Barbara Kirchberg-Lennartz

„Datenschutzprozesse müssen dafür sorgen, dass der Umfang einer Auskunft immer an die tatsächliche Situation der Verarbeitung angepasst wird“

Interview mit Barbara Kirchberg-Lennartz, verantwortlich für den Datenschutz im Lufthansa-Konzern und als betriebliche Datenschutzbeauftragte für insgesamt 35 Konzerngesellschaften zuständig, über:

  • Die wichtigsten geänderten Anforderungen an die Auftragsdatenverarbeitung durch die DSGVO
  • Herausforderungen bei der Umsetzung des Auskunftsrechts nach DSGVO
  • Maßnahmen der Deutsche Lufthansa AG, um das Auskunftsrecht der Kunden zu erfüllen

Was sind die wichtigsten geänderten Anforderungen an die Auftragsdatenverarbeitung durch die DSGVO?

Aus meiner Sicht gab es zur Auftragsdatenverarbeitung selbst keine gravierenden Veränderungen der DSGVO gegenüber dem BDSG, wenn man von der gesetzlichen gesamtschuldnerischen Haftung absieht.  Die DSGVO bietet zusätzlich die Möglichkeit der gemeinsamen Verantwortung nach Art. 26. Es bedarf also immer einer differenzierten Betrachtung, ob eventuell ein Joint Control gegeben ist, dies insbesondere bei konzerninternen verteilten Verarbeitung personenbezogener Daten. Die Anforderungen an die Vereinbarung von technischen und organisatorischen Maßnahmen sind aus Praxissicht gestiegen, weil die Anforderungen In Artikel 32 sehr abstrakt formuliert wurden.

Eine Reihe von Tools verspricht, Auskünfte nahezu auf Knopfdruck erteilen zu können. Wie sieht die Praxis aus, und wie können helfen solche Tools konkret helfen?

Solche Tools können helfen, wenn die Auskunftsanfragen sehr standardisiert gestellt werden und die Verarbeitung personenbezogener Daten beim Verantwortlichen nicht zu komplex und nicht häufigen Veränderungen unterworfen ist. Solche Tools sind insbesondere auch dann nützlich, wenn es möglich ist, zunächst im Rahmen einer Erstauskunft dem Betroffenen strukturelle Informationen über die Zwecke der Verarbeitung der wichtigsten Daten zu geben. Auf dieser Grundlage kann der Betroffene dann entscheiden, ob er eine präzisere Anfrage stellen möchte, um detailliertere Informationen zu erhalten. Dies bietet sich zum Beispiel bei der Auskunftserteilung an Beschäftigte an. Hier kann im ersten Schritt eine Stammdatenauskunft mit inhaltlichen Informationen über die verschiedenen und meist sehr zahlreichen Verarbeitungen der Beschäftigtendaten gegeben werden. Präzisiert der Betroffene dann den Wunsch auf Auskunft, können diese Informationen dann bereitgestellt werden. Dieser zweite Auskunftsschritt entzieht sich meist einer automatisierten Verarbeitung, allein schon aufgrund der Verschiedenheit der möglichen Anfragen.

Woran scheitert die Umsetzung des Auskunftsrechts nach DSGVO bisher?

Die Umsetzung des Auskunftsrechts darf gar nicht scheitern und das geschieht auch in den meisten Fällen nicht. Was aber immer wieder zu Schwierigkeiten führt, ist die Frage des Umfangs und der Detailliertheit der zu erteilenden Auskünfte. Dies ist insbesondere dann der Fall, wenn der Betroffene aus einem bestimmten Anlass, zum Beispiel einer rechtlichen Auseinandersetzung mit dem Verantwortlichen, ein Auskunftsersuchen stellt und auf diesem Weg hofft, für ihn vorteilhafte Informationen zu erhalten. Die Gerichte urteilen hierzu bisher unterschiedlich, so dass sich noch keine auf der Rechtsprechung beruhenden klaren Kriterien ableiten lassen.

Artikel 15 formuliert einen Anspruch, der wenn er in der Praxis überhaupt erfüllt werden kann, nicht zwangsläufig dazu führt, dass der Betroffene in allen Facetten nachvollziehen kann, wozu seine Daten verarbeitet werden. Das würde zum Teil ein tiefes Verständnis der Geschäftsprozesse des jeweiligen Unternehmens voraussetzen. Das BDSG enthält einige Ausnahmeregelungen, deren Prüfung und Anwendung zusätzliche Komplexität bergen. Wo fangen Geschäftsgeheimnisse an, die einen Auskunftsanspruch nach §29 Abs.1 Satz 2 BDSG einschränken? Oder die möglichen Einschränkungen nach §§ 33 bzw. 34, die bestimmte Abstriche der Informationspflichten beziehungsweise Auskunftserteilung ermöglichen. Es bedarf hierzu klarer Leitlinien, zum Beispiel des EDSA und der DSK, um zu einer DSGVO-konformen und praxistauglichen Auslegung des Auskunftsanspruchs zu gelangen.

Mit welchen Maßnahmen arbeitet die Deutsche Lufthansa AG, um das Auskunftsrecht der Kunden zu erfüllen?

Gut auffindbare Kontaktinformationen für die Wahrnehmung der Betroffenenrechte, zentraler Posteingang, strukturierter Prozess der Zusammenstellung aller erforderlichen Informationen. Prinzip der Erst- und Zweitauskunft.

Datenschutzprozesse müssen dafür sorgen, dass der Umfang einer Auskunft immer an die tatsächliche Situation der Verarbeitung angepasst wird. Von der Dokumentation im Verarbeitungsverzeichnis, die Fortschreibung der Informationen zur Datenverarbeitung für Betroffene,  über die Erweiterung des Auskunftsprozesses bis hin zur Anpassung der Inhalte einer Auskunft bedarf es durchgängiger Prozesse, die dafür sorgen, dass die Auskunftsfähigkeit, ebenso wie die Fähigkeit der Erfüllung aller weiteren Betroffenenrechte erhalten bleibt.

Verraten Sie uns: Nutzen Sie die „Corona-App“ der Bunderegierung?

Ja, das tue ich aus voller Überzeugung, denn die Corona-Warn-App der Bundesregierung ist nach dem Grundsatz „Data Protection by Design“ gestaltet worden und damit ein gutes Beispiel, dass so etwas gelingen kann. Ich habe den Einsatz der App der Bundesregierung auch konzern-intern befürwortet, damit möglichst viele Mitarbeiter sich dafür entscheiden, die App zu nutzen. Solche Tools können die Eindämmung der Pandemie unterstützen. Wir lernen jetzt damit umzugehen und die Entwickler gewinnen Erkenntnisse für die Verbesserung.

Dr. Barbara Kirchberg-Lennartz ist seit Anfang 2008 verantwortlich für den Datenschutz im Lufthansa-Konzern und als betriebliche Datenschutzbeauftragte für insgesamt 35 Konzerngesellschaften bestellt. Nach Studium und Promotion im Bereich der Betriebswirtschaft wählte Sie ihren beruflichen Einstieg bei der Deutschen Lufthansa AG. Ihre Entwicklung im Lufthansa-Konzern umfasst die Bereiche Interne Revision, Controlling, IT-Vertrieb, -Produktion und -Beratung sowie HR-Management. Sie sammelte Wissen und Erfahrungen in der Luftfahrt und der IT-Branche in leitenden Stabs-, Projekt- und Management-Funktionen.