DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?

Unser Datenschutz-Beauftragter zeigt anhand eines aktuellen Beispiels, welche Punkte Sie beachten müssen. [...]

Ein Ex-Mitarbeiter schickt eine DS-Anfrage. Was ist zu tun? (c) CW
Ein Ex-Mitarbeiter schickt eine DS-Anfrage. Was ist zu tun? (c) CW

Die DSGVO ist noch keine Woche in Kraft, schon werden die ersten Auskunfts-Begehren Betroffener gestellt. Und das nicht in Form einer schlichten Anfrage, sondern als pointierte, mit Spitzfindigkeiten gespickte Sammlung an geschachtelten Fragestellungen, welche den Einfluss eines Rechtsberaters vermuten lassen.

Das Auskunftsbegehren in diesem konkreten Beispiel wurde per Mail an eine Mitarbeiterin des Unternehmens gestellt, also weder an den Datenschutzbeauftragten (den es gibt und dessen Kontaktdaten nachweislich auf der Website veröffentlicht sind) noch an den Verantwortlichen.

Lese-Hinweis: Videoüberwachung – wer darf das und wie?

Die Überschrift lautet: „Auskunft gemäß DSGVO (Art 4, 11, 12, 15, 20, 26, 28, 44-46) und DSG ( §§ 12, 13)“.
Es geht weiter mit …
„Ich ersuche Sie unter Hinweis auf Art 12, 15, 26 DSGVO, sowie allen weiteren anwendbaren datenschutzrechtlichen Bestimmungen, um Beantwortung der folgenden Fragen:

1. Welcher Art sind die Daten, die Sie über mich speichern?
2. Welchen Inhalt haben diese Daten, woher stammen sie, wozu werden sie verwendet, an wen wurden sie übermittelt bzw. werden sie noch übermittelt?
3. Zu welchem Zweck werden die Datenanwendungen betrieben?
4. Wer ist bei Ihnen die zuständige Aufsichtsbehörde?
5. Wie lange speichern Sie meine personenbezogenen Daten? Falls keine Zeitangaben vorgesehen sind, welche Kriterien haben Sie für die Dauer festgelegt?
6. Aufgrund welcher Vertrags- bzw. Rechtsgrundlage werden die Daten verwendet?
7. Welche Daten werden im Rahmen des internationalen Datenverkehrs auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission verarbeitet?
8. Welche Daten werden im Zuge der automatisierten Entscheidungsfindung einschließlich Profiling verarbeitet?“
9. Befinden sich Daten in anderen Dateien, die jedoch über Schlüssel-, Such- und Referenzbegriffe mit meinen personenbezogenen Daten direkt oder indirekt verknüpft werden können (Art 4 DSGVO)?
10. Werden die Daten gemäß Art 28 DSGVO verarbeitet, werden zusätzliche Angabe von Name und Anschrift Ihres Auftragsverarbeiters gefordert.
11. Werden Verarbeitungen mit pseudonymisierten Daten oder sonstigen Datenverarbeitungen ohne Personenidentifizierung (Art 11 DSGVO)? Wenn ja, welche?

Nachweis der Identität:

„… möchte ich Sie darauf hinweisen, dass Sie Ihre Auskunft mit „RSa“ oder „eingeschrieben, eigenhändig mit Rückschein“ zustellen lassen können. Die Post überprüft dann die Identität. Weitere Zweifel an der Identität können nicht bestehen, da nur bei identen Namen/Adresse Daten feststellbar sind.“

Vom Betroffenen werden im Mail noch einige Belehrungen angeführt, z.B. zu den einzuhaltenden Fristen. Diese werden im Folgenden nicht weiter kommentiert.

Hintergrund-Information

Die Überprüfung des Antragstellers ergibt, dass es sich um einen ehemaligen Mitarbeiter handelt, der im Unfrieden aus der Firma ausgeschieden ist.

Bewertung der Datenschutzbeauftragten

Fragestellungen des Betroffenen:
Schon die Überschrift verrät, dass bei der Formulierung des Begehrens ein Rechtskundiger am Werk war, denn:
• Art. 4 enthält nur Begriffsbestimmungen, aber keine Hinweise auf das Recht auf Auskunft.
• Art. 11 enthält keine Formulierungen, die einen direkten Bezug zum Auskunftsrecht haben.
• Art. 26 bezieht sich auf den Spezialfall, dass es mehrere Verantwortliche gibt.
• Art. 44-46 beziehen sich auf die Datenübermittlung, gelangen also nur dann zur Anwendung, wenn eine solche vorliegt.

Die Frage 1) „Welcher Art sind die Daten“ ist allerdings nicht präzise formuliert, da die „Art der Daten“ in der DSGVO nicht vorkommt. Vermutlich sollte die Frage lauten „Welche Kategorien von Daten verarbeiten Sie?“.

Die Frage 2) „Welchen Inhalt haben diese Daten, woher stammen sie, wozu werden sie verwendet, an wen wurden sie übermittelt bzw. werden sie noch übermittelt?“ besteht eigentlich aus 5 Fragen, die da lauten:
• Welchen Inhalt haben diese Daten?
• Woher stammen sie?
• Wozu werden sie verwendet?
• An wen wurden sie übermittelt bzw.
• werden sie noch übermittelt?

Die im Auskunftsbegehren formulierten elf Fragen müssen daher in Einzelfragen zerlegt werden, auf diese Weise entstehen in Summe 16 Fragen.

Interpretiert man den Art 15 (Auskunftsrecht der betroffenen Person) punktgenau, so werden Antworten zu lediglich 9 Punkten gefordert:
• Absatz (1) lit a)- h) das sind also 8 Punkte
• Absatz (2) Drittland

Die Absätze (3) und (4) enthalten weiter Bestimmungen, diese haben jedoch auf die Fragebeantwortung keinen Einfluss.

Nachweis der Identität:

Abgesehen von der grammatikalisch nicht korrekten Formulierung des Betroffenen, irrt der Betroffene. Ein RSa-Brief garantiert nur, dass der Brief-Empfänger dem Adressat entspricht. Er ist keine Garantie dafür, dass der Absender des Auskunftsbegehrens tatsächlich der Betroffene ist.

Deshalb ist es jedenfalls erforderlich, dass in Fällen, in denen es begründete Zweifel an der Identität des Antragstellers (z.B. telefonische Anfrage oder über eine Phantasie-Mailadresse) gibt, der Antragsteller aufgefordert wird zusätzliche Informationen, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (z.B. Ausweiskopie) zur Verfügung zu stellen.

Schlussfolgerungen:

1. Es sind nur die o.a. neun Fragen aus Art. 15, Absatz (1) und (2) zu beauskunften und zwar nur dann, wenn die Identität des Betroffenen mittels Ausweiskopie, Meldezettel etc. nachgewiesen wird.
2. Die Identität eines Antragstellers ist ggf. nachzuweisen. RSa-Briefe garantieren nur, dass Briefe tatsächlich beim Empfänger ankommen.

 

*) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.at

Die bisherigen Folgen:

(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?

Werbung

Mehr Artikel

41 Prozent der Österreicher würden laut A.T. Kearney ihre Finanzdaten mit einem Drittanbieter teilen. (c) pixabay
News

Open Banking: Wie Banken das Leben der Österreicher organisieren (wollen)

„Open Banking“, also die Öffnung von Finanzdaten für Drittanbieter, verunsichert Verbraucher, bietet aber der angeschlagenen Finanzbranche völlig neue Möglichkeiten. Laut der „Open Banking Konsumentenstudie“ der Unternehmensberatung A.T. Kearney kann eine Bank zur Lifestyle-Plattform werden, die alle finanziellen Aspekte des Lebens organisiert, von der Wahl des Stromanbieters bis zur Versicherung. […]

Viele Unternehmen bleiben trotz neuer Bedrohungen bei ihrer traditionellen Security-Lösung. (c) pixabay
Kommentar

Endpunktsicherheit: 10 Anzeichen für notwendige Veränderungen

Die nächste Generation von Lösungen zum Schutz der Endpunkte (EPP) vor codebasierten Angriffen ist bereits seit einigen Jahren auf dem Markt. Trotzdem bleiben viele Unternehmen bei ihrer traditionellen Lösung. Dabei wird vielfach davon ausgegangen, dass traditionelle Lösungen ausreichend sicher sind. Rob Collins von Cylance hat für uns zehn Anzeichen zusammengestellt, die signalisieren: Es ist an der Zeit etwas zu tun.
[…]

Der World Quality Report wird seit 2009 jährlich aufgelegt. Für die diesjährige Ausgabe wurden 1.700 CIOs und Senior Technology Professionals aus zehn Wirtschaftszweigen in 32 Ländern befragt.
News

Capgemini-Report: KI erfordert zusätzliche Fachkompetenzen

In der zehnten Ausgabe des World Quality Reports (WQR) orten 1.700 CIOs in 32 Ländern umfangreiche Qualifikationsdefizite bei KI-Fachleuten. Zudem erwartet, dass die Konvergenz von KI, maschinellem Lernen und Analytik sowie der gebündelte Einsatz im Bereich intelligenter Automatisierung zur stärksten disruptiven Kraft wird, um die Transformation in der Qualitätssicherung und Testing in den nächsten zwei bis drei Jahren weiter voranzutreiben. […]

IT-Experten von Thycotic raten zu minimaler Rechtevergabe und besseren Passwortschutz. (c) pixabay
News

Windows 8 und 10 für Unternehmen unsicher

Selbst die neuesten Betriebssysteme Windows 8 und Windows 10 sind für Hacker leicht zu kompromittieren – und Unternehmen bislang nur unzureichend auf den Tag X vorbereitet. Zu diesem Schluss kommt der aktuelle „2018 Black Hat Hacker Survey“ des Privilege-Account-Management-Spezialisten Thycotic. […]

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


This site uses Akismet to reduce spam. Learn how your comment data is processed.