DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?

Unser Datenschutz-Beauftragter zeigt anhand eines aktuellen Beispiels, welche Punkte Sie beachten müssen. [...]

Ein Ex-Mitarbeiter schickt eine DS-Anfrage. Was ist zu tun? (c) CW
Ein Ex-Mitarbeiter schickt eine DS-Anfrage. Was ist zu tun? (c) CW

Die DSGVO ist noch keine Woche in Kraft, schon werden die ersten Auskunfts-Begehren Betroffener gestellt. Und das nicht in Form einer schlichten Anfrage, sondern als pointierte, mit Spitzfindigkeiten gespickte Sammlung an geschachtelten Fragestellungen, welche den Einfluss eines Rechtsberaters vermuten lassen.

Das Auskunftsbegehren in diesem konkreten Beispiel wurde per Mail an eine Mitarbeiterin des Unternehmens gestellt, also weder an den Datenschutzbeauftragten (den es gibt und dessen Kontaktdaten nachweislich auf der Website veröffentlicht sind) noch an den Verantwortlichen.

Lese-Hinweis: Videoüberwachung – wer darf das und wie?

Die Überschrift lautet: „Auskunft gemäß DSGVO (Art 4, 11, 12, 15, 20, 26, 28, 44-46) und DSG ( §§ 12, 13)“.
Es geht weiter mit …
„Ich ersuche Sie unter Hinweis auf Art 12, 15, 26 DSGVO, sowie allen weiteren anwendbaren datenschutzrechtlichen Bestimmungen, um Beantwortung der folgenden Fragen:

1. Welcher Art sind die Daten, die Sie über mich speichern?
2. Welchen Inhalt haben diese Daten, woher stammen sie, wozu werden sie verwendet, an wen wurden sie übermittelt bzw. werden sie noch übermittelt?
3. Zu welchem Zweck werden die Datenanwendungen betrieben?
4. Wer ist bei Ihnen die zuständige Aufsichtsbehörde?
5. Wie lange speichern Sie meine personenbezogenen Daten? Falls keine Zeitangaben vorgesehen sind, welche Kriterien haben Sie für die Dauer festgelegt?
6. Aufgrund welcher Vertrags- bzw. Rechtsgrundlage werden die Daten verwendet?
7. Welche Daten werden im Rahmen des internationalen Datenverkehrs auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission verarbeitet?
8. Welche Daten werden im Zuge der automatisierten Entscheidungsfindung einschließlich Profiling verarbeitet?“
9. Befinden sich Daten in anderen Dateien, die jedoch über Schlüssel-, Such- und Referenzbegriffe mit meinen personenbezogenen Daten direkt oder indirekt verknüpft werden können (Art 4 DSGVO)?
10. Werden die Daten gemäß Art 28 DSGVO verarbeitet, werden zusätzliche Angabe von Name und Anschrift Ihres Auftragsverarbeiters gefordert.
11. Werden Verarbeitungen mit pseudonymisierten Daten oder sonstigen Datenverarbeitungen ohne Personenidentifizierung (Art 11 DSGVO)? Wenn ja, welche?

Nachweis der Identität:

„… möchte ich Sie darauf hinweisen, dass Sie Ihre Auskunft mit „RSa“ oder „eingeschrieben, eigenhändig mit Rückschein“ zustellen lassen können. Die Post überprüft dann die Identität. Weitere Zweifel an der Identität können nicht bestehen, da nur bei identen Namen/Adresse Daten feststellbar sind.“

Vom Betroffenen werden im Mail noch einige Belehrungen angeführt, z.B. zu den einzuhaltenden Fristen. Diese werden im Folgenden nicht weiter kommentiert.

Hintergrund-Information

Die Überprüfung des Antragstellers ergibt, dass es sich um einen ehemaligen Mitarbeiter handelt, der im Unfrieden aus der Firma ausgeschieden ist.

Bewertung der Datenschutzbeauftragten

Fragestellungen des Betroffenen:
Schon die Überschrift verrät, dass bei der Formulierung des Begehrens ein Rechtskundiger am Werk war, denn:
• Art. 4 enthält nur Begriffsbestimmungen, aber keine Hinweise auf das Recht auf Auskunft.
• Art. 11 enthält keine Formulierungen, die einen direkten Bezug zum Auskunftsrecht haben.
• Art. 26 bezieht sich auf den Spezialfall, dass es mehrere Verantwortliche gibt.
• Art. 44-46 beziehen sich auf die Datenübermittlung, gelangen also nur dann zur Anwendung, wenn eine solche vorliegt.

Die Frage 1) „Welcher Art sind die Daten“ ist allerdings nicht präzise formuliert, da die „Art der Daten“ in der DSGVO nicht vorkommt. Vermutlich sollte die Frage lauten „Welche Kategorien von Daten verarbeiten Sie?“.

Die Frage 2) „Welchen Inhalt haben diese Daten, woher stammen sie, wozu werden sie verwendet, an wen wurden sie übermittelt bzw. werden sie noch übermittelt?“ besteht eigentlich aus 5 Fragen, die da lauten:
• Welchen Inhalt haben diese Daten?
• Woher stammen sie?
• Wozu werden sie verwendet?
• An wen wurden sie übermittelt bzw.
• werden sie noch übermittelt?

Die im Auskunftsbegehren formulierten elf Fragen müssen daher in Einzelfragen zerlegt werden, auf diese Weise entstehen in Summe 16 Fragen.

Interpretiert man den Art 15 (Auskunftsrecht der betroffenen Person) punktgenau, so werden Antworten zu lediglich 9 Punkten gefordert:
• Absatz (1) lit a)- h) das sind also 8 Punkte
• Absatz (2) Drittland

Die Absätze (3) und (4) enthalten weiter Bestimmungen, diese haben jedoch auf die Fragebeantwortung keinen Einfluss.

Nachweis der Identität:

Abgesehen von der grammatikalisch nicht korrekten Formulierung des Betroffenen, irrt der Betroffene. Ein RSa-Brief garantiert nur, dass der Brief-Empfänger dem Adressat entspricht. Er ist keine Garantie dafür, dass der Absender des Auskunftsbegehrens tatsächlich der Betroffene ist.

Deshalb ist es jedenfalls erforderlich, dass in Fällen, in denen es begründete Zweifel an der Identität des Antragstellers (z.B. telefonische Anfrage oder über eine Phantasie-Mailadresse) gibt, der Antragsteller aufgefordert wird zusätzliche Informationen, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (z.B. Ausweiskopie) zur Verfügung zu stellen.

Schlussfolgerungen:

1. Es sind nur die o.a. neun Fragen aus Art. 15, Absatz (1) und (2) zu beauskunften und zwar nur dann, wenn die Identität des Betroffenen mittels Ausweiskopie, Meldezettel etc. nachgewiesen wird.
2. Die Identität eines Antragstellers ist ggf. nachzuweisen. RSa-Briefe garantieren nur, dass Briefe tatsächlich beim Empfänger ankommen.

 

*) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.at

Die bisherigen Folgen:

(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?

Werbung

Mehr Artikel

Laut NTT Security unterschätzen Unternehmen die Gefahr von Social-Engineering-Angriffen.
News

NTT Security hält menschliche Firewall für die Abwehr von Social-Engineering-Angriffen für unerlässlich

Nach Ansicht von NTT Security unterschätzen Unternehmen vielfach die Gefahr von Social-Engineering-Angriffen und sind hierauf unzureichend vorbereitet. Da die technischen Möglichkeiten bei den Abwehrmaßnahmen beschränkt sind, muss vor allem die „menschliche Firewall“ gut funktionieren. Adäquate Security-Awareness-Trainings sind deshalb unverzichtbar. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .