Mangelhafte Kenntnis und Umsetzung der DSGVO
Entgegen der beschwichtigenden und wohl auch selbstberuhigenden Aussage des Bundesspartenobmanns der WKO für Unternehmensberatung und IT sind auch in Österreich selbst große Unternehmen bei weitem noch nicht DSGVO fit. Dasselbe lässt sich auch von Organisationen sagen. Allein der Umgang mit den Betroffenenrechten zeigt dies. Einige Beispiele mögen das veranschaulichen.
Bisheriges Fazit
Noch bevor Verantwortliche, wie es die DSGVO vorsieht, sich bemühen, personenbezogene Daten eines Betroffenen zu identifizieren, verlangen sie einen Identitätsnachweis und diesen meist in Form einer Ausweiskopie, obwohl dies nach Artikel 12 Abs. 6 DSGVO nur dann zulässig ist, sofern begründete Zweifel an der Identität des Betroffenen bestehen.
Die Meldungen, dass der AMS Algorithmen zur automatisierten Verarbeitung personenbezogener Daten nutzt, um mittels Profiling Klienten zu segmentieren, ist beunruhigend, insbesondere wegen der hohen Fehlerquote, die für viele Betroffene Nachteile schafft. Dem nachzugehen und zu erkunden, ab wann solches Profiling startet (z.B. erst mit Meldung der Arbeitslosgkeit), wurde ein Ansuchen nach Artikel 15 DSGVO gestellt.
Eine Auskunftsanfrage nach Artikel 15 DSGVO beantwortet das AMS mit der Übermittlung einer Information, zu der die Organisation nach Artikel 13 und 14 verpflichtet ist. Obwohl diese Information über das Recht auf Auskunft aufklärt, scheint die Sachbearbeiterin davon auszugehen, dass sich damit die Anfrage erledigt habe.
Zudem wird mitgeteilt, dass Auskunftsanfragen an eine bestimmte E-Mail Adresse (ams.datenschutz@ams.at) zu senden wären. Dabei wird übersehen, dass die DSGVO Verantwortliche verpflichtet, Betroffenenrechten nachzukommen, unabhängig auf welche Weise diese beim Verantwortlichen geltend gemacht werden. Das Auskunftsverlagen an die Stelle weiterzuleiten, die intern dafür zuständig ist, liegt in der Verantwortung des Verantwortlichen, nicht des Betroffenen.
Die letztlich übermittelten Auskünfte waren nicht vollständig. Ein Hinweis darauf und die Aufforderung zur Berichtigung und zur Löschung sind noch nicht beantwortet.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 22.6.2019 | fokus.genba an AMS Linz per E-Mail | Auskunftsanfrage nach Art. 15. DSGVO | wurde von M.P. gelesen und intern an V.H. weitergeleitet |
| 2 | 24.06-2019 | von AMS per E-Mail | Antwort: bitte entnehmen Sie sowohl die Informationen zur DSGVO als auch die Kontakt-eMail-Adresse für diesbezügliche Anfragen der beigefügten Anlage. |
|
| 3 | 24.06.2019 | fokuns.genba | Nachfrage und Hinweis, dass Information nach Art. 13 und 14 DSGVO die Auskunft nach Art. 15 nicht gegenstandslos macht. | |
| 4 | 24.06.2019 | AMS Linz | erneuter Hinweis, dass die zuständige Stelle ams.datenschutz@ams.at sei und ich mich an diese per E-Mail oder Post wenden möchte | |
| 5 | 24.06.2019 | fokus.genba Wien, Linz | Weiterleitung der bisherigen E-Mail-Korrepondenz an ams.datenschutz@ams.at, nicht ohne darauf hinzuweisen, dass die DSGVO ein Ansuchen als zugestellt betrachtet, wenn es einem Verantwortlichen nachweislich zur Kenntnis gebracht wurde und dass es in der Verantwortung des AMS läge, die Anfrage intern entsprechend weiterzuleiten. | |
| 6 | 26.06.2019 | AMS Wien | Bestätigung, dass Auskunftsanfrage und Bitte um Kopie eingelangt ist und bearbeitet wird. | |
| 7 | 1.07.2019 | AMS Wien per RSa eigenhändig |
Postalische Zustellung der Auskunft und Kopie der Unterlagen inkl. der E-Mail-Korrespondenz im Zusammenhang mit der Auskunftsanforderung nach Art. 15 DSGVO. Weit zurückliegende Daten über über frühere Beschaftigungsverhältnisse sind gespeichert. Teils unzutreffende Informationen. Informationen zur Laufbahn nicht aktuell. |
Nächster Schritt: Nachfrage bzgl. nicht beantworteter Fragen, wie bspw. ob Daten automatisiert verarbeitet werden, ob es Profiling gibt, an wen diese Daten weitergegeben werden, mit welcher Dauer die Daten gespeichert werden. |
| 8 | 1.07.2019 | fokus.genba |
Nachfrage bzgl. offener Auskunftsanfragen sowie Geltendmachung des Rechts auf Berichtigung unzutreffender, bzw. zwischenzeitlich überholter Informationen und des der Löschung, für sämtliche Daten für die es keine gesetzliche Aufbewahrungsfrist (mehr) gibt. |
per E-Mail - Hinweis, dass Antwort per E-Mail erfolgen kann, am besten verschlüsselt. |
|
|
Im Zuge eines Anfragebeantwortung durch T-Mobile wurde bekannt, dass die dort verarbeiteten personenbezogenen Daten von CRIF GmbH bezogen wurden. Daher richtete ich eine Auskunftsanfrage nach Artikel 15 DSGVO an die Firma CRIF GmbH.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 13.7.2019 | fokus.genba an CRIF Gmbh | Auskunftsanfrage nach Art. 15. DSGVO | Lesebestätigung 15..7.2019 |
| 2 | 15.7.2019 | CRIF | Teilt in einem Passwort geschützten Anhang einer E-Mail mit, dass es für die weitere Bearbeitung meiner Auskunftsanforderung nach Art. 15 DSGVO eine Ausweiskopie bedürfe. | |
| 3 | 15.7.2019 | fokus.genba | Mitteilung an CRIF, dass lt. Artikel 12 Abs 6 DSGVO ein Identitätsnachweis nur dann erforderlich ist, wenn berechtigte Zweifel bestehen. Durch den konkreten Hinweis samt Angaben auf T-Mobile und die Möglichkeit für CRIF dort nachzufragen, sollten keine berechtigte Zweifel bestehen. Sofern doch, wurde die Firma darauf hingewiesen, dass die DSGVO begründete Zweifel vorsieht und mir daher die Begründung für die Zweifel mitzuteilen wären. Ein Identitätsfeststellung im Zusammenhang mit der Übergabe de Auskunft benötigt ebenfalls keine Ausweiskopie. Verweis auf Identitätsfeststellung und Auskunftsverlangen |
Der Kreditschutzverband 1870, eine Wirtschafts-Auskunftei (siehe Beitrag Auskunfteien, Schuldnerverzeichnisse und die EU DSGVO
) erhebt personenbezogene Daten vielfach nicht direkt bei Betroffenen, sondern über andere, öffentlich zugänglichen Datenbanken und Daten, die von Unternehmen, Banken und anderen Gläubigern betreffend die Bonität Betroffener geliefert werden.
Gemäß Artikel 14 DSGVO müsste jeder Verantwortliche, soweit er personenbezogene Daten verarbeitet, die er nicht bei den betroffenen Personen erhebt, die betroffenen Personen darüber informieren. Es gibt begründete Zweifel, ob Auskunfteien dieser Informationspflicht nachkommen. In dieser Angelegenheit gibt es einen nicht rechtskräftigen Bescheid der Datenschutzbehörde (31.11.2018: DSB-D122.954/0010-DSB/2018), der gerichtlich anhängig ist.
Fazit: Die Erledigung der Auskunftsanforderung erfolgte freundlich, zügig binnen zweier Wochen, unkompliziert und ausführlich. In einem allgemein Teil der Informationen wurden allgemeine Informationen gegeben, wie bspw. zu Kategorien, Dauer, Profiling etc. Im spezifischen Teil wurden dann Informationen zu den verarbeiteten personenbezogenen Daten geliefert. Sofern bis auf sogenannte Listendaten keine sensiblen Informationen übermittelt werden, ist die einfache Postzustellung durchaus tolerabel. Für den Fall jedoch, dass die Auskunft sensible Daten beinhalten sollte, wäre damit die sichere Übermittlung nicht gewährleistet. Dazu wäre bspw. eine Zustellung per RSa Eigenhändig erforderlich oder per verschlüsselter elektronischer Nachricht.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 28.6.2019 | fokus.genba an KSV1870 | Auskunftsanfrage nach Art. 15. DSGVO | |
| 2 | 1.7.2019 | KSV1879 | Zur Identifizierung werde ich aufgefordert, Name, Adresse und Geburtsdatum zu nennen | Im E-Mail mit der Auskunftsforderung wurden nicht nur in der Signatur Name und Adresse genannt, sondern ausdrücklich auch nochmals im Punkt 1 der Forderung:1. ob im KSV1879 personenbezogene Daten von Dr. C […] [genaue Adressenangabe], verarbeitet werden. |
| 3 | 1.7.2019 | fokus.genba | Hinweis darauf, dass Angaben zu Namen und Adresse samt weiterer Kontaktdaten bereits im ersten Mail genannt wurden. Hinweis: Bei einer früheren telefonischen Auskunft in anderer Sache reichte Name und Stadt, um mich samt genauer Adresse und E-Mail-Adresse zu identifizieren. Hier erhielt ich prompt die ID, unter welcher beim KSV1870 meine personenbezogenen Daten verarbeitet würden. Mit anderen Worten: Es gibt keine Notwendigkeit zur Übermittlung weiterer Daten, wie des Geburtsdatums, um klar identifiziert werden zu können. |
|
| 4 | 3.7.2019 | KSV1870 per Post (einfach) | Die Nachricht umfasste eine vierseitige allgemeine Information zur Selbstauskunft (Was ist der KSV1870, Verarbeitungszwecke. Profiling, Dauer der Verarbeitung etc. pp.). Daran schließen Auskünfte zur Verarbeitung personenbezogener Inhalte als Kopie der Daten an. Es wurden jedoch einige Punkte der Auskunftsanfrage nicht beantwortet, wie bspw. zur automatisierten Verarbeitung, Herkunft der Daten und Empfänger. |
Die Auskunft erfolgte per einfacher Postzustellung (kein RSa Eigenhändig) |
Es erfolgte eine Bestätigung, dass die Anfrage nach Art. 15 DSGVO beim Roten Kreuz eingetroffen sei und bearbeitet werde.
Die Erledigung der Anfrage erfolgte problemlos. Die Auskunft wurde umfassend gegeben und die erbetenen Kopien wurden geliefert. Der Kontakt war freundlich und zuvorkommend. Die Vereinbarung, die Unterlagen persönlich unter Vorlage eines Ausweises in der Blutzentrale Linz abzuholen, erwies sich für beide Seiten als unkomplizierter Weg der Identitätsfeststellung.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 14.6.2019 |
fokus.genba an Rotes Kreuz OÖ |
Auskunftsanfrage nach Art. 15. DSGVO | recht@o.roteskreuz.at |
| 2 | 17.6.2019 |
Rotes Kreuz |
Bestätigung des Erhalts der Auskunftsanfrage nach Art. 15 DSGVO. Bitte um Einschränkung der Auskunft, nachdem die Organisation Rotes Kreuz sehr breit aufgestellt ist. Zudem wird eine Ausweiskopie als Identitätsnachweis erbeten. |
|
| 3 | 17.6.2019 |
fokus.genba |
Hinweis, dass die erwartete Datenmenge in der überwiegenden Zahl der Geschäftsfelder eher gering sein dürfte, hingegen bspw. bei Blutspendezentrale umfangreicher und nachdem nicht klar ist, wie Daten innerhalb des Roten Kreuzes verarbeitet werden, bleibt die urspr. Auskunftsanforderung aufrecht. Üblicher Hinweis: DSGVO sieht einen Identitätsnachweis nur dann vor, sofern begründete Zweifel an der Identität der Person bestehen (Artikel 12 Abs 6 DSGVO). Durch Kontaktdaten beim Blutspenden sowie Sozialversicherungsnummer ist die Identität jedoch zweifelsfrei festzustellen. Zudem bot ich an, die Auskunft persönlich unter Vorzeigen (nicht Kopie) des Ausweises bei der Blutzentrale Linz abzuholen. |
|
| 4 | 11.7.2019 |
Rotes Kreuz |
Mitteilung, dass die Unterlagen und Kopien gem. Auskunftsanforderung nach Art. 15 DSGVO in der Blutzentrale zur Abholung bereit lägen. Identifizierung durch Vorlage eines Ausweises- |
|
| 5 | 15.7.2019 |
Abholung der Unterlagen |
Unterlagen abgeholt. Auskunft wurde umfassend gegeben. Kopien der Daten lagen bei. |
Vom WIFI OÖ erhielt ich eine E-Mail mit Geburtstagswünschen. So erfreulich Geburtstagswünsche auch sind, es stellte sich für mich die Frage, welche Daten das WIFI noch von mir verarbeitet und zu welchem Zweck bspw. mein Geburtsdatum gespeichert werden muss. Daher entschloss ich mich zu einer Anfrage nach Artikel 15 DSGVO.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 23.6.2019 | fokus.genba an WIFI OÖ | Auskunftsanfrage nach Art. 15. DSGVO | Lesebestätigung 24.6.2019 |
Dr. Conrad Lienhardt
Unternehmensberater
Schwerpunkt: Kundenzentriertes, rechtskonformes Marketing
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
Noch kein Feedback
Formular wird geladen...