Datenschutzauskunft nach DSGVO/GDPR

Einer meiner Mandanten hat letzten eine umfangreiche Datenschutzanfrage bezüglicher seiner persönlichen Daten erhalten. Da ich meinen Mandanten zwar rate, zu evaluieren, ob Datenschutzauskünfte wirklich echt sind oder nur dazu dienen, „Ärger zu machen“, ich persönlich aber schon überzeugt bin, dass echter Datenschutz auch wichtig ist, möchte ich in diesem Post auch einen Teil davon wiedergeben.

Wichtigste Punkte

Datenschutzanfragen sollten ernst genommen werden und können rechtliche Konsequenzen haben, wenn sie nicht beantwortet werden.
Kunden können gemäß Art. 15 der DSGVO Zugang zu ihren persönlichen Daten anfordern.
Unternehmen müssen Bestätigungen über die Verarbeitung personenbezogener Daten innerhalb eines Monats bereitstellen.
Details zur Verarbeitung wie Verwendungszwecke und Dritte müssen den Anfragenden offengelegt werden.
Fragen zu Datenspeicherungen und den Ländern, in denen Daten gespeichert sind, sind ebenfalls wichtig.
Risiken bei Sicherheitsverletzungen müssen dem Kunden transparent gemacht werden.
Unternehmen sollten bei der Verarbeitung persönlichen Daten sicherstellen, dass Schulungen und Überwachungen durchgeführt werden.

Sehr geehrte Damen und Herren:

Ich schreibe Ihnen in Ihrer Eigenschaft als Datenschutzbeauftragter für Ihr Unternehmen. Ich bin ein Kunde von Ihnen, und angesichts der jüngsten Ereignisse stelle ich diesen Antrag auf Zugang zu personenbezogenen Daten gemäß Artikel 15 der Allgemeinen Datenschutzverordnung.

[…]

Ich füge eine Kopie der Dokumentation bei, die zur Überprüfung meiner Identität erforderlich ist. Wenn Sie weitere Informationen benötigen, kontaktieren Sie mich bitte unter meiner oben angegebenen Adresse.
Ich möchte Sie zunächst darauf hinweisen, dass ich eine Antwort auf meine Anfrage innerhalb eines Monats gemäß Artikel 12 erwarte, andernfalls werde ich meine Anfrage mit einem Beschwerdebrief an die geeignete Datenschutzbehörde weiterleiten.#

Verlangt wurden sodann folgende Auskünfte:

1. Bitte bestätigen Sie mir, ob meine personenbezogenen Daten verarbeitet werden oder nicht. Wenn ja, teilen Sie mir bitte die Kategorien von personenbezogenen Daten mit, die Sie über mich in Ihren Dateien und Datenbanken haben.
a. Bitte teilen Sie mir insbesondere mit, was Sie über mich in Ihren Informationssystemen wissen, ob sie in Datenbanken enthalten sind oder nicht, einschließlich E-Mail, Dokumente in Ihren Netzwerken oder Sprache oder andere Medien, die Sie speichern können.
b. Bitte teilen Sie mir zusätzlich mit, in welchen Ländern meine personenbezogenen Daten gespeichert oder zugänglich sind. Wenn Sie zur Speicherung oder Verarbeitung meiner Daten Cloud-Services nutzen, geben Sie bitte die Länder an, in denen sich die Server befinden, in denen meine Daten gespeichert sind oder waren (in den letzten 12 Monaten).
c. Bitte geben Sie mir eine Kopie oder Zugriff auf meine personenbezogenen Daten, die Sie haben oder verarbeiten.
2. Bitte geben Sie mir eine detaillierte Aufstellung über die spezifischen Verwendungszwecke, die Sie mit meinen personenbezogenen Daten vorgenommen haben, durchführen oder durchführen werden.
3. Bitte geben Sie eine Liste aller Dritten an, an die Sie meine personenbezogenen Daten weitergegeben haben (oder haben können).
a. Wenn Sie die spezifischen Dritten, an die Sie meine personenbezogenen Daten weitergegeben haben, nicht mit Sicherheit identifizieren können, geben Sie bitte eine Liste der Dritten an, denen Sie meine personenbezogenen Daten möglicherweise mitgeteilt haben.
b. Bitte geben Sie auch an, welche Rechtsordnungen, die Sie unter 1(b) oben genannt haben, diese Dritten, an die Sie meine personenbezogenen Daten weitergegeben haben oder möglicherweise weitergegeben haben, von denen aus diese Dritten meine personenbezogenen Daten gespeichert haben oder darauf zugreifen können. Bitte geben Sie auch Aufschluss über die Rechtsgrundlagen für die Übermittlung meiner personenbezogenen Daten an diese Gerichtsbarkeiten. Wenn Sie dies auf der Grundlage geeigneter Sicherheitsvorkehrungen getan haben oder tun, stellen Sie bitte eine Kopie zur Verfügung.
c. Darüber hinaus möchte ich wissen, welche Schutzvorkehrungen in Bezug auf diese Dritten getroffen wurden, die Sie im Zusammenhang mit der Übermittlung meiner personenbezogenen Daten festgelegt haben.
4. Bitte teilen Sie mir mit, wie lange Sie meine personenbezogenen Daten speichern, und wenn die Speicherung auf der Kategorie der personenbezogenen Daten basiert, geben Sie bitte an, wie lange jede Kategorie aufbewahrt wird.

So weit, so gut. Kniffelig könnte es für Mandanten mit den folgenden Problemen werden, denn regelmäßig dürfte es kaum möglich sein, oder nur mit großem Aufwand verbunden sein, folgende Informationen bereitzustellen.

5. Wenn Sie zusätzlich personenbezogene Daten über mich aus einer anderen Quelle als mir erfassen, geben Sie mir bitte alle Informationen über deren Herkunft gemäß Artikel 14 des GDPR.
6. Wenn Sie automatisierte Entscheidungen über mich treffen, einschließlich der Erstellung von Profilen, ob nun auf der Grundlage von Artikel 22 des GDPR, informieren Sie mich bitte über die Grundlage für die Logik bei der Durchführung solcher automatisierten Entscheidungen sowie über die Bedeutung und Folgen einer solchen Verarbeitung.

Und die weiteren Punkte treffen hoffentlich kaum auf jemanden zu. Es wäre wohl besser, wenn technisch alles mögliche getan wird, um zu den Fragen 7+ erst gar keine Antwort geben zu müssen.

7. Ich möchte wissen, ob meine personenbezogenen Daten in der Vergangenheit versehentlich von Ihrem Unternehmen oder aufgrund einer Sicherheits- oder Datenschutzverletzung weitergegeben wurden oder nicht.
a. Wenn ja, informieren Sie mich bitte über die folgenden Details zu jedem einzelnen Verstoß:
i. eine allgemeine Beschreibung des Geschehens;
ii. das Datum und die Uhrzeit der Verletzung (oder die bestmögliche Schätzung);
iii. das Datum und die Uhrzeit der Feststellung der Verletzung;
iv. die Quelle der Verletzung (entweder Ihr eigenes Unternehmen oder ein Dritter, an den Sie meine personenbezogenen Daten übermittelt haben);
v. Angaben zu meinen personenbezogenen Daten, die weitergegeben wurden;
vi. die Einschätzung Ihres Unternehmens über das Risiko eines Schadens für mich selbst als Folge der Verletzung;
vii. eine Beschreibung der getroffenen oder zu treffenden Maßnahmen, um einen weiteren unbefugten Zugriff auf meine personenbezogenen Daten zu verhindern;
viii. Kontaktinformationen, damit ich weitere Informationen und Unterstützung im Zusammenhang mit einem solchen Verstoß erhalten kann, und
ix. Informationen und Ratschläge darüber, was ich tun kann, um mich gegen jegliche Schäden, einschließlich Identitätsdiebstahl und Betrug, zu schützen.

[…]

Verständlich, aber auch ein gutes Zeichen für einen Troll sind dann diese Fragen:

a. Bitte informieren Sie mich, ob Sie meine personenbezogenen Daten auf Band, Diskette oder anderen Medien gesichert haben, wo sie gespeichert sind und wie sie gesichert sind, einschließlich der Maßnahmen, die Sie zum Schutz meiner personenbezogenen Daten vor Verlust oder Diebstahl ergriffen haben, und ob dies auch die Verschlüsselung einschließt.
b. Bitte teilen Sie mir auch mit, ob Sie über eine Technologie verfügen, die es Ihnen mit hinreichender Sicherheit ermöglicht zu wissen, ob meine personenbezogenen Daten weitergegeben wurden oder nicht, einschließlich, aber nicht beschränkt auf das Folgende:
i. Einbruchmeldeanlagen;
ii. Firewall-Technologien;
iii. Zugangs- und Identitätsmanagement-Technologien;
iv. Datenbank-Audit- und/oder Sicherheitswerkzeuge; oder,
v. Verhaltensanalyse-Tools, Protokollanalyse-Tools oder Audit-Tools;
9. In Bezug auf Mitarbeiter und Auftragnehmer weisen wir Sie auf die folgenden Punkte hin:
a. Welche Technologien oder Geschäftsverfahren müssen Sie anwenden, um sicherzustellen, dass Personen innerhalb Ihres Unternehmens überwacht werden, um sicherzustellen, dass sie absichtlich oder unabsichtlich keine personenbezogenen Daten außerhalb Ihres Unternehmens, per E-Mail, Webmail oder Instant Messaging oder anderweitig offenlegen?
b. Gab es in den letzten zwölf Monaten Umstände, unter denen Mitarbeiter oder Auftragnehmer wegen unsachgemäßem Zugriff auf meine personenbezogenen Daten entlassen und/oder strafrechtlich verfolgt wurden oder wenn Sie dies bei Kunden nicht feststellen können?
c. Bitte teilen Sie mir mit, welche Schulungs- und Sensibilisierungsmaßnahmen Sie ergriffen haben, um sicherzustellen, dass Mitarbeiter und Auftragnehmer in Übereinstimmung mit der Allgemeinen Datenschutzverordnung auf meine personenbezogenen Daten zugreifen und diese verarbeiten.

Da aktuell dieser oder ähnliche Briefe durch das Internet geistern, sollte man sich gut überlegen, wie mit solchen Anfragen umgegangen wird. Es ist aktuell schwer zu sagen, ob Datenschutzbehörden in Deutschland einschreiten oder abmahnen, wenn derartige Anfrage, die rein theoretisch wohl berechtigt sind, schlicht nicht beantwortet werden.

Es gibt zwar Möglichkeiten und auch Argumente, zumindest die Beantwortung von einem Großteil der Fragen zu verweigern, dies sollte aber mit Sicherheit mit dem eigenen Datenschutzbeauftragten oder Rechtsberater abgestimmt werden.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.