bedroht und jetzt kommt er nicht so strafrechtlich,

00:56:53: also mehr so eklig. Ich abstraiere den Fall so ein bisschen und jetzt kommt er und sagt,

00:57:01: ich will eine Auskunft und ich möchte auch bitte eine Auskunft über alle E-Mails, die

00:57:06: über meinen Fall hin und her geschickt wurden. So, da stehen die ganzen Leute, die sich damit

00:57:13: beschäftigt haben, mit Klarnamen und E-Mail-Adresse drin. Verweigern? Kann ich es verweigern? Ja,

00:57:20: also ich habe es verweigert, aber würde zu sagen, das ist rechtskonform. Ich möchte die Namen

00:57:25: meiner Mitarbeiter nicht dieser Person ausliefern, weil das geht nicht, weil ich weiß, der würde

00:57:32: die dann auch nochmal anschreiben und dann nicht strafrechtlich relevant, dann wäre es natürlich

00:57:36: leicht, aber so im unteren Beleidigungslevel angehen. Also hat da auch definitiv keinen Anspruch

00:57:44: drauf zu wissen, welche Mitarbeiterinnen oder Mitarbeiter da konkret mit dem Fall befasst

00:57:48: waren. Wo man natürlich schauen muss, ist, was sind wirklich personenbezogene Informationen,

00:57:53: also was sich auf ihnen bezieht? Ich hatte das mal so zu Anfangszeiten der DSGVO im öffentlichen

00:58:00: Bereich, muss ihr vorstellen, bei uns in Berlin würde man sagen, Bürgeramt, wenn da in Systemen,

00:58:05: in Freitextfeldern, was über Bürger vermerkt wird, ja, also so Quirulent und immer nur

00:58:12: zur Zweit behandeln quasi, auch das ist dann ein Thema, muss man das herausgeben oder nicht.

00:58:19: Und ja, also ich glaube für uns, wir müssen schon mitnehmen, soweit es personenbezogene Daten sind,

00:58:24: ja, aber wir müssen nicht anfangen, interner nach außen zu geben, welche Mitarbeiter damit

00:58:31: befasst sind. Ja, wir haben auch Rechtsprechung auf europäischer Ebene, die zum Beispiel sagt

00:58:36: Empfänger, weil wir vorhin bei den Empfängern, bei der Auskunft waren, Mitarbeiterintern sind

00:58:41: keine Empfänger, die ich durch Auskunft drüber geben muss. Ja, wer, so der Klassiker, wer hatte

00:58:46: Zugriff auf meine Personalakte, welche Mitarbeiter haben dazu gegriffen? Dann noch mal konkret die

00:58:53: Frage, bist also der Meinung, er hat überhaupt keinen Anspruch auf diese Kommunikation, auf diese

00:58:58: E-Mails oder er hat nur den Anspruch auf den Namen nicht, das heißt, es müsste jeder einzelne

00:59:02: Mail angeguckt und geschwärzt werden, also alle, alle nicht ihn mit reffenden personenbezogene

00:59:07: Informationen rausgenommen werden. Ja, also auf den Namen hat er definitiv kein Anspruch

00:59:11: der Mitarbeiter, das andere muss man überlegen, sehen wir es als personenbezogenes Datum an,

00:59:17: ja, dann hätte er theoretischen Anspruch, wir könnten aber sagen, ja Moment, aber Kopie bekommst

00:59:24: du nur, wenn es unerlässlich ist zur Wahrung deiner betroffenen Rechte und wenn er irgendwie

00:59:29: ausfällig wird und da komische Sachen schreibt, weiß ich nicht, warum das unerlässlich sein soll

00:59:36: zur Ausübung der betroffenen Rechte, ja, und vielleicht gleich noch dazu, aber jetzt passt

00:59:42: gerade so gut diese Unerlässlichkeit, gibt es mittlerweile in Deutschland schon ein,

00:59:46: zwei Entscheidungen, Bundesfinanzhof unter anderem, die sagen, das musst du als Betroffener, du musst

00:59:51: mir sagen, warum das denn unerlässlich sein soll, dass ich dir hier ganze Dokumente herausgebe,

00:59:56: kann man tatsächlich weitperre. Ja, für EUG habe ich das bestimmt anders gesagt. Genau, ja, ob der EUG

01:00:02: ja das so mitgehen würde, aber also in Deutschland haben wir da zumindest mal Ansichten, die sagen,

01:00:08: die Unerlässlichkeit muss mir der Betroffene darlegen, warum ich ihm die ganzen klare Datdsch-Dokumente

01:00:13: mit rausgeben sollte. Ja, und da haben wir als letzten Punkt, tatsächlich als letzten Punkt,

01:00:21: ist auch ein bisschen komisch, wenn man das als Thema ankündigt, als letzten Punkt ist so ein

01:00:25: bisschen das Geschäftsgeheimnisgesetz, aber wir sind da ja, glaube ich, schon relativ nah dran,

01:00:29: in der vorigen Diskussion, Geschäftsgeheimnisgesetz, man glaube ich relativ wenig, wenn man da jetzt

01:00:38: nicht in dem Bereich tätig ist, ich muss gestehen, ich habe auch eher theoretisch bislang damit zu

01:00:43: tun gehabt, das schützt Geschäftsgeheimnisse vor unlauterer Nutzung und unlauterer Offenlegung

01:00:52: durch Dritte und der Schutz greift aber nur, wenn der Inhaber angemessene Geheimhaltungsmaßnahmen

01:01:00: trifft und einberechtigtes Interesse an der Geheimhaltung vorliegt, wird dann dagegen verstoßen,

01:01:08: indem man eben auf diese, unerlaubt auf diese Geschäftsgeheimnisse zugreift, dann gibt es

01:01:13: eine umfangreiche zivilrechtliche Ansprüche, Unterlassung, Schadensersatz, Vernichtungsansprüche,

01:01:18: dann wird es richtig übel, aber hier in unserem Bereich können wir ziemlich schnell bei

01:01:29: Auskunftssachen auf diese Geschäftsgeheimnisse kommen und dann knallen hier zwei sehr gut

01:01:36: geschützte, sehr gut gesetzlich geschützte Interessen aufeinander, wie gehe ich denn damit

01:01:42: um Kano? Also wir können auf jeden Fall festhalten, das sind im Grunde zwei geschützte Rechtsgüter,

01:01:50: die im Rahmen der Auskunft gegeneinander abgewogen werden müssen, dieses Geschäftsgeheimnisgesetz,

01:01:54: was wir in Deutschland haben, das ist jetzt auch nicht, dass der deutsche Gesetzgeber sich gedacht

01:01:58: hat, ich muss mal die Unternehmen schützen, ich erfinde mal was, sondern das beruht auch auf

01:02:02: europäischen Vorgehörden und das ist für uns ganz gut im Rahmen der Abwägung zu sagen, ja schau,

01:02:06: wir haben ja EU, DSGVO, EU eine Richtlinie zum Geschäftsgeheimnisschutz, also vom europäischen

01:02:12: Gesetzgeber auch beides intendiert, beides Schutzrichtungen, betroffenen Rechte, aber auch

01:02:19: Schutz von Geschäftsgeheimnissen. So und wenn ich dann tatsächlich eine Anfrage habe dazu,

01:02:24: der Klassiker ist wirklich der ehemalige Mitarbeiter, gerade so, ich sage mal in technischen

01:02:28: Bereichen und berufen mal Ingenieur, Zeichnungen, wo der Name drunter steht, PowerPoint Präsentation,

01:02:33: wo der Name drunter steht, darf das mit herausgegeben, muss es mit herausgegeben werden und wie du

01:02:41: zurecht sagst, Jörg, da knallen diese zwei Welten aufeinander und ich muss als Unternehmen auf jeden

01:02:48: Fall begründen, warum ich gewisse Dokumente nicht herausgebe, also ich müsste zum Beispiel sagen,

01:02:52: das unterliegt oder ist mein Geschäftsgeheimnis. Das ist auch von der DSGVO sogar vorgesehen,

01:02:57: in einem der Erwägungsgründe, dass ich das in die Waagschale werfen darf, Geheimnisschutz,

01:03:01: das ist okay, aber ich muss es begründen. So und unsere Diskussion soll ja auch so ein bisschen in

01:03:07: die Richtung gehen, wenn ich das begründe, wer prüft das denn, ob das denn wirklich ein

01:03:13: Geschäftsgeheimnis ist, weil also ich sage mal aus der betroffenen Brille, ja das Unternehmen kann

01:03:17: mir viel erzählen, was es so als Geheimnisschutz ansieht und da haben wir aktuell die Leitlinie

01:03:25: auch wiederum durch den OGH vorgegeben. Ich glaube, die Zuhörer werden sich denken,

01:03:29: obwohl die kennen euch ja, aber und kennen auch die Inhalte, aber die werden sich denken,

01:03:34: der OGH macht nichts anderes als die DSGVO zu entscheiden, macht das schon. Ist das nicht so?

01:03:39: Noch nicht, hat ja den Eindruck. Aber es ist schon ganz gut ausgelastet damit. Und die Vorgabe ist

01:03:50: dort, ja was ein Geschäftsgeheimnis ist oder ob es ein Geschäftsgeheimnis ist. Das entscheidet

01:03:55: im Zweifel die Aufsichtsbehörde, im Datenschutzrecht, wenn es zu Beschwerde kommt zum Beispiel,

01:04:00: oder auch ein Gericht, wo es dann zum Streit kommt. Ja, der hat mir nicht Auskunft gegeben,

01:04:05: weil er sagt Geschäftsgeheimnis, glaube ich nicht, also prüfen vor Gericht. Und wir hatten ja im

01:04:12: Vorgespräch auch so ein bisschen drüber gesprochen und darüber geht ja auch dieser Onlinebeitrag.

01:04:16: Das Risiko aus der Unternehmenssicht, was ich da beachten muss, ist natürlich, na ja, wenn

01:04:21: jetzt gegenüber der Behörde das Offengelegt wird, das Geheimnis gegenüber dem Gericht,

01:04:25: das Offengelegt wird und da jetzt sehr überspitzt formuliert Hins und Kunst drauf Zugriff hat,

01:04:30: dann war es das mit dem Geschäftsgeheimnis. Ist ja nicht mehr geschützt. Und ich glaube,

01:04:38: da ist es für Unternehmen wichtig zu beachten. Ich habe Möglichkeiten, das auch einzuschränken.

01:04:44: Ja, natürlich gibt es Einsichtsmöglichkeiten für Beteiligte an Verfahren auch in Akten

01:04:49: einzusehen. Aber ich habe extra nochmal heute Morgen ganz kurz geguckt. Es gibt tatsächlich zum

01:04:57: Beispiel vom Europäischen Gerichtshof auch Rechtsprechung dazu, die sagt, na ja, wenn Gerichte

01:05:02: aber so Dokumente anfordern oder Daten anfordern und darauf dann zugegriffen wird von den Parteien,

01:05:08: dann ist es den Gerichten gestattet, wenn du so willst, wie Sperrvermerke oder Sperrungserklärung

01:05:14: drauf zu legen und sagen, ja, Partei, du darfst darauf zugreifen. Aber nur für den Zweck des

01:05:19: Prozesses sage ich mal, nur zur Verteidigung im Prozess, nur zur Wahrnehmung deiner Rechte

01:05:22: im Prozess darf es nicht mitnehmen, das Geheimnis. Da würde ich mich so viel besser fühlen,

01:05:27: wenn ich ein wertvolles Geschäftsgeheimnis habe. Also würde ich mich so safe fühlen.

01:05:31: Und eine Alternative, die wir auch in dem Beitrag da ja kurz beleuchtet hatten, ich

01:05:39: habe es selber noch nicht, das haben wir uns mal so perspektivisch vorgestellt. Wenn

01:05:45: ich nicht zufrieden bin mit der Entscheidung der Aufsichtsbehörde, die LfD Niedersachsen

01:05:49: sagt, okay, Heise, ihr wollt hier keine Auskunft geben, weil sie sagt, das ist unser Geschäftsgeheimnis,

01:05:54: wenn wir das rausgeben, können wir Heise, die einstellen. Sehen wir nicht so als LfD. Das ist

01:06:03: kein Geschäftsgeheimnis. Da muss man im Zweifel und wenn man auf den Schutz bedacht,

01:06:09: ist, sagen, okay, dann gib mir dazu deine Entscheidung, liebe Behörde, dass du es so nicht siehst. Gib

01:06:14: mir ein Verwaltungsakt und den muss ich dann vor Gericht angreifen. Ja, und dann ist mit dem

01:06:21: Gericht die nächste Instanz da, die das Geheimnis sich einsehen kann. Das Gericht wird es ja

01:06:27: dann auch dürfen, weil es muss ja auch... Ja, ja, klar. Genau, das Gericht darf das. Es gibt

01:06:33: Möglichkeiten gerade im verwaltungsgerichtlichen Verfahren, wo wir ja wären, also das Unternehmen

01:06:38: klackt gegen die Datenschutzbehörde, also von Verwaltungsgerichten. Es gibt Möglichkeiten,

01:06:42: wieso Geheimnisschutzverfahren in Kamerverfahren zu führen. Kennen wir insbesondere so Schutzbedürftige

01:06:49: Dokumente, Verschlusssachen, Pipapo. Aber es gibt tatsächlich auch Rechtsprechung dazu,

01:06:56: wenn es um Geschäftsgeheimnisse geht. Hat ich was gefunden, Telekommunikationsbereich,

01:07:01: wo dann Unternehmen gesagt haben, wenn das rauskommt, warum auch immer das Geheim war,

01:07:06: das geht nicht. Das ging bis zum Bundesverfassungsgericht, wo dann eben das Bundesverfassungsgericht

01:07:12: auch erkannt hat, na ja, Geschäftsgeheimnisse müssen schon geschützt werden, müssen auch

01:07:15: bei den Gerichten geschützt werden. Und wenn da angeregt wird, dass, wenn du so willst,

01:07:19: in einem, im Kamerlein, in einem geschützten Bereich nur zu öffnen, die Box, dass dann

01:07:24: jemand darauf Zugriff hat, dann kann das schon berechtigt sein. Ja, also ich glaube, diese zwei,

01:07:28: diese zwei Wege, zumindest jetzt in Deutschland, Verwaltungsgerichtsordnung und die Verfahren plus

01:07:35: EUGH-Ratsprechung, das Gericht kann wie so ein Zweckbindungsschutz drauflegen. Ja, Jörg,

01:07:41: ob man sich daran hält, ist die andere Frage. Ich stelle mir jetzt gerade mal einen konkreten

01:07:48: Fall vor. Da ist ein Ex-Mitarbeiter von Coca-Cola und ich möchte gerne alle E-Mails haben, die ich

01:07:56: ausgetauscht habe mit den Coca-Cola-Managern hier in Deutschland. Und die haben sich fröhlich das

01:08:02: neue Coca-Cola-Rezept, geheimen Rezept ausgetauscht. Mit rüben Zucker, mit rüben Zucker, nicht damit,

01:08:08: mit Maisirop, streng geheim. Nee, kriegste nicht, die E-Mail. Gut, dann gehe ich zu,

01:08:15: dann will ich Beschwerde ein bei der Landesdatenschutzbehörde. Die Landesdatenschutzbehörde ist die

01:08:20: erste, die das Coca-Cola-Rezept dann erhält. Sagt dann, nee, nee, die Anwalt. Ja, die Anwalt,

01:08:27: dann geht es weiter. Die Behörde sagt, nee, nee. Also sowas kann ich auch zusammenpanschen,

01:08:34: das ist kein Geheimnis. Gut, dann muss Coca-Cola klagen. Dann geht es vor Gericht. Und es ist

01:08:40: doch nicht ernsthaft zu erwarten, dass dieses Rezept nicht an die Öffentlichkeit gerät, wenn es mal

01:08:44: so durch die Verwaltungsblühen geht. Also mal ehrlich. Gut, wenn es dann einer durchsteckt,

01:08:50: klar, das Risiko, wenn wir wahrscheinlich nie ausschließen können, ich würde nur noch viel

01:08:53: eher, also das ist natürlich jetzt auch der Fall, das ist eine schöne Vorlage. Ich würde in diesem

01:08:58: Fall bei dir viel eher ansetzen und sagen, da würde selbst die Datenschutzbehörde sagen,

01:09:02: da hast du keinen Anspruch, doch, falls gar keine personenbezogene Daten sind. Was soll das für ein

01:09:09: personenbezogene Datum sein, das Coca-Cola Rezept? Also du bist ja nicht Mola. Naja, wenn das eine Formel

01:09:16: ist, untersteht irgendwie dein Name mit drin, weil du einen Teil der Formel weiterentwickelt hast,

01:09:19: dass du zum Beispiel die Umstellung von Rüben auf Rohrzucker veranlasst hast, hypothetisch oder

01:09:25: umgekehrt. Ja, und ich würde darüber gehen, personenbezogene Datumjahnen und Unterlässlichkeit.

01:09:30: Ja, und schon sagen, warum ist es für dich unerlässlich, für die DSGVO betroffenen Rechte und

01:09:37: zur Verständlichkeit, ob wir Daten rechtmäßig verarbeiten? Wir driften in sehr... Ja, also worauf

01:09:44: ich noch raus wollte mit dem provokanten Beispiel ist, es ist halt Streisandeffekt so ein bisschen,

01:09:50: also in dem Moment, wo ich sowas anfechte, dann wird natürlich das Geheimnis um nur

01:09:56: interessanter unter Umständen und wenn ich es dann so durchfechte und es geht durch so viele Hände,

01:10:01: sieht natürlich die Wahrscheinlichkeit, dass das Geheimnis geheim bleibt. Vielleicht noch

01:10:05: ein Tipp für zuhöhende öffentliche Stellen und Unternehmen, was ich mitgenommen habe in der

01:10:10: Praxis. Alles, was für mich intern relevant ist an Dokumenten, soweit es geht, packe ich da niemals

01:10:16: personenbezogene Daten rein in die Dokumente. Ich mache Fachbezeichnungen, Abteilungsbezeichnungen,

01:10:22: was auch immer, aber ich schreibe nicht rein hier das Rezept von Holger Bleich. Übrigens,

01:10:29: ein weniger isoterisches Beispiel, was mir dazu einfällt, ist Code, Programmiercode,

01:10:34: wo du dann dann am Rhein treibst oder so. Das ist vielleicht sehr viel Praxis relevanter. Aber

01:10:40: das packen wir jetzt nicht mehr an. Wir sind durch für heute. Herzlichen Dank, Carlo. Es war ganz

01:10:46: super. Du kriegst den Erklärbär des Monats Award. Das war richtig gut. Hat mir gut gefallen. Vielen

01:10:53: Dank dafür. Auch von mir vielen Dank. Sehr gerne. Vielen Dank, dass ich wieder dabei sein durfte.

01:10:58: Und sagen wir mal, ob es eine dritte Runde gibt, auch wieder in 100 Folgen. Ja, gerne. Und was

01:11:09: wir dann zu berichten haben. Ja, ich glaube die Themen, was wieder die Erfahrung von 140 Folgen sind,

01:11:14: gehen uns nicht aus. Ich weiß noch kurz auf unsere Kontaktmöglichkeiten hin. Das ist die

01:11:21: Mailadresse auslegungssacherlct.de. Da könnt ihr uns erreichen. Wir haben auch ein bisschen Feedback

01:11:25: wiederbekommen, Jörg. Da können wir vielleicht in der nächsten Episode mal ganz kurz darauf eingehen.

01:11:28: Auch im Forum. Apropos Forum. Das Forum zu dieser und allen anderen Episoden findet ihr in unserem

01:11:36: Episodenarchiv unter ct.de/auslegungssacher. Da kann man alles nochmal nachhören. Auch die Episode 49

01:11:43: bei der Carlo des ersten Mal bei uns zu Gast war. Genau. Und du packst noch einen Link auf das

01:11:50: Dokument von Carlo Rhein, was ich mit diesem Thematik beschäftige. Ja, ich habe versucht mitzuschreiben,

01:11:58: das ist mal mehr als ein Link. Auch, können wir gleich nach der Episode noch kurz besprechen,

01:12:03: also gerade die EZZA-Empfehlungen oder die EZZA Orientierungsspiele. Aber die werde ich auch

01:12:08: selber finden, die werde ich auf jeden Fall noch verlinken. Okay, ich sage an dieser Stelle,

01:12:13: hat mich sehr gefreut und tschüss bis in 14 Tagen. Tschüss, mach's gut und danke noch mal an Carlo. Danke euch, tschüss.