Wie zuverlässig sind Auskünfte nach Artikel 15 DSGVO?
Woher wissen Betroffene, ob ihr Auskunftsersuchen nach Artikel 15 DSGVO von Verantwortlichen vollständig und zutreffend beantwortet wurde? Überwiegend erhält man auf ein Auskunftsersuchen eine Antwort. Nicht immer, aber in der Regel. Wenn eine Antwort gegeben wird, bleibt allerdings offen, ob diese Antwort so umfassend ist, wie es das Gesetz vorsieht. In manchen Fällen werden Informationen und Angaben vorenthalten, in anderen Fällen wissen die Verantwortliche oft selbst nicht, ob die Auskunft vollständig ist oder ob es nicht noch weitere personenbezogene Daten im eigenen Verantwortungsbereich gibt. Was kann man tun?
Betroffene haben in der Regel keinerlei Möglichkeiten, die Richtigkeit und Vollständigkeit der Auskunft zu überprüfen. Sofern sie keine begründeten Zweifel vorweisen können, wird die Aufsichtsbehörde nichts unternehmen, um ein Unternehmen, eine Organisation oder eine Behörde zu prüfen. Selbst wenn sie begründete Zweifel anmelden können, ist noch lange nicht gesagt, dass es zu einer aktiven Prüfung kommt. Gerade in Österreich ist die Datenschutzbehörde, was ihre Ressourcen anbelangt, heillos überfordert.
Pragmatisch betrachtet ist es sehr unwahrscheinlich, dass Verstöße gegen die DSGVO bekannt werden. Sofern Betroffenen zumindest minimale Auskünfte nach Artikel 15 erteilt werden und die Fristen dafür eingehalten werden, haben Verantwortliche in der Regel nichts zu befürchten. Nicht nur, weil es äußerst unwahrscheinlich ist, dass der Umgang mit personenbezogenen Daten bekannt wird, sondern auch weil in Österreich der Grundsatz gilt: verwarnen vor strafen. Warum also sollten Verantwortliche Ressourcen für eine datenschutzkonforme Verarbeitung aufwenden, sich bei der lukrativen Verarbeitung von personenbezogenen Daten einschränken? Ein Restrisiko: wenn Mitarbeiter*innen Missbrauch von personenbezogenen Daten anzeigen.
Es bleibt letztlich eine Frage der Vertrauenswürdigkeit eines Verantwortlichen.
Nicht jeder Verantwortliche ist auf das Wohlwollen Betroffener angewiesen, da er seine Geschäfte mit Dritten macht. Hier sorgt vor allem die Branche der Auskunfteien immer wieder für Aufsehen. Der Fall einer Auskunft seitens der CRIF GmbH sei beispielhaft angeführt.
In Beantwortung eines Auskunftsersuchen nach Artikel 15 DSGVO gab die CRIF GmbH an, ausschließlich folgende personenbezogene Daten zu verarbeiten:
- Name, Geburtsdatum, Straße, PLZ, Ort zur Person und
- Name des Unternehmens, Gründungsjahr d. Unternehmens, Beziehung (Inhaberschaft) und Adresse bezogen auf die unternehmerischen Funktionen und Vertretungsbefugnisse.
Die CRIF GmbH versicherte, dass sie keine weiteren personenbezogenen Daten verarbeite. Nun stellt sich die Frage, wie aus diesen wenigen und öffentlich zugänglichen Stammdaten verlässliche Aussagen zu Bonität und Zahlungswilligkeit abgeleitet werden können. Es braucht nicht viel Intelligenz, um zur Ansicht zu gelangen, dass diese wenigen Daten dazu keinesfalls ausreichen. Es muss also weitere Daten geben. Darauf hingewiesen wurde mitgeteilt, dass die Verarbeitung dieser Daten in einem Algorithmus erfolge und dieser als Geschäftsgeheimnis geschützt sei. - Ein Verfahren ist anhängig. Über den Ausgang wird berichtet.
Noch kein Feedback
Formular wird geladen...