§ 6 Rechte des Betroffenen / 4. Einschränkungen nach § 34 BDSG-Neu

Rz. 52

§ 34 Abs. 1 BDSG-Neu enthält ergänzend zu den in § 27 Abs. 2 BDSG-Neu, § 28 Abs. 2 BDSG-Neu und § 29 Abs. 1 Satz 2 BDSG-Neu genannten Ausnahmen weitere Einschränkungen des Auskunftsrechts der betroffenen Person.

a) Keine Informationspflicht nach § 33 BDSG-Neu, § 34 Abs. 1 Nr. 1 BDSG-Neu

Rz. 53

Das Auskunftsrecht der betroffen Person besteht nicht, wenn sie nach § 33 Abs. 1 Nr. 1, Nr. 2 Buchst. b) oder Abs. 3 BDSG-Neu nicht zu informieren ist.^[48]

[48] Zu den Tatbeständen oben § 5 Rdn 139 ff.

b) Daten nur noch aufgrund von Aufbewahrungspflichten vorhanden, § 34 Abs. 1 Nr. 2a) BDSG-Neu

Rz. 54

Weiterhin besteht ein Auskunftsrecht nicht, wenn personenbezogene Daten über den Betroffenen nur deshalb gespeichert sind, weil sie

▪	aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften[49] nicht gelöscht werden dürfen und
▪	die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und
▪	eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

Eine vertraglich bestehende Aufbewahrungspflicht führt nicht dazu, dass der betroffenen Person die Geltendmachung ihres Auskunftsrechts verwehrt werden kann.^[50]

Rz. 55

Neben dem Bestehen einer Aufbewahrungspflicht, die den alleinigen verbleibenden Zweck der Datenverarbeitung bilden darf, erfordert die Zurückweisung des Auskunftsanspruches zum einen, dass die Auskunftserteilung für den Verantwortlichen einen unverhältnismäßigen Aufwand erfordern würde. Dies kann der Fall sein, wenn der Verantwortliche die aufzubewahrenden Daten nicht mehr in seinen aktiven Systemen, sondern nur noch auf Sicherungssystemen oder Massenspeichern vorhält, die ihrerseits nur der Aufbewahrung und Archivierung dienen (Back-ups). In einem solchen Fall wäre der Verantwortliche, müsste er die Auskunft erteilen, u.U. dazu verpflichtet, die Sicherungssysteme aktiv anzusteuern oder vorhandene Back-ups wieder in seine laufende Systemumgebung einzuspielen. Dies wiederum könnte dazu führen, dass neben dem konkret anfragenden Betroffenen auch zahlreiche weitere natürliche Personen und ihre personenbezogenen Daten von einem einzelnen Auskunftsersuchen betroffen werden, obwohl sie gar keinen Anspruch in diese Richtung gestellt haben. Ggf. kann – der Gesetzgeber lässt dies ausdrücklich offen – auch ein unverhältnismäßiger finanzieller Aufwand einen Ausschluss des Auskunftsrechtes rechtfertigen. Wann ein solcher anzunehmen ist, kann nicht absolut, sondern nur unter Beachtung der Gesamtsituation des jeweiligen Verantwortlichen ermittelt werden. Dabei erscheint es durchaus möglich, dass KMUs sich schneller auf einen unverhältnismäßigen Aufwand berufen können, als große Unternehmen.

Rz. 56

Weiterhin und kumulative Voraussetzung für den Wegfall des Auskunftsanspruches ist zudem, dass der Verantwortliche die Verarbeitung der betroffenen personenbezogenen Daten für andere Zwecke nicht nur nicht beabsichtigt, sondern eine solche durch geeignete technische und organisatorische Maßnahmen ausgeschlossen hat. Dies kann beispielsweise in der Herausnahme dieser Daten aus der "laufenden" Verarbeitung innerhalb der Verantwortlichen Stelle liegen, so dass die Daten über die betroffene Person auch nicht "zufällig" wieder aufgerufen und für neue Zwecke genutzt werden können.^[51] In Betracht kommt auch hier die Speicherung allein in Back-ups und Sicherungsdateien oder –systemen, die mit der laufenden Verarbeitung keine direkte Verbindung aufweisen. Weiterhin wird vom Verantwortlichen in Bezug auf die Daten, die er nur noch zur Erfüllung gesetzlicher oder satzungsgemäßer Aufbewahrungspflichten speichert, verlangt werden können, auch die Zugriffsmöglichkeiten auf diese Daten innerhalb der Unternehmensorganisation des Verantwortlichen erheblich zu beschränken und hier nur noch denjenigen Mitarbeitern Zugriff zu gewähren, die auch innerhalb der Organisation für die Einhaltung und Überwachung von Aufbewahrungspflichten verantwortlich zeichnen. Dies können neben der Geschäftsführung beispielsweise auch Mitarbeiter aus der Buchführung oder dem Personal- oder Rechnungswesen sein.

[49] Solche können sich bspw. aus § 257 HGB (10 Jahre: Handelsbücher, Inventare, Eröffnungsbilanzen und Buchungsbelege; 6 Jahre: empfangene und Wiedergaben der abgesandten Handelsbriefe), aus §§ 273 Abs. 2 AktG, § 74 Abs. 2 GmbHG oder § 93 GenG ergeben.

[50] BT-Drucks 18/12144, S. 8.

[51] In der Gesetzesbegründung BT-Drucks 18/11325, S. 104, heißt es hierzu:

"Bei der Ermittlung des Aufwands hat der Verantwortliche die bestehenden technischen Möglichkeiten, gesperrte und archivierte Daten der betroffenen Person im Rahmen der Auskunftserteilung verfügbar zu machen, zu berücksichtigen."

c) Daten dienen ausschließlich der Datensicherung und Datenschutzkontrolle, § 34 Abs. 1 Nr. 2b) BDSG-Neu

Rz. 57

§ 34 Abs. 1 Nr. 2 BDSG-Neu führt die Vorgaben in § 19 Abs. 2 BDSG und § 33 Abs. 2 S. 1 Nr. 2 BDSG im Wesentlichen fort. Zur Datenschutzkontrolle zählen daher Kontrollen durch die Aufsichtsbehörden, aber auch interne Kontrollen durch den betrieblichen oder behördlichen Datenschutzbeauftragten. Der Datensicherung dienen Sicherungs- und Log- und sonstige Protokolldateien.^[52]

[52] Kort, NZA 2011 1319, 1321; Kamlah, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2017, § 33 BDS...