Oftmals ist dies die unzufriedenstellende Antwort auf eine Auskunftsanfrage. Man muss diese Antwort akzeptieren, richtig versteht man das Problem aber nicht.
Gemeint sind damit zumeist nicht irgendwelche Daten; Daten gibt es überall. Gemeint sind Daten, die es ermöglichen Personen zu identifizieren, sogenannte personenbezogene Daten. Zu jeder Person gibt es personenbezogene Daten. Diese Daten sind im Umlauf, werden also „verarbeitet“. Ziel des Datenschutzes ist es dabei nicht, die Daten zu schützen, sondern die Personen hinter diesen Daten.
Da oben genannte Aussage so häufig getroffen wird, stellt sich die Frage, weshalb konkret eine gewünschte Auskunft nicht erteilt wird. Was sind die so nervig erscheinenden Datenschutzgründe?
Die Datenschutzgrundverordnung (DSGVO) bildet den Rechtsrahmen für jede Verarbeitung personenbezogener Daten in der gesamten Europäischen Union. Behauptet jemand, dass er etwas aus Datenschutzgründen nicht sagen könne, meint diese Person konkret, dass Sie andernfalls gegen die Regelungen der DSGVO verstoßen würde.
Ein Verstoß gegen die DSGVO liegt meist in der unrechtmäßigen Verarbeitung personenbezogener Daten. Wann eine solche Verarbeitung rechtmäßig ist, ist in Artikel 6 DSGVO geregelt. Darüber hinaus gibt es noch weitere Bundes- und Landesgesetze mit datenschutzrechtlichen Vorschriften, wie das Bundesdatenschutzgesetz (BDSG). Mit dem Recht auf informationelle Selbstbestimmung, welches sich aus Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 GG ergibt, ist der Datenschutz seit über 40 Jahren sogar in den Grundrechten verankert.
Was kann die Folge einer Datenpanne sein?
Vor allem sind die rechtlichen Konsequenzen, im Ergebnis also die Bußgelder, welche auf Unternehmen zukommen können, zu beachten. Möglich sind Bußgelder bis zu 4% des jährlichen weltweiten Umsatzes bzw. bis zu 20 Millionen Euro. Die genauen Regelungen sind in Artikel 83 DSGVO festgelegt.
Grundsätzlich sollen die nachteiligen Folgen der DSGVO eine abschreckende Wirkung haben, sodass die Verantwortlichen dazu animiert werden, die Vorschriften einzuhalten. Daneben können betroffene Personen Schadensersatzansprüche geltend machen, wenn eine Datenschutzverletzung vorliegt und ein kausaler Schaden eintritt.
Stellt damit die Aussage „Das darf ich aus Datenschutzgründen nicht sagen“ also oftmals eine Notlösung für Unternehmen dar, um auf der sicheren Seite zu sein?
Nicht unbedingt. Unternehmen können Auskunftspflichten unterliegen, auf die betroffene Personen ein Recht haben. Auch möglich ist die Verpflichtung zum Löschen personenbezogener Daten. Und eine zufriedenstellende Antwort für den Kunden, bzw. denjenigen, der eine Anfrage stellt, ist dies jedenfalls nicht.
Handlungsalternative für Verantwortliche
Zudem stellt „Das darf ich aus Datenschutzgründen nicht sagen“ fachlich keine korrekte Antwort dar. Besser wäre es, dem Anfragesteller konkret mitzuteilen welche Auskunft möglich ist und welche nicht.