ICO: Leit­fa­den zu Betrof­fe­nen­be­geh­ren

Die eng­li­sche Auf­sichts­be­hör­de ICO hat einen detail­lier­ten Leit­fa­den zum Umgang mit Betrof­fe­nen­be­geh­ren ver­öf­fent­licht.

Der Leit­fa­den ent­hält bspw. auch Aus­füh­run­gen dazu, wel­che Anstren­gun­gen von Unter­neh­men bei der Suche nach Per­so­nen­da­ten des Betrof­fe­nen erwar­tet wer­den:

  • Daten in Archiv- und Back­up­sy­ste­men sei­en grund­sätz­lich zu durch­su­chen, auch wenn die Mög­lich­kei­ten ein­ge­schränk­ter sind als bei Pro­duk­tiv­sy­ste­men (wobei sich hier im Umset­zungs­recht Aus­nah­men fin­den kön­nen, wie bspw. in § 34 Abs. 1 Ziff. 2 des deut­schen BDSG). Dage­gen muss ein Unter­neh­men nicht ver­su­chen, gelösch­te Daten wie­der­her­zu­stel­len (was auf den Lösch­be­griff zurück­wirkt, denn die Löschung muss nur dazu füh­ren, dass Per­so­nen­da­ten unter den gege­be­nen Umstän­den nicht wie­der­her­stell­bar sind, eine theo­re­ti­sche Wie­der­her­stell­bar­keit scha­det nicht – ein Aus­kunfts­be­geh­ren beein­flusst die­sen Stan­dard nicht, wenn eine Wie­der­her­stel­lung nicht ver­langt ist).
  • Bei E‑Mails: Wenn eine Suche 2000 E‑Mails ergibt, bei denen der Betrof­fe­ne in Kopie war, genügt eine ent­spre­chen­de Mit­tei­lung ohne Kopie der E‑Mails. Sofern sich der Inhalt der Mails aber eben­falls auf den Betrof­fe­nen bezieht, hat die­ser Anspruch auf eine Kopie (ggf. geschwärzt). Was das ICO nicht anspricht, ist die Fra­ge, unter wel­chen Umstän­den Mit­ar­bei­ter über­haupt ein Recht auf eine Kopie von E‑Mails hat, dazu vgl. Ber­lin; LG Köln; LG Hei­del­berg; und Hes­sen; vgl. auch das Urteil A3/2015/3077 des eng­li­schen Court of Appeal vom 16. Febru­ar 2017 betr. Unver­hält­nis­mä­ssig­keit des Auf­wands).

Inter­es­sant ist auch die Bestä­ti­gung, dass die Aus­kunfts­frist bei berech­tig­ten Rück­fra­gen des Ver­ant­wort­li­chen bei der betrof­fe­nen Per­son zum genaue­ren Gegen­stand eines Aus­kunfts­be­geh­rens anhält:

This means that you do not need to pro­vi­de the indi­vi­du­al with a copy of the infor­ma­ti­on, or any of the sup­ple­men­ta­ry infor­ma­ti­on that you can­not rea­son­ab­ly pro­vi­de, unless you have obtai­ned cla­ri­fi­ca­ti­on.