Praxisbeispiele Auskunftsersuchen nach Artikel 15 DSGVO
Entgegen der beschwichtigenden und wohl auch selbstberuhigenden Aussage des Bundesspartenobmanns der WKO für Unternehmensberatung und IT sind auch in Österreich selbst große Unternehmen bei weitem noch nicht DSGVO fit. Dasselbe lässt sich auch von Organisationen sagen. Allein der Umgang mit den Betroffenenrechten zeigt dies. Einige Beispiele mögen das veranschaulichen.
Die Meldungen, dass der AMS Algorithmen zur automatisierten Verarbeitung personenbezogener Daten nutzt, um mittels Profiling Klienten zu segmentieren, ist beunruhigend, insbesondere wegen der hohen Fehlerquote, die für viele Betroffene Nachteile schafft. Dem nachzugehen und zu erkunden, ab wann solches Profiling startet (z.B. erst mit Meldung der Arbeitslosgkeit), wurde ein Ansuchen nach Artikel 15 DSGVO gestellt.
Eine Auskunftsanfrage nach Artikel 15 DSGVO beantwortet das AMS mit der Übermittlung einer Information, zu der die Organisation nach Artikel 13 und 14 verpflichtet ist. Obwohl diese Information über das Recht auf Auskunft aufklärt, scheint die Sachbearbeiterin davon auszugehen, dass sich damit die Anfrage erledigt habe.
Zudem wird mitgeteilt, dass Auskunftsanfragen an eine bestimmte E-Mail Adresse (ams.datenschutz@ams.at) zu senden wären. Dabei wird übersehen, dass die DSGVO Verantwortliche verpflichtet, Betroffenenrechten nachzukommen, unabhängig auf welche Weise diese beim Verantwortlichen geltend gemacht werden. Das Auskunftsverlagen an die Stelle weiterzuleiten, die intern dafür zuständig ist, liegt in der Verantwortung des Verantwortlichen, nicht des Betroffenen.
Die letztlich übermittelten Auskünfte waren zunächst nicht vollständig. In einer weiteren Auskunft waren die Aufforderung zur Berichtigung und zur Löschung von Daten berücksichtigt. Letztlich waren die Auskunft nach Art. 15, die Berichtigung nach Art. 16 und die Löschung nach Art. 17 DSGVO verlässlich erledigt.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 22.6.2019 | fokus.genba an AMS Linz per E-Mail | Auskunftsanfrage nach Art. 15. DSGVO | wurde von M.P. gelesen und intern an V.H. weitergeleitet |
| 2 | 24.06-2019 | von AMS per E-Mail | Antwort: bitte entnehmen Sie sowohl die Informationen zur DSGVO als auch die Kontakt-eMail-Adresse für diesbezügliche Anfragen der beigefügten Anlage. |
|
| 3 | 24.06.2019 | fokuns.genba | Nachfrage und Hinweis, dass Information nach Art. 13 und 14 DSGVO die Auskunft nach Art. 15 nicht gegenstandslos macht. | |
| 4 | 24.06.2019 | AMS Linz | erneuter Hinweis, dass die zuständige Stelle ams.datenschutz@ams.at sei und ich mich an diese per E-Mail oder Post wenden möchte | |
| 5 | 24.06.2019 | fokus.genba Wien, Linz | Weiterleitung der bisherigen E-Mail-Korrepondenz an ams.datenschutz@ams.at, nicht ohne darauf hinzuweisen, dass die DSGVO ein Ansuchen als zugestellt betrachtet, wenn es einem Verantwortlichen nachweislich zur Kenntnis gebracht wurde und dass es in der Verantwortung des AMS läge, die Anfrage intern entsprechend weiterzuleiten. | |
| 6 | 26.06.2019 | AMS Wien | Bestätigung, dass Auskunftsanfrage und Bitte um Kopie eingelangt ist und bearbeitet wird. | |
| 7 | 1.07.2019 | AMS Wien per RSa eigenhändig |
Postalische Zustellung der Auskunft und Kopie der Unterlagen inkl. der E-Mail-Korrespondenz im Zusammenhang mit der Auskunftsanforderung nach Art. 15 DSGVO. Weit zurückliegende Daten über über frühere Beschaftigungsverhältnisse sind gespeichert. Teils unzutreffende Informationen. Informationen zur Laufbahn nicht aktuell. |
Nächster Schritt: Nachfrage bzgl. nicht beantworteter Fragen, wie bspw. ob Daten automatisiert verarbeitet werden, ob es Profiling gibt, an wen diese Daten weitergegeben werden, mit welcher Dauer die Daten gespeichert werden. |
| 8 | 1.07.2019 | fokus.genba |
Nachfrage bzgl. offener Auskunftsanfragen sowie Geltendmachung des Rechts auf Berichtigung unzutreffender, bzw. zwischenzeitlich überholter Informationen und des der Löschung, für sämtliche Daten für die es keine gesetzliche Aufbewahrungsfrist (mehr) gibt. |
per E-Mail - Hinweis, dass Antwort per E-Mail erfolgen kann, am besten verschlüsselt. |
| 9 | 23.07.2019 | AMS (per RSa) |
Umfängliche Auskunft zur Verarbeitung der personenbezogenen Daten nach Erledigung der Löschungs- und Korrekturaufforderungen. |
Das Unternehmensserviceportal des Bundesministeriums für Digitales und Wirtschaftsstandort hat - so teilte das Ministerium über die Databox von Finanz-Online mit - personenbezogene Daten aus dem Finanzministerium in das Unternehmensserviceportal übernommen. Nachdem eine schriftliche Anfrage nach der Rechtsgrundlage für diese Übertragung trotz Erinnerung unbeantwortet blieb, wurde nach Artikel 15 DSGVO eine Auskunftsanforderung gestellt.
Das BMDW hat in seiner ersten Antwort versucht, die Auskunftsanfrage nach Art. 15 DSGVO zu blockieren, sei es durch nicht nachvollziehbare bürokratisch-legalistische und imho nicht DSGVO konforme Forderungen und einer Fristsetzung für die Erfüllung der gesetzten Vorgaben binnen sieben Tagen. Danach wollte das BMDW das Auskunftsersuchen automatisch als zurückgezogen betrachten. Dieser Umgang mit Betroffenenrechten und der DSGVO ist bedenklich. Schließlich kam das BDMW dem Auskunftsersuchen fristgerecht nach, wenngleich in der Auskunft keine Angaben zur Verarbeitung personenbezogener Daten im Unternehmensserviceportal gemacht wurden.
Einen eigenen Beitrag dazu finden Sie unter Das BMDW und die DSGVO – ein problematisches Verhältnis.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 2.8.2019 | fokus.genba an BMDW | Auskunftsanfrage nach Art. 15. DSGVO (CC an usp.gv.at) unterschrieben, per digital signiertem E-Mail und signiertem PDF ( Auskunftsersuchen an BMDW vom 2.8.2019) | Lesebestätigung von usp.gv.at am 2.8.2019 |
| 2 | 14.8.2019 | BMDW | Zustellungsversuch einer RSa Nachricht | |
| 3 | 20.8.2019 | BMDW | Das BMDW teilt per RSa mit, dass der Auskunftsanforderung nach Art. 15 DSGVO mangels elektronischer Signatur (gemeint ist wohl Handysignatur oder via Bürgerkarte) nicht nachgekommen werden kann. Das BMDW ersucht um Übermittlung eines Antrages nach Art. 15 DSGVO (mit Ihrer Unterschrift und einer Kopie eines amtlichen Lichtbildausweises oder mit einer qualifizierten elektronischen Signatur iSd Signatur- und Vertrauensdiensgesetzes) innerhalb von 7 Tagen ab Datum dieser Zustellung. Es wird darauf hingewiesen, dass Ihr Anbringen iSd §13 Abs 4 AVG nach fruchtlosem Ablauf dieser Frist als zurückgezogen gilt Wie es scheint ist die Kenntnis der DSGVO noch nicht weit ins BMDW vorgedrungen. |
Abholung |
| 4 | 20.8.2019 | fokus.genba an BMDW | Antwortschreiben gleichentags an das BMDW |
CC usp.gv.at / Lesebestätigung von usp.gv.at am 20.8.2019 |
| 5 | 23.8.2019 | fokus genbah an Sachbearbeiterin beim BMDW | in einem E-Mail direkt an die Sachbearbeiterin adressiert, habe ich nochmals betont, dass allein durch die erfolgreiche RSa Zustelltung der Identitätsnachweis hinreichend gegeben ist und eine Verweigerung der Auskunftsanforderung wegen Bedenkens zur Identitä spätestens damit grundlos geworden ist. Zudem habe ich auf den Artikel auf fokus.genba hingewiesen: Das BMDW und die DSGVO – ein problematisches Verhältnis |
Lesebestätigung am 23.8.2019 |
| 6 | 2.9.2019 | BMDW per E-Mail | Mitteilung, dass eine RSa Nachricht mit der angeforderten Auskunft unterwegs ist |
|
| 7 | 3.9.2019 | BMDW per RSa | Auskunft nach Artikel 15 DSGVO inkl. VVT |
Sichtung und Prüfung noch im Gang, |
| 8 | 11.9.2019 | BMDW per RSa | Ergänzung zur Auskunft vom 3.9.2019: Es wird mitgeiteilt, dass keine personenbezogenen Daten von Ihnen im Unternehmensserviceportail verarbeitet werden. |
|
| 9 | 12.9.2019 | fokus.genba | Nachfrage zum zentralen Teilnehmerverzeichnis und USP |
|
| 10 | 16.9.2019 | BMDW | Auskunft: Zu ihrer Person finden sich im TNVZ Daten zu Name, Adresse, E-Mail-Adresse, GLN, ERsB-Nummer und KUR. Zum Unternehmensserviceportal: Im USP ist das sog. „Anzeigemodul/Mein Postkorb“ gem. ZustG implementiert (also abrufbar) und über dieses Anzeigemodul kann der User auch die Registrierung oder Änderung seiner Daten am „Teilnehmerverzeichnis“ gem. ZustG durchführen. Für den User stellt das USP somit die einzige Weboberfläche dar. Dahinter liegen aber mehrere datenschutzrechtlich getrennt zu betrachtende Datenverarbeitungen. |
Auskunft per E-Mail |
Im Zuge eines Anfragebeantwortung durch T-Mobile wurde bekannt, dass die dort verarbeiteten personenbezogenen Daten von CRIF GmbH bezogen wurden. Daher richtete ich eine Auskunftsanfrage nach Artikel 15 DSGVO an die Firma CRIF GmbH.
Die CRIF GmbH hat auf die Auskunftsanfrage innerhalb der gesetzlichen Frist geantwortet, allerdings völlig unzureichend. Da Nachforderungen insbesondere zur Verarbeitung der Listendaten im Zusammenhang mit der Kreditauskunftei unbeantwortet blieben, wurde letztlich Beschwerde gegen CRIF GmbH bei der Datenschutzbehörde eingebracht.
Zur Auskunftei CRIF GmbH empfehle ich diesen Beitrag: Die Wirtschaftsauskunftei CRIF GmbH und der Datenschutz
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 13.7.2019 | fokus.genba an CRIF Gmbh | Auskunftsanfrage nach Art. 15. DSGVO | Lesebestätigung 15..7.2019 |
| 2 | 15.7.2019 | CRIF | Teilt in einem Passwort geschützten Anhang einer E-Mail mit, dass es für die weitere Bearbeitung meiner Auskunftsanforderung nach Art. 15 DSGVO eine Ausweiskopie bedürfe. | |
| 3 | 15.7.2019 | fokus.genba | Mitteilung an CRIF, dass lt. Artikel 12 Abs 6 DSGVO ein Identitätsnachweis nur dann erforderlich ist, wenn berechtigte Zweifel bestehen. Durch den konkreten Hinweis samt Angaben auf T-Mobile und die Möglichkeit für CRIF dort nachzufragen, sollten keine berechtigte Zweifel bestehen. Sofern doch, wurde die Firma darauf hingewiesen, dass die DSGVO begründete Zweifel vorsieht und mir daher die Begründung für die Zweifel mitzuteilen wären. Ein Identitätsfeststellung im Zusammenhang mit der Übergabe de Auskunft benötigt ebenfalls keine Ausweiskopie. Verweis auf Identitätsfeststellung und Auskunftsverlangen |
|
| 4 | 22.7.2019 | CRIF | Per Einschreiben wurde eine Auskunft erteilt. Die Auskunft führte nur Name, Geburtsdatum, Anschrift, Gründungsjahr des Unternehmens und mich als Inhaber an. Darüber hinaus wurden nur allgemeine und wenig nachvollziehbare, diffuse Hinweise zur automatisierten Entscheidungsfindung Profiling sowie allgemene Informationen und Verarbeitungszwecke gegeben. Das Unternehmen weist darauf hin, dass es nicht unüblich sei, für „Vertretung in datenschutzrechtlichen Blangen, insbesondere die Einholung einer Auskunft nach Art. 15 DSGVO hohe Honorare in Rechnung zu stellen” Zwar wird dann noch hinzugefügt, dass die DSGVO einmal im Jahr eine unentgeltliche Auskunft zugesetzt. In Bezug auf Löschung wird darauf hingewiesen, dass eine Löschung ohne Angabe von Gründen nicht in der DSGVO vorgesehen sei. |
Die Auskunft ist unzureichend und unvollständig. Es wird in den Raum gestellt, dass hohe Honorare für Auskunftserteilung in Rechnung gestellt werden könnten, m.E. unterschwellig gedroht und eingeschüchtert. Die Auskunft hinterlässt den starken Eindruck, dass es keine nachvollziehbare Bereitschaft dazu gibt, meine Anfrage nach Art. 15 DSGVO umfänglich zu beantworten. |
| 5 | 22.7.2019 | fokus.genba |
Folgende Erwiderung auf die unvollständige Auskunft wurde übermittelt: „Gestern erreichte mich Ihre eingeschriebene Auskunft zu meiner Anfrage. Allerdings betrachte ich die Auskunft als unvollständig. Aus der Beantwortung geht nicht hervor, welche Informationen zu Bonität und Zahlungswilligkeit etc. mit meinen personenbezogenen Daten verknüpft sind und bei Anfrage Ihrer Kunden zusammen mit meinen personenbezogenen Daten übermittelt werden. Es geht nicht hervor, woher konkret die Angaben dazu stammen und nach welcher Logik diese verarbeitet werden, ebenso wenig welche Folgen eine solche Verarbeitung für mich haben kann (s. Erw.G 63). Ihre allgemeinen Aussagen unter "Automatisierte Entscheidungsfindung und Profiling" sind nicht ausreichend. Zudem wurden nicht alle Punkte meines Auskunftsverlangens beantwortet. Bitte arbeiten Sie diese, durch die DSGVO gedeckte Liste ab. Nachdem mir Auskünfte anderer Auskunfteien vorliegen, die diese Informationen übersichtlich und vollständig erteilten, habe ich doch einen Überblick über Umfang und Tiefe der verknüpften Informationsfelder und kann so abschätzen, in welchem Umfang mir Informationen von CRIF GmbH womöglich vorenthalten werden. Ich bin gerne bereit, dies durch eine Beschwerde bei der Datenschutzbehörde prüfen und ggf. durchsetzen zu lassen. Bei dieser Gelegenheit möchte ich Sie darauf hinweisen, dass einschüchternde Verweise auf hohe Honorare im Zusammenhang mit Auskunftsverlangen mehr als befremdlich sind, zumal es sich bei dieser Anfragen nicht um einen "offenkundig unbegründeten oder exzessiven Antrag" handelt. Das Recht auf eine kostenlose Auskunft nach Artikel 15 DSGVO ist keine Gunst, die Ihr Unternehmen Betroffenen gewährt. Ich fordere Sie daher auf gemäß DSGVO eine vollständige Auskunft innerhalb der gesetzlichen Frist zu erteilen.” |
|
| 6 | 19.8.2019 | fokus.genba |
Nachdem die CRIF GmbH nach Ablauf der gesetzlichen Frist der Auskunftspflicht im gesetzlich vorgesehenen Umfang nicht nachgekommen ist, wird Beschwerde bei der Datenschutzbehörde nach Artikel 77 DSGVO eingereicht. |
|
ING Diba Austria
→ Beschwerde
Die ING Diba Austria hat auf ein Auskunftsersuchen nach Art. 15 DSGVO nicht innerhalb der gesetzlich festgesetzten Frist geantwortet. Daher wurde Beschwerde eingelegt.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 10.8.2021 | fokus → ING Diba Austria | Aunskunfsaufforderung nach Art. 15 DSGVO als Anhang zum Anschreiben per EMail | |
| 2 | 13.08.2021 | ING Diba Austria → fokus | ING Diba Austria gibt Bescheid, dass sich das angehängte PDF nicht öffnen ließe | Das PDF war standardmäßig erstellt, ohne Schutz oder Verschlüsselung. Unter Hunderten von versandten PDFs war das das einzige, das sich angeblich nicht öffnen ließ. |
| 3 | 13.08.2021 | fokus → ING Diba Austria | Die Auskunftsanforderung nach Art. 15 DSGVO wird erneut, diesmal im Text des EMails (body) verfasst. | keine Antwort |
| 4 | 09.09.2021 | fokus → ING Diba Austria | Erinnerung an Ablauf der gesetzlichen Frist zur Anfragebeantwortung | keine Reaktion |
| 5 | 15.09.2021 | fokus.genba → DSB | Beschwerde eingereicht per signierter E-Mail | Lesebestätigung DSB vom Tag |
Im Zuge einer Anfrage bzgl. eines möglichen Sicherheitsproblems bei Huchtinschon Drei Austria (IP Address Spoofing) zeigten sich einige erstaunliche Mängel in Bezug auf Führen der Kundenhistorie. Eine eingelegt Beschwerde blieb unbeantwortet, zunächst, weil das Unternehmen per E-Mail Kundennummer, Adresse und Kundenkennwort verlangte, wobei die unverschlüsselte Übermittlung des Kundenkennworts verwehrt wurde. Obwohl das Kundenkennwort letztlich per FAX übermittelt wurde, kam es über Wochen zu keiner Beantwortung. Daher schien ein Auskunftsersuchen nach Artikel 15 DSGVO angezeigt, um Klarheit darüber zu bekommen, welche personenbezogenen Daten in der Kundenhistorie und darüber hinaus verarbeitet wurden und wie es sich mit den Aufzeichnungen der Anrufe beim Kundenservice verhält.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 17.2.2020 | fokus.genba an dpo(at)drei.com | Auskunftsersuchen nach Artikel 15 DSGVO - Samt Anforderungen zur Konkretisierung der Ausküfte z.B. bzgl. Kundenhistorie und Weitergabe an Dritte (Auftragsverarbeiter, weitere Verantwortliche) und solche in einem Drittland. | per E-Mail, Ansuchen als PDF im Anhang |
| 2 | 17.2.2020 | Hutchinson Drei Austria - Telefon | Angestoßen durch das Auskunftsersuchen meldete sich die Beschwerdestelle, um über das Auskunftsersuchen hinaus Informationen zur Vorgeschichte zu erfragen (IP Address Spoofing - obwohl das bereits ausführlich und schriftlich dargelegt wurde). Es wurde versichert, dass die Anfragen an die Technik, die Beschwerde und das Auskunftsersuchen beantwortet werden. |
|
| 3 | 22.2.2020 | Hutchinson Drei Austria | E-Mail von DPO, Beantwortung von Fragen, soweit diese nicht in unmittelbar vom Auskunftsersuchen betroffen sind (IP Address Spoofing, Umgang mit Praxis des Schutzes des Kundenkennwortes (pin), Verschlüsselung der E-Mail Korrespondenz) | Antwort vom 24.2.2020 von fokus Antwort vom 24.2.2020 von 3 |
| 4 | 25.3.2020 | Hutchinson Drei Austria - Einschreiben | Auskunft gem. Artikl 15 DSGVO - Zu den wesentlichen Punkten wird auf die allgemeine Auskunft unter drei.at/datenschutz hingewiesen. Die spezifischen Nachfragen und Bitten um Präzisierung zur „allgemeinen Auskunft” blieben unbeantwortet. Die Übermittlung der „gespeicherten” Daten beschränkte sich auf einen Ausdruck der Listendaten und einer (Excel?)Liste von Einträgen aus der Kundenhistorie, sowie eine weitere Liste mit vier tabellarischen Einträgen, die aufgrund fehlender Legende schwer zuzuordnen ist. Die konkrete Auskunftsanfrage bzgl. Aufzeichnung von Kundengesprächen blieb gänzlich unbeantwortet. |
Insgesamt ist die Auskunft unvollständig und mangelhaft |
Der Kreditschutzverband 1870, eine Wirtschafts-Auskunftei (siehe Beitrag Auskunfteien, Schuldnerverzeichnisse und die EU DSGVO
) erhebt personenbezogene Daten vielfach nicht direkt bei Betroffenen, sondern über andere, öffentlich zugänglichen Datenbanken und Daten, die von Unternehmen, Banken und anderen Gläubigern betreffend die Bonität Betroffener geliefert werden.
Gemäß Artikel 14 DSGVO müsste jeder Verantwortliche, soweit er personenbezogene Daten verarbeitet, die er nicht bei den betroffenen Personen erhebt, die betroffenen Personen darüber informieren. Es gibt begründete Zweifel, ob Auskunfteien dieser Informationspflicht nachkommen. In dieser Angelegenheit gibt es einen nicht rechtskräftigen Bescheid der Datenschutzbehörde (31.11.2018: DSB-D122.954/0010-DSB/2018), der gerichtlich anhängig ist.
Fazit: Die Erledigung der Auskunftsanforderung erfolgte freundlich, zügig binnen zweier Wochen, unkompliziert und ausführlich. In einem allgemein Teil der Informationen wurden allgemeine Informationen gegeben, wie bspw. zu Kategorien, Dauer, Profiling etc. Im spezifischen Teil wurden dann Informationen zu den verarbeiteten personenbezogenen Daten geliefert. Sofern bis auf sogenannte Listendaten keine sensiblen Informationen übermittelt werden, ist die einfache Postzustellung durchaus tolerabel. Für den Fall jedoch, dass die Auskunft sensible Daten beinhalten sollte, wäre damit die sichere Übermittlung nicht gewährleistet. Dazu wäre bspw. eine Zustellung per RSa Eigenhändig erforderlich oder per verschlüsselter elektronischer Nachricht.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 28.6.2019 | fokus.genba an KSV1870 | Auskunftsanfrage nach Art. 15. DSGVO | |
| 2 | 1.7.2019 | KSV1879 | Zur Identifizierung werde ich aufgefordert, Name, Adresse und Geburtsdatum zu nennen | Im E-Mail mit der Auskunftsforderung wurden nicht nur in der Signatur Name und Adresse genannt, sondern ausdrücklich auch nochmals im Punkt 1 der Forderung:1. ob im KSV1879 personenbezogene Daten von Dr. C […] [genaue Adressenangabe], verarbeitet werden. |
| 3 | 1.7.2019 | fokus.genba | Hinweis darauf, dass Angaben zu Namen und Adresse samt weiterer Kontaktdaten bereits im ersten Mail genannt wurden. Hinweis: Bei einer früheren telefonischen Auskunft in anderer Sache reichte Name und Stadt, um mich samt genauer Adresse und E-Mail-Adresse zu identifizieren. Hier erhielt ich prompt die ID, unter welcher beim KSV1870 meine personenbezogenen Daten verarbeitet würden. Mit anderen Worten: Es gibt keine Notwendigkeit zur Übermittlung weiterer Daten, wie des Geburtsdatums, um klar identifiziert werden zu können. |
|
| 4 | 3.7.2019 | KSV1870 per Post (einfach) | Die Nachricht umfasste eine vierseitige allgemeine Information zur Selbstauskunft (Was ist der KSV1870, Verarbeitungszwecke. Profiling, Dauer der Verarbeitung etc. pp.). Daran schließen Auskünfte zur Verarbeitung personenbezogener Inhalte als Kopie der Daten an. Es wurden jedoch einige Punkte der Auskunftsanfrage nicht beantwortet, wie bspw. zur automatisierten Verarbeitung, Herkunft der Daten und Empfänger. |
Die Auskunft erfolgte per einfacher Postzustellung (kein RSa Eigenhändig) |
Es erfolgte eine Bestätigung, dass die Anfrage nach Art. 15 DSGVO beim Roten Kreuz eingetroffen sei und bearbeitet werde.
Die Erledigung der Anfrage erfolgte problemlos. Die Auskunft wurde umfassend gegeben und die erbetenen Kopien wurden geliefert. Der Kontakt war freundlich und zuvorkommend. Die Vereinbarung, die Unterlagen persönlich unter Vorlage eines Ausweises in der Blutzentrale Linz abzuholen, erwies sich für beide Seiten als unkomplizierter Weg der Identitätsfeststellung.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 14.6.2019 |
fokus.genba an Rotes Kreuz OÖ |
Auskunftsanfrage nach Art. 15. DSGVO | recht@o.roteskreuz.at |
| 2 | 17.6.2019 |
Rotes Kreuz |
Bestätigung des Erhalts der Auskunftsanfrage nach Art. 15 DSGVO. Bitte um Einschränkung der Auskunft, nachdem die Organisation Rotes Kreuz sehr breit aufgestellt ist. Zudem wird eine Ausweiskopie als Identitätsnachweis erbeten. |
|
| 3 | 17.6.2019 |
fokus.genba |
Hinweis, dass die erwartete Datenmenge in der überwiegenden Zahl der Geschäftsfelder eher gering sein dürfte, hingegen bspw. bei Blutspendezentrale umfangreicher und nachdem nicht klar ist, wie Daten innerhalb des Roten Kreuzes verarbeitet werden, bleibt die urspr. Auskunftsanforderung aufrecht. Üblicher Hinweis: DSGVO sieht einen Identitätsnachweis nur dann vor, sofern begründete Zweifel an der Identität der Person bestehen (Artikel 12 Abs 6 DSGVO). Durch Kontaktdaten beim Blutspenden sowie Sozialversicherungsnummer ist die Identität jedoch zweifelsfrei festzustellen. Zudem bot ich an, die Auskunft persönlich unter Vorzeigen (nicht Kopie) des Ausweises bei der Blutzentrale Linz abzuholen. |
|
| 4 | 11.7.2019 |
Rotes Kreuz |
Mitteilung, dass die Unterlagen und Kopien gem. Auskunftsanforderung nach Art. 15 DSGVO in der Blutzentrale zur Abholung bereit lägen. Identifizierung durch Vorlage eines Ausweises- |
|
| 5 | 15.7.2019 |
Abholung der Unterlagen |
Unterlagen abgeholt. Auskunft wurde umfassend gegeben. Kopien der Daten lagen bei. |
Vom WIFI OÖ erhielt ich eine E-Mail mit Geburtstagswünschen. So erfreulich Geburtstagswünsche auch sind, es stellte sich für mich die Frage, welche Daten das WIFI noch von mir verarbeitet und zu welchem Zweck bspw. mein Geburtsdatum gespeichert werden muss. Daher entschloss ich mich zu einer Anfrage nach Artikel 15 DSGVO.
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 23.6.2019 | fokus.genba an WIFI OÖ | Auskunftsanfrage nach Art. 15. DSGVO | Lesebestätigung 24.6.2019 |
| 2 | 18.7.2019 | WIFI OÖ | Per E-Mail übermitteltes elektronische Auskunft mit Hinweis, dass die Unterlagen (Kopie) gesondert per Post übermittelt würden. | |
| 3 | 22.7.2019 | WIFI OÖ | Per Einschreiben wurden die Unterlagen zu WIFI und zugleich (obzwar nicht angefragt) zu WKO OÖ geliefert. Die Unterlagen sind umfangreich und sämtliche Punkte der Auskunftsanfrage wurden beantwortet. Die Abwicklung war problemlos. |
Nachdem World4You auf „normale” Anfragen nicht reagierte, wurde nach Artikel 15 DSGVO eine Auskunftsanfrage gestellt. Diese Anfrage blieb trotz Erinnerung unbeantwortet. Daher erfolgte eine Beschwerde bei der Datenschutzbehörde.
Im Zuge des Beschwerdeverfahrens beantwortete W4Y die Auskunftsanfrage, allerdings mangelhaft. Es brauchte ein weiteres Beschwerdeverfahren, bis W4Y die Auskünfte erteilt wurden und das Verfahren mit 29.4.21 eingestellt werden konnte. (Siehe Beschwerdeverlauf unter: Beschwerde gegen World4You GmbH und Prüfantrag
)
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 15.10.2020 |
fokus.genba an World4You |
Auskunftsanfrage nach Art. 15. DSGVO | |
| 2 | 15.11.2020 |
fokus.genba an World4You |
Erinnerung an die abgelaufene Frist für das Auskunftsersuchen nach Art. 15 DSGVO | |
| 3 | 30.11.2020 |
fokus.genba an DSB |
Nachdem World4You weder auf das Auskunftsersuchen noch die Erinnerung fristgerecht reagierte, wurde Beschwerde nach Art. 77 DSGVO bei der österr. Datenschutzbehörde eingereicht. | Lesebestätgigung durch die DSB vom Tag |
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
1 webmention
Webmention von: fokus.genba.org
https://fokus.genba.org/crif-wirtschaftsauskunftei-und-datenschutz
Die CRIF GmbH verdient Geld mit Aggregierung, automatischer Auswertung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen. Auskünfte nach Artikel 15 DSGVO erteilt das Unternehmen unzureichend.
Formular wird geladen...