DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?

Unser Datenschutz-Beauftragter zeigt anhand eines aktuellen Beispiels, welche Punkte Sie beachten müssen. [...]

Ein Ex-Mitarbeiter schickt eine DS-Anfrage. Was ist zu tun? (c) CW
Ein Ex-Mitarbeiter schickt eine DS-Anfrage. Was ist zu tun? (c) CW

Die DSGVO ist noch keine Woche in Kraft, schon werden die ersten Auskunfts-Begehren Betroffener gestellt. Und das nicht in Form einer schlichten Anfrage, sondern als pointierte, mit Spitzfindigkeiten gespickte Sammlung an geschachtelten Fragestellungen, welche den Einfluss eines Rechtsberaters vermuten lassen.

Das Auskunftsbegehren in diesem konkreten Beispiel wurde per Mail an eine Mitarbeiterin des Unternehmens gestellt, also weder an den Datenschutzbeauftragten (den es gibt und dessen Kontaktdaten nachweislich auf der Website veröffentlicht sind) noch an den Verantwortlichen.

Lese-Hinweis: Videoüberwachung – wer darf das und wie?

Die Überschrift lautet: „Auskunft gemäß DSGVO (Art 4, 11, 12, 15, 20, 26, 28, 44-46) und DSG ( §§ 12, 13)“.
Es geht weiter mit …
„Ich ersuche Sie unter Hinweis auf Art 12, 15, 26 DSGVO, sowie allen weiteren anwendbaren datenschutzrechtlichen Bestimmungen, um Beantwortung der folgenden Fragen:

1. Welcher Art sind die Daten, die Sie über mich speichern?
2. Welchen Inhalt haben diese Daten, woher stammen sie, wozu werden sie verwendet, an wen wurden sie übermittelt bzw. werden sie noch übermittelt?
3. Zu welchem Zweck werden die Datenanwendungen betrieben?
4. Wer ist bei Ihnen die zuständige Aufsichtsbehörde?
5. Wie lange speichern Sie meine personenbezogenen Daten? Falls keine Zeitangaben vorgesehen sind, welche Kriterien haben Sie für die Dauer festgelegt?
6. Aufgrund welcher Vertrags- bzw. Rechtsgrundlage werden die Daten verwendet?
7. Welche Daten werden im Rahmen des internationalen Datenverkehrs auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission verarbeitet?
8. Welche Daten werden im Zuge der automatisierten Entscheidungsfindung einschließlich Profiling verarbeitet?“
9. Befinden sich Daten in anderen Dateien, die jedoch über Schlüssel-, Such- und Referenzbegriffe mit meinen personenbezogenen Daten direkt oder indirekt verknüpft werden können (Art 4 DSGVO)?
10. Werden die Daten gemäß Art 28 DSGVO verarbeitet, werden zusätzliche Angabe von Name und Anschrift Ihres Auftragsverarbeiters gefordert.
11. Werden Verarbeitungen mit pseudonymisierten Daten oder sonstigen Datenverarbeitungen ohne Personenidentifizierung (Art 11 DSGVO)? Wenn ja, welche?

Nachweis der Identität:

„… möchte ich Sie darauf hinweisen, dass Sie Ihre Auskunft mit „RSa“ oder „eingeschrieben, eigenhändig mit Rückschein“ zustellen lassen können. Die Post überprüft dann die Identität. Weitere Zweifel an der Identität können nicht bestehen, da nur bei identen Namen/Adresse Daten feststellbar sind.“

Vom Betroffenen werden im Mail noch einige Belehrungen angeführt, z.B. zu den einzuhaltenden Fristen. Diese werden im Folgenden nicht weiter kommentiert.

Hintergrund-Information

Die Überprüfung des Antragstellers ergibt, dass es sich um einen ehemaligen Mitarbeiter handelt, der im Unfrieden aus der Firma ausgeschieden ist.

Bewertung der Datenschutzbeauftragten

Fragestellungen des Betroffenen:
Schon die Überschrift verrät, dass bei der Formulierung des Begehrens ein Rechtskundiger am Werk war, denn:
• Art. 4 enthält nur Begriffsbestimmungen, aber keine Hinweise auf das Recht auf Auskunft.
• Art. 11 enthält keine Formulierungen, die einen direkten Bezug zum Auskunftsrecht haben.
• Art. 26 bezieht sich auf den Spezialfall, dass es mehrere Verantwortliche gibt.
• Art. 44-46 beziehen sich auf die Datenübermittlung, gelangen also nur dann zur Anwendung, wenn eine solche vorliegt.

Die Frage 1) „Welcher Art sind die Daten“ ist allerdings nicht präzise formuliert, da die „Art der Daten“ in der DSGVO nicht vorkommt. Vermutlich sollte die Frage lauten „Welche Kategorien von Daten verarbeiten Sie?“.

Die Frage 2) „Welchen Inhalt haben diese Daten, woher stammen sie, wozu werden sie verwendet, an wen wurden sie übermittelt bzw. werden sie noch übermittelt?“ besteht eigentlich aus 5 Fragen, die da lauten:
• Welchen Inhalt haben diese Daten?
• Woher stammen sie?
• Wozu werden sie verwendet?
• An wen wurden sie übermittelt bzw.
• werden sie noch übermittelt?

Die im Auskunftsbegehren formulierten elf Fragen müssen daher in Einzelfragen zerlegt werden, auf diese Weise entstehen in Summe 16 Fragen.

Interpretiert man den Art 15 (Auskunftsrecht der betroffenen Person) punktgenau, so werden Antworten zu lediglich 9 Punkten gefordert:
• Absatz (1) lit a)- h) das sind also 8 Punkte
• Absatz (2) Drittland

Die Absätze (3) und (4) enthalten weiter Bestimmungen, diese haben jedoch auf die Fragebeantwortung keinen Einfluss.

Nachweis der Identität:

Abgesehen von der grammatikalisch nicht korrekten Formulierung des Betroffenen, irrt der Betroffene. Ein RSa-Brief garantiert nur, dass der Brief-Empfänger dem Adressat entspricht. Er ist keine Garantie dafür, dass der Absender des Auskunftsbegehrens tatsächlich der Betroffene ist.

Deshalb ist es jedenfalls erforderlich, dass in Fällen, in denen es begründete Zweifel an der Identität des Antragstellers (z.B. telefonische Anfrage oder über eine Phantasie-Mailadresse) gibt, der Antragsteller aufgefordert wird zusätzliche Informationen, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (z.B. Ausweiskopie) zur Verfügung zu stellen.

Schlussfolgerungen:

1. Es sind nur die o.a. neun Fragen aus Art. 15, Absatz (1) und (2) zu beauskunften und zwar nur dann, wenn die Identität des Betroffenen mittels Ausweiskopie, Meldezettel etc. nachgewiesen wird.
2. Die Identität eines Antragstellers ist ggf. nachzuweisen. RSa-Briefe garantieren nur, dass Briefe tatsächlich beim Empfänger ankommen.

 

*) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.at

Die bisherigen Folgen:

(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*