rating service  security service privacy service
Besteht gemäß DSGVO Auskunftsrecht bei Google Diensten?
DSGVO Art 5, 11, 15
Sonderregelung für Identifizierung der betroffenen Person - Entfall des Auskunftsrechts im besonderen Fall - Löschungspflicht der Identifizierungsdaten - Keine Verwirkung der Betroffenenrecht, insbesondere Auskunftsrecht bei pseudonymisierten Daten

Nach dem DSG 2000 musste nur Auskunft bei identifizierten Datenverarbeitungen, etwa bei einem Bankkonto, einem Kundenkonto, einem Patientenakt oder aus der Wählerevidenz, gegeben werden. Mit der DSGVO (ab 25.5.2018) MUSS auch bei sonstigen personenbezogenen Verarbeitungen Auskunft gegeben werden, wenn der Betroffene ausreichend mitwirkt und auf Grund der Mitwirkung bestimmt werden kann.


Variante A: Google-Suche mit bestehendem Google-Konto

Grundsätzlich hat jeder Internetnutzer die Möglichkeit Google Produkte und Dienste zu nutzen. Für eine identifizierte Google-Nutzung muss ein Google-Konto existieren. Für die Registrierung eines Google-Accounts sind folgende personenbezogene Daten erforderlich: Name, Geburtsdatum, Geschlecht, E-Mail, Telefonnummer und Passwort. Auf diese Weise werden die Daten des Betroffenen identifizierbar verarbeitet. Folglich ist eine pseudonymisierte Datenverarbeitung ausgeschlossen.

Das Recht auf Auskunft hat im Datenschutzbereich eine wesentliche Bedeutung. Die Bestimmungen der DSGVO legen genau fest, in welcher Art und Weise einer betroffenen Person Auskunft erteilt wird.

Die grundsätzlichen Voraussetzungen für das Auskunftsbegehren und die Auskunftserteilung sind im Art 12 und Art 15 DSGVO geregelt. Gemäß Art 15 DSGVO erhält der Betroffene in erster Linie Auskunft über die laufenden Verarbeitungen von personenbezogenen Daten und die Zwecke für die Datenverarbeitung. Der Verantwortliche hat gemäß Art 12 DSGVO zu gewährleisten, dass die Auskunft grundsätzlich schriftlich, fristgerecht und kostenlos erfolgt.

Infolge dieser Bestimmungen hat ein Google-Kontoinhaber als Betroffener einen Auskunftsrechtsanspruch. Weiters hat Google als Verantwortlicher alle Anforderungen der DSGVO einzuhalten. Vor allem darf er die Betroffenenrechte gemäß Art 15 bis 20 DSGVO seiner Kontoinhaber nicht verletzen. Damit verpflichtet ein Auskunftsansuchen eines Google-Kontonutzers den Verantwortlichen zur Verschaffung von Informationen.


Variante B: Google-Suche ohne Google Konto (pseudonymisierte Suche)

Der Zugang zum Internet wird zwar per IP-Adressen hergestellt, Google verwendet jedoch eine Reihe weiterer Tracking-Methoden, um seine Nutzer eindeutig zu bestimmen, den Ort des Nutzers zu ermitteln, sein Verhalten über eine längere Zeit zu verfolgen, etc.

Neben der IP-Adresse bedient sich Google auch an Computereinstellungen und Cookies, um personenbezogene Informationen zu protokollieren. Diese Art von Internetnutzung erfolgt in der Regel auf Basis pseudonymisierter Datenverarbeitung, da primär die IP-Adresse, die Interneteinstellung, die Cookies und keine anderen Identifizierungsmerkmale des Nutzers in Betracht kommen. Selbst wenn der Benutzer Standort oder IP-Adresse wechselt, seine Cookies löscht oder seinen Brwser wechselt, kann der Benutzer noch immer identifiziert werden (getrackt werden). Nur wer alles ändert, hat die Chance als "neuer" Benutzer bei Google aufzuscheinen.


Speicherung der Identifizierungsdaten entfällt

Gemäß Art 11 Abs 1 DSGVO sind 'Verarbeitungen, in denen eine Identifizierung der Betroffenen nicht oder nicht mehr erforderlich ist', besonders geregelt. Auf Grundlage dieser Sonderbestimmung sind Verantwortliche nicht verpflichtet die Identifizierungsdaten der Betroffenen, 'zur bloßen Einhaltung der Vorschriften der DSGVO', aufrechtzuhalten. Zum Beispiel bei der Pseudonymisierung, d.h. ein Name oder ein anderes Identifikationsmerkmal wird durch ein Kennzeichen ersetzt wird. Dadurch wird die Identifizierung der betroffenen Personen ausgeschlossen oder wesentlich erschwert. So müssen die Betroffenenrechte gemäß Art 15 bis 20 DSGVO nicht eingehalten werden.

Angesichts dieser Punkte darf Google pseudonymisierte Datenverarbeitung gemäß Art 11 Abs. 1 DSGVO vornehmen. Alle Google-Konto Inhaber verlieren dadurch grundsätzlich Ihre Betroffenenrechte, insbesondere das Auskunftsrecht.


Wahrnehmung der Betroffenenrechte, insbesondere Auskunftsrecht

Der Einzelne kann jedoch seine Betroffenenrechte gemäß Art 15 bis 20 DSGVO sichern, indem er weitere personenbezogene Daten zur Verfügung stellt, um seine Identität offen zu legen. Die Sonderregelung des Art 11 Abs 2 DSGVO ermöglicht somit ein Recht auf Auskunft gemäß Art 15 DSGVO.

Gemäß Art 11 Abs 2 können auch Google-Nutzer, bei einfacher Internetnutzung (ohne Google-Account), Ihre Betroffenenrechte in Anspruch nehmen. Durch die Angabe weiterer personenbezogenen Daten, z.B. den Namen, ist die pseudonymisierte Datenverarbeitung ausgeschlossen. Die Identifizierung des Google-Nutzers ist dadurch erfüllt.


Das Gebot der Zweckbindung

Bei der Datenverarbeitung muss gemäß Art 5 Abs 1 lit e DSGVO geprüft werden, ob eine Identifizierung der betroffenen Person für die Verarbeitungszwecke notwendig ist. Diese Prüfpflicht sieht vor, dass Daten nur so lange gespeichert werden dürfen, wie es für die Verarbeitungszwecke erforderlich ist.

Google ist grundsätzlich berechtigt/verpflichtet die Identifizierungsdaten zu speichern, solange die Identifizierbarkeit seiner Kunden für die Verarbeitungszwecke erforderlich ist. Beispielsweise muss Google als Verantwortlicher die Datenschutzbestimmungen der DSGVO einhalten, wenn ein Betroffener das Google-Konto besitzt.


Löschung der Identifizierungsdaten

Um das Gebot der Datenminimierung gemäß Art 5 Abs 1 lit c DSGVO und der Speicherbegrenzung des Art 5 Abs 1 lit e DSGVO zu erfüllen, ist auch an eine konkrete Verpflichtung zur Löschung der Identifizierungsdaten zu denken.

Wenn ein ehemaliger Google-Kontoinhaber seinen Account unwiderruflich löscht, dann erfolgt in der Regel die zukünftige Nutzung von einfachen Google Diensten nur anhand der IP-Adresse (und sonstigen Tracking-Daten) in Form der pseudonymisierten Datenverarbeitung. So darf Google keine personenbezogene Datenverarbeitung in identifizierender Weise vornehmen.


Nachweis der Nichtidentifizierbarkeit

Wenn festgestellt wurde, dass eine Identifizierung des Betroffenen nicht notwendig ist, so hat der Verantwortliche die betroffene Person über die Nichtidentifizierbarkeit zu dokumentieren und zu unterrichten.

Die Pflicht zur Verständigung wäre erfüllt, wenn Google beispielsweise über eine eMail Adresse oder eine Kontaktnummer verfügt, ohne dabei eine genauere Identifizierung des Betroffenen durchzuführen.


Auskunftsanspruch gilt auch für andere pseudonymisierte Verarbeitungen

Selbstverständlich besteht dieser Auskunftsanspruch auch gegenüber jedem anderen Verarbeiter der pseudonyme Verarbeitungen vornimmt.

Beispiele für pseudonyme Verarbeitungen sind CRM-Systeme, die statt den Kundennamen die Kundennummer verwenden, klinische Studien die Patientenkennungen statt Namen verwenden oder auch Log-Dateien von Webservern, die IP-Adressen und Gerätekennungen aufzeichnen.

mehr --> Auskunftsrecht nach der Datenschutz-Grundverordnung (DSGVO)
mehr --> EuGH-Urteil zu Suchmaschinen - Löschungsmuster der ARGE DATEN
mehr --> Auskunftsrecht nach der Datenschutz-Grundverordnung (DSGVO)
mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
mehr --> Intensivseminar: DSGVO und DSAG 2018 - 22., 23. und 24. Jänner 2018

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018webmaster