Grundsätzlich sind Auskunftsanfragen sowie Informationen gemäß Artikel 12 Abs. 5 DSGVO unentgeltlich zu erbringen. Nur für den Fall offenkundig unbegründeter oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder (a) ein angemessenes Entgelt verlangen […] oder (b) sich weigern aufgrund des Antrags tätig zu werden.
Darauf verweist die CRIF GmbH, selbst dann, wenn bei mangelhafter und unvollständiger Information und Auskunft nachgefragt und eine vollständige Auskunft gefordert wird. Darin sehen Betroffene oftmals einen Einschüchterungsversuch, was die CRIF GmbH hingegen als Hinweis verstanden wissen will.
Auskunfteien halten sich im Hintergrund. So ist es nicht verwunderlich, dass nur wenige mit dem Begriff etwas anfangen können oder gar über das Geschäftsmodell der Unternehmen Bescheid wissen und womit sie handeln. Und vor allem: Sie wissen nicht, welche Informationen dort über sie verarbeitet werden und wie sich das auf ihr tägliches Leben auswirken kann.
Viele Immobilienbesitzer klagen, dass Sie von einzelnen Immobilienmaklern immer wieder angeschrieben werden, gefragt werden, ob sie ihre Immobilie nicht verkaufen möchten. Hartnäckig betreiben das manche, trotz Mitteilungen, dass diese Anfragen unerwünscht sind. Das scheint viele der Makler nicht zu berühren. Es ist letztlich eine Art von Stalking. Sie ziehen die Adressen aus öffentlich zugänglichen Grundbucheinträgen und verschicken dann Massenpost. Ist das nach DSGVO zulässig? Kann man sich dagegen wehren?
Die EU Datenschutzgrundverordnung (DSGVO) verlangt von Verantwortlichen, Informationen nach Artikel 13 und 14 DSGVO und sämtliche Auskünfte nach Artikel 15 bis 22 und Artikel 32 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln
. Artikel 12 DSGVO Dabei steht im Vordergrund, dass jeder Betroffene auch ohne juristische, gar einschlägig juristische Fachkenntnis diese verstehen können soll – eine Grundvoraussetzung dafür, dass Betroffene ihre Interessen bezüglich der Verarbeitung ihrer personenbezogenen Daten wahrnehmen können. Das ist eine der bemerkenswertesten Errungenschaften der DSGVO, die allerdings Verantwortliche aber auch Behörden vor Herausforderungen stellt.
Der wirksamste Schutz vor Missbrauch persönlicher Daten ist, sorgsam und umsichtig mit den eigenen Daten und Informationen zur eigenen Person umzugehen. Eigenverantwortung kann nicht delegiert werden. Wer glaubt, es sei allein Aufgabe des Staates, durch Gesetze und Strafverfolgung die eigene Fahrlässigkeit im Umgang mit personenbezogenen Daten und Privatsphäre zu kompensieren, ist naiv. Zum einen kann er das so umfassend nicht leisten, sondern nur Rahmenbedingungen herstellen und zum anderen gilt es, sich auch vor dem Staat zu schützen. Denn niemand weiß, was die Zeit mit sich bringen wird.
Natürlich ist es ärgerlich, wenn man gehäuft auf Unternehmen, Freiberufler, Organisationen und Vereine trifft, die sich keinen Deut um den Datenschutz scheren, schon gar nicht um die EU Datenschutz Grundverordnung. Manche davon sind abgebrüht, andere naiv und wieder andere einfach nur dumm, die Trotzigen nicht zu vergessen.
Bei Verstößen gegen die Datenschutz-Grundverordnung drohen Verwaltungsstrafen durch die Aufsichtsbehörden nach Artikel 83 DSGVO, sodann Klagen im Zusammenhang mit Schadensersatzansprüchen nach Artikel 82 DSGVO und dann drohen auch Abmahnungen, betrieben von Abmahnkanzleien und - vereinen. Ein pragmatischer Blick ist gefordert. Panik hilft nicht weiter.
Die EU Datenschutz-Grundverordnung (DSGVO) nutzt neben Stand der Technik
(s. Was versteht die DSGVO unter „Stand der Technik”?
) einen weiteren Begriff im Zusammenhang mit der Sicherheit der Verarbeitung personenbezogener Daten: Belastbarkeit
. Was genau unter Belastbarkeit der Systeme und Dienste
zu verstehen ist, wird jedoch nicht geklärt, bleibt, wie die Formulierung Stand der Technik
, vielmehr unscharf.
Die Verpflichtung zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten, vulgo Verarbeitungsverzeichnisses findet sich in Artikel 30 DSGVO. Es dient zum Nachweis, dass Verantwortliche personenbezogene Daten rechtskonform verarbeiten und unterstützt die Unternehmensleitung, den Datenschutzbeauftragten aber auch die Aufsichtsbehörde bei der Erfüllung ihrer jeweiligen Aufgaben. Es gibt aber Ausnahmen.
Ein Begriff in der Datenschutz-Grundverordung (DSGVO) sorgt für besondere Unruhe: Stand der Technik
. Die DSGVO lässt offen, was der Gesetzgeber darunter versteht und auch nationale Datenschutzgesetze, wie beispielsweise das Österreichische DBS bieten ebenfalls keine Definition. Damit ist diese Vorgabe ein Herausforderung für alle Beteiligten, Aufsichtsbehörden, Verantwortliche und Auftragsverarbeiter.