„Das darf ich Ihnen aus Datenschutzgründen nicht sagen“

Fachbeitrag

Auch wenn Datenschutz in der Öffentlichkeit – gerade durch die Datenschutz-Grundverordnung – immer mehr an Bedeutung gewinnt und Umsetzung sowie Praktikabilität der Regelungen teils kontrovers diskutiert werden, scheint es sich dennoch noch immer nicht überall herum gesprochen zu haben, was genau dieser Datenschutz eigentlich schützt.

Der Hintergrund dieses Beitrages

Immer wieder kommt es zu Situationen wie sie vor einiger Zeit auch einer unserer Beraterinnen passiert ist. Sie musste privat den Mietservice ihrer Wohnungsverwaltung anrufen, da es zu einem Ausfall von Heizung und Warmwasser gekommen war.

Nachdem auch drei Stunden nach dem ersten Anruf noch keine Handwerker zur Terminabsprache angerufen hatten, rief die Beraterin erneut bei dem Mietservice an, um die Telefonnummer der Information des beauftragten Sanitärunternehmens, der 24/7 Sanitär GmbH, zu erfragen, um so direkt einen Termin zu vereinbaren. Doch die Auskunft über die Nummer wurde – im Gegensatz zur kompletten Anschrift der Firma – mit den Worten

 „Das darf ich Ihnen aus Datenschutzgründen nicht sagen!“

verweigert.

Wen oder was schützt der Datenschutz?

Diese eher unqualifizierte Aussage offenbart das fehlende Verständnis darüber, wen oder was der Datenschutz eigentlich schützt. Vielen Menschen ist leider nicht mit Ausführungen zum sachlichen und räumlichen Anwendungsbereich der DSGVO geholfen. Daher soll an dieser Stelle noch einmal zusammengefasst werden, was genau das Datenschutzrecht schützt:

  1. Durch das Datenschutzrecht (insbesondere die DSGVO) werden natürliche Personen (Menschen) geschützt, nicht aber juristische Personen (GmbH, AG, Vereine), Art. 1 Abs. 1, Art. 4 Nr. 1 DSGVO.
  2. Das Datenschutzrecht gilt grundsätzlich nur für die Verarbeitung personenbezogener Daten durch nicht öffentliche Stellen, sowie für öffentliche Stellen des Bundes und eingeschränkt auch für öffentliche Stellen der Länder. Für natürliche Personen gilt die DSGVO nicht, wenn sie ausschließlich persönliche oder familiäre Tätigkeiten ausüben (z. B. das persönliche Facebook-Profil, einer Person die nicht in der Öffentlichkeit steht).
  3. Es gibt keine unwichtigen Daten (auch nicht, wenn Sie im Telefonbuch oder im Internet veröffentlicht sind), sondern nur schützenswerte Daten (= personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO) und besonders schützenswerte Daten (= besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO).
  4. Geschützt sind nicht nur automatisierte (also elektronische) Datenverarbeitungen, sondern auch Daten, die nichtautomatisiert verarbeitet werden, bei Speicherung in einem Dateisystem nach Art. 4 Nr. 6 DSGVO (z.B. bei Personalakten in Papierform). Hierbei reicht bereits die Absicht aus, dass personenbezogene Daten später in ein solches Dateisystem aufgenommen werden sollen.

Demzufolge fallen die Kontaktdaten von Firmen inkl. nichtpersonalisierter Rufnummer (Durchwahl -0) nicht unter den Schutz des Datenschutzrechts. Etwas anderes gilt wiederum für E-Mail-Adressen und Telefonnummern (auch Durchwahlen), die einer ganz bestimmten (natürlichen) Person zugeordnet sind. Daher hätte der Mietservice der Beraterin eine Auskunft, über die Durchwahl -0 der Information der beauftragten 24/7 Sanitär GmbH, nicht aber über die Durchwahl eines Mitarbeiters, erteilen dürfen.

Die Unsicherheit ist groß

Der geschilderte Sachverhalt ist ein recht banales Beispiel dafür, dass die Unsicherheit in Bezug auf das Thema Datenschutz recht groß ist. Oftmals wissen weder die betroffenen Personen, welche Rechte sie eigentlich haben, noch wissen viele Verantwortliche, was sie mit den personenbezogenen Daten dürfen und was eben nicht.

Das Thema Datenschutz führt oftmals dazu, dass an manchen Stellen gar keine Auskünfte mehr erteilt werden. Eben dies ist einer der Gründe weshalb der Datenschutz als überflüssig und unpraktikabel empfunden wird.

Dem kann nur durch Schulungen und Aufklärungsarbeit entgegen gewirkt werden. Diese Pflicht obliegt nach Art. 39 Abs. 1 lit. b) DSGVO dem Datenschutzbeauftragten. Gut also, wenn Sie einen haben…

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

10 Kommentare zu diesem Beitrag

  1. Ein Spezialfall ist hier sicherlich angedeutet: Einzelunternehmer oder GbR, also Unternehmen, die zwar eine Firma (im Fall der GbR) haben können, aber keine juristischen Personen sind. Insbesondere wenn die Einzelunternehmer keine gesonderte Nummer für ihre gewerbliche Tätigkeit haben, mag man den sachlichen Anwendungsbereich durchaus für eröffnet halten.

    Punkt 2 dürfte übersehen, dass zwar dann auf Empfängerseite keine relevante Verarbeitungshandlung stattfindet, hingegen aber die Weitergabe seitens des Unternehmens gleichwohl eine Verarbeitung darstellt, die einer Erlaubnis bedarf – denn diese wird ja durch jemanden durchgeführt, der der DSGVO unterfällt.

  2. Aber mal ehrlich – auch die Durchwahlnummer des Handwerkers ist doch total unkritisch. Welche Risiken hätte die Herausgabe für die informationelle Selbstbestimmung des Handwerkers? Würde er in seinem Leben beeinträchtigt? Würde er von bestimmten Diensten oder Angeboten ausgeschlossen? Würde er benachteiligt? Wird seine Würde angetastet?
    Wenn er belästigt würde, teilt man ihm einfach eine neue Durchwahl zu.
    Bitte mal die Kirche im Dorf lassen.

  3. Die Aussage ist bezüglich der Durchwahl eines Mitarbeiters nur bedingt korrekt, weil diese Telefonnummer nämlich auf eine natürliche Person Bezug nimmt, insoweit greift hier auch der Datenschutz.

  4. So einfach ist es dann wohl doch nicht: Beim Einzelkaufmann oder der Ein-Mann-GmbH besteht rechtliche Identität zwischen der natürlichen und der juristischen Person, so dass eine Trennung in gewerbliche und personenbezogene Daten nicht stattfinden kann und die Datenschutzgesetze vollumfänglich anwendbar sind. Es kommt also darauf an, was das für ein Handwerker war.

  5. Dem Kommentar von jopo ist vollumfänglich zuzustimmen.
    Es ist in diesem Fall unerheblich, welche Rechtsform die 24/7 Sanitär GmbH hat, da die Grundlage der Verarbeitung Art. 6 I b) DSGVO (Vertragliche Grundlage) ist und darüber hinaus auch Art. 6 I f) DSGVO (Berechtigtes Interesse) herangezogen werden kann.
    Somit kann sogar die konkrete Dienst-Telefonnummer des Mitarbeiters problemlos herausgegeben werde. Die vertragliche Erfüllung ergibt sich hier sicher aus dem Dienstleistungsvertrag zwischen der 24/7 Sanitär und der/den Hauseigentümern. Ebenfalls kann sich eine vertragliche Pflicht aus dem Arbeitsvertrag des Mitarbeiters ableiten lassen, da dieser zur Erfüllung seiner arbeitsvertraglichen Pflichten natürlich telefonisch erreichbar sein muss, um im Auftrag seines Arbeitgebers handlungsfähig zu sein.
    Ein berechtigtes Interesse hat zum einen der Kunde, welche möchte, dass seine Heizung wieder funktioniert, zum anderen aber auch die 24/7 Sanitär, die ein Interesse gegenüber ihrem Arbeitnehmer hat, dass dieser den Serviceansprüchen gerecht werden kann und diese erfüllen kann. Stellt man das Interesse des Mitarbeiters gegenüber, lassen sich hier keine Argumente finden, warum eine dienstliche Telefonnummer nicht herausgegeben werden darf. Die Herausgabe ist somit sogar notwendig.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.