Der Verantwortliche hat bei der Geltendmachung von Abwehrrrechten aus Art. 12 / 15 ff. EU – DSGVO

1. die Pflicht nach Art. 64 Erwägungsgründe “die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen,”und

   –  “bei begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Art. 15 bis 21  stellt, … kann er unbeschadet des Art. 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind”, Art. 12 VI EU – DSGVO

2. das Recht, und auch die Pflicht nach dem Grundgedanken der EU – DSGVO, sicher zustellen,- dass  “die Rechte und Freiheiten anderer Personen nicht beeinträchtigt” werden =  “Datenschutzrechte dritter schützen”, Art. 15 IV EU – DSGVO

A. Art. 64 Erwägungsgründe  EU – DSGVO : Identitätsprüfung & Art. 12 VI Identitätszweifel

• LfD Bayern : Aktuelle Kurz-Information 22: Identifizierung bei der Geltendmachung von Betroffenenrechten
  https://www.datenschutz-bayern.de/datenschutzreform2018/aki22.html
• LfD NRW: Personalausweis und Datenschutz, pdf
  https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Personalausweis-und-Datenschutz/Datenschutz-und-Personalausweis-2019_07.pdf
• DSK Kurzpapier Nr. 6 Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO, pdf
  https://www.lda.bayern.de/media/dsk_kpnr_6_auskunftsrecht.pdf

B. Art. 15 IV EU – DSGVO : Datenschutzrechte Dritter & Beschäftigter

I. Musterfall:

• Musterfall als pdf ansehen / dowonloaden TUI Musterfall Aufgabenstellung, 2 S
  

1. A beansprucht gegen Reisekonzern X Datenschutzauskunft Art. 15 EU – DSGVO & Schadensersatz Art. 82 EU – DSGVO, ursprünglich auch wegen Verletzung auch von Fluggastrechten aus Fluggastrichtline EC 261 / 2004 wegen Beförderungsverweigerung mit folgendendem Ausgangsschreiben

• hier link : Muster Ausgangsschreiben an Reiseveranstalter wegen Verletzung von Fluggastrechten mit Auskunft aus Art. 15 EU – DSGVO (englisch)

Nachdem X hierauf zunächst gar nicht regagiert, beansprucht A in Ergänzung zu seinem allgemeinen Auskunftsersuchen aus Art. 15 EU – DSGVO  im Ausgangsschreiben  mit weiterem Schreiben unmfassend und substantiiert Auskunft zu allen seinen personenbezogen Daten bei der X aus Art. 15 EU – DSGVO, und erinnert mehrfach nachdem keine sachliche Reaktion erfolgt

• hier link: Muster Auskunfts- und Erinnerungsschreiben Art. 15 EU – DSGVO wegen Verletzung von Fluggastrechten gegen Reiseveranstalter 

2. Reisekonzern X verweigert 1 Jahr Auskunft vollständig. Nach zahlreichen Erinnerungen und schliesslich auch Benachrichtigung des zuständigen Compliancevorstands veranlasst dieser dann aber umgehend unter anwaltlicher Bestellung eine umfassende TEIL – Auskunft zu Art. 15 I a – g EU – DSGVO mit word doc/ excel und pdf Kopien nach Art. 15 III EU – DSGVO , aber

1. mit gerichtlich nicht haltbarer, unschlüssiger Stellungnahme zu den vorgehaltenen Fluggasterechtverletzungen  ,
2. Schwärzung aller reports zu den vorgehaltenen Fluggastrechtverletzungen soweit darin Namen von Flugkapitän, Crew Members Airline und in den Sachverhalt – von X behauptet – weitere Reiseteilnehmer Vertragsverletzungen des A gegen die X und beteiligte Mitreisende rügen,
   und begründet dies mit (1) Art. 15 IV EU – DSGVO , und (2) Datenschutzrechten der – von X behauptet – beteiligten Mitarbeiter im Beschäftigungsverhältnis zu X,
3. verweigert weiter Auskunft und Vorlage weiterer Korrespondenz zwischen Mitarbeitern der X, e – mails, Telefonnotizen, Aufzeichnungen & Telefonnotizen, Mitteilung an Sicherheitsbehörden (trotz Sicherheitsvorhaltungen) , Korrespondenz der X mit den beteiligten Flughafen

Rechtsanwalt Y führt hierzu u.a. auch in seinem anwaltlichen Begleitschreiben für die X wörtlich folgendes an:

Kein Recht auf Auskunft in Bezug auf andere Personen: Sie haben weiter ausdrücklich auch die Namen des Kabinenpersonals und der Piloten des in Rede stehenden Flugs verlangt. Wie Ihnen gegenüber bereits im Rahmen früherer Korrespondenz angemerkt wurde, können Ihnen diese Informationen nicht zur Verfügung gestellt werden, da sie für die Bewertung der Frage, ob Ihre eigenen Daten auf Grundlage der DS-GVO ordnungsgemäß verarbeitet wurden, ohne Relevanz sind.

Die Entfernung der Namensinformationen, bei denen es sich um personenbezogene Daten Dritter handelt, dabei sowohl im Rahmen der zuvor erfolgten Auskunft als auch im Rahmen der jetzt erneut erteilten Auskunft, wurde zum Schutz der Rechte der hier aufgrund ihrer namentlichen Nennung betroffenen Personen vorgenommen. Eine solche Entfernung ist zulässig, wie den durch Art. 15 Abs. 4 DS-GVO gesetzten Grenzen zu entnehmen ist. Nach Art. 15 Abs. 4 DS-GVO werden dem Auskunftsanspruch bezüglich der Bereitstellung von Kopien durch die Rechte und Freiheiten anderer Personen Grenzen gezogen: Nach Art. 15 Abs. 4 DS-GVO darf das Recht auf Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Werden durch die Auskunft per Kopie Rechte oder Freiheiten Dritter beeinträchtigt, so hat der Verantwortliche die betroffenen  Informationen aus der Auskunft entsprechend zu entfernen oder zu schwärzen (BeckOK DatenschutzR/Schmidt-Wudy, 32. Ed. 1.5.2020, DSGVO Art. 15 Rn. 98). Entsprechend haben in der Vergangenheit auch die niederländischen Gerichte und die niederländische Datenschutzbehörde entschieden (vgl. ECLI:NL:GHDA:2019:2398: Das Gericht entschied hier, dass den Namen einer dritten Partei
im Zusammenhang mit dem Recht aus Art. 15 D-SGVO keine Relevanz zukommt; entsprechend durfte der Verantwortliche diese Informationen in den bereitgestellten Kopien der Dokumente schwärzen (vgl. weiter: ECLI:NL:GHARL:2019:10759: Das Gericht vertrat hier die Auffassung, dass die Entscheidung der verantwortlichen Stelle, bestimmte Dokumente nicht zur Verfügung zu stellen, da sie Informationen zu einer dritten Partei enthalten, im Einklang mit den Wertungen der DS-GVO steht; vgl. außerdem ECLI:NL:RBMNE:2020:2222: Das Gericht sah die Ausnahmetatbestände von Art. 15 Abs. 4 und Art. 23 Abs. 1 lit. i DS-GVO als erfüllt an, soweit eine Begründung für die Berufung auf diese Ausnahmetatbestände genannt wurde). Eine entsprechende Begründung wurde Ihnen hiermit zur Verfügung gestellt.

Das Recht auf Kopie besteht ebenso wie das Recht auf Auskunft ausweislich des Wortlauts von Art. 15 DS-GVO nur hinsichtlich eigener personenbezogener Daten. Dem Anspruchsberechtigten soll mit der Auskunft lediglich die Beurteilung der Frage ermöglicht werden, ob die eigenen personenbezogenen Daten ordnungsgemäß verarbeitet wurden. Die Verarbeitung personenbezogener Daten des Personals oder anderer Fluggäste erfolgte anlässlich der bestehenden Arbeitsverhältnisse, wie auch der Erfüllung des Beförderungsvertrages als privatrechtlichem Rechtsverhältnis, mithin auf Basis anderer Rechtsverhältnisse als dem hier von Ihnen geltend gemachten Auskunftsanspruch nach der DS-GVO.

Bei der DS-GVO handelt essich um zwingendes öffentliches Recht. Eine betroffene, dritte Person begibt sich dementsprechend Ihnen gegenüber nicht ihres Datenschutzes, wenn ihre personenbezogenen Daten aus Anlass eines privatrechtlichen Vertrags verarbeitet wurden; sie hat vielmehr gegenüber dem Verantwortlichen weiterhin Anspruch auf den Schutz der DS-GVO und entsprechend ein legitimes Interesse daran, dass ihre eigenen personenbezogenen Daten im Rahmen einer Auskunftserteilung über die personenbezogenen Daten einer anderen Person nicht offengelegt werden. Dies entspricht explizit der dem Art. 15 Abs. 4 DS-GVO zugrundeliegenden Wertungen.
Entsprechend waren die Namensinformationen des Personals zu entfernen, ohne dass dies Ihren Anspruch auf Auskunft über die Verarbeitung Ihrer personenbezogenen Daten nach Art. 15 Abs. 1, Abs. 3 DS-GVO schmälert. Die von Ihnen mit Schreiben vom 21.07.2020 in Bezug genommene Rechtsprechung des OLG Köln zur Kollisionslage von Datenschutz und Geschäftsgeheimnissen ist entsprechend unter keinem Aspekt auf den vorliegenden Sachverhalt übertragbar.

Sofern Sie auch um Auskunft in Bezug auf Ihre Frau ersuchen, Ihre Ausführungen hierzu sind nicht eindeutig, dürfen wir Sie erneut um die Vorlage einer ordnungsgemäßen auf Sie lautenden Vollmacht sowie einer Ausweiskopie bitten. Ohne die erforderliche Legitimation kann dem Auskunftsanspruch nicht entsprochen werden. Unseren Mandantinnen obliegt es, sicherzustellen, dass die zu beauskunftenden personenbezogenen Daten nicht an unbefugte Dritte übermittelt werden (Art. 24 Abs. 1 S. 1 i.V.m. Erwägungsgrund 75 DS-GVO).

II. Aufgabenstellungen

Wie ist die Rechtslage und welche Anspruchs- & Abwehr – Möglichkeiten haben A und X nach der EU – DSGVO ?

• Ansprüche des A nach EU – DSGVO ?
• Mögliche Compliance Verletzungen X nach EU – DSGVO ?
• Möglich Complianeverletzungen verantwortlicher Compliance Vorstand & beteiligte 100 % Tochtergesellschaften der beherschenden X (AG) a. national b. international
• Reichweite Auskunfts- & Schadensersatzanspruch Art. 15, 83 EU – DSGVO des A – Abwehrmöglichkeiten der X
• Beschwerde & Bussgeldverfahren Aufsichtbehörde Art. 79, 83 EU – DSGVO
• Wohnsitzgerichtsstand – oertliche & nationale Zuständigkeit Ausfsichtsbehörde

III. nützliche links:

• DSK Kurzpapier Nr. 18 “Risiko für die Rechte und Freiheiten natürlicher Personen”
  https://www.lda.bayern.de/media/dsk_kpnr_18_risiko.pdf
• DSK Kurzpapier Datenschutzmodell – Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele
  https://www.datenschutzkonferenz-online.de/media/ah/201804_ah_sdm.pdf
• DSK “Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO”
  https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf
• DSK Positionspapier zu “empfohlenen technischen und organisatorischen Maßnahmen” bei der Entwicklung und dem Betrieb von KI-Systemen
  https://www.datenschutzkonferenz-online.de/media/en/20191106_positionspapier_kuenstliche_intelligenz.pdf
• LfD Sachsen “Dokumentation der getroffenen technischen und organisatorischen Maßnahmen für die folgende Verarbeitung personenbezogener Daten”
  https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Internationales/Datenschutz-Grundverordnung/Checkliste_TOM/Checkliste_toM_nach_DS-GVO.pdf
• Beispiel “Umsetzung Technische und organisatorische Maßnahmen im Beamtendienstrecht”, ausführlich,
  https://www.beamtendatenschutz.de/dsgvo/tom/
• Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679
  https://www.datenschutz-bayern.de/datenschutzreform2018/wp250rev01_de.pdf
• Wikipedia “List of data breaches”
  https://en.wikipedia.org/wiki/List_of_data_breaches