Auskunft – selten korrekt

Einige haben vielleicht schon eine Auskunft angefordert. Dann kommen meist per Post ein paar Seiten Papier mit Stammdaten wie Namen, Emailadresse, und welchen Vertrag man hat. Ist das alles? Sehr wahrscheinlich nicht. Ich habe von Auskunfteien abgesehen bisher noch keine Auskunft erhalten, die mir vollständig erschien. Und ich unterstelle gar nicht, dass Auskunfteien besser Auskunft erteilen als andere Unternehmen, mir ist nur deren Geschäftsmodell und welche Daten sie sammeln nicht so klar wie bei anderen Organisationen, und da ich noch kein Haus abbezahlen musste haben die vermutlich auch nicht allzu viel von mir. Bei anderen Unternehmen fällt es mir leichter Defizite festzustellen. Vermutlich besser als anderen Betroffenen, denn ich bin als Freiberufler selbst Unternehmer der die DSGVO einhalten muss, und als früherer Softwareentwickler bei SAP habe ich mehr Einblick in die Datenverarbeitung bei Unternehmen gesammelt als andere.

Die Erwägungsgründe sind formal nicht Teil des Rechts, werden aber gerade bei Artikel 15 sehr oft herangezogen und kontrovers ausgelegt. Also beides: Erwägungsgründe und Artikel 15:

DSGVO Erwägungsgrund 63
1Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, dieerhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmenkönnen, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. 2Diesschließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwaDaten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse,Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. 3Jede betroffene Personsollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken diepersonenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer dieEmpfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denendie Verarbeitung auf Profiling beruht. 4Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einemsicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenenDaten ermöglichen würde. 5Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nichtbeeinträchtigen. 6Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigertwird. 7Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte erverlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.
DSGVO Artikel 15 Auskunftsrecht der betroffenen Person
(1)
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob siebetreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diesepersonenbezogenen Daten und auf folgende Informationen:
a)
die Verarbeitungszwecke;
b)
die Kategorien personenbezogener Daten, die verarbeitet werden;
c)
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d)
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e)
das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f)
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g)
wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbarenInformationen über die Herkunft der Daten;
h)
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweiteund die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(2)
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat diebetroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlungunterrichtet zu werden.
(3)
Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zurVerfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenesEntgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sinddie Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4)
Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nichtbeeinträchtigen.

Die Auskunft wird gerne mal als das Königsrecht bezeichnet, weil ein Betroffener alle anderen Rechte nur dann sinnvoll wahrnehmen kann, wenn er weiß welche Daten verarbeitet werden und ggfs. auch Berichtigung, Löschen oder Sperren geltend machen kann.

Im folgenden will ich erst einen Überblick über meine Auskunftsanfragen geben, dann auf den Ablauf und auf die zu erwartenden Inhalte eingehen:

Lesenswert auch die folgenden Seiten:

Meine Auskunftsanfragen

Meine inzwischen - bitte schalten Sie Javascript ein - Auskunftsanfragen im Überblick, soweit ich Unterlagen dazu finden konnte, und nicht auf alle werde ich im folgenden eingehen. Und vorab, - bitte schalten Sie Javascript ein - davon mündeten in einer Beschwerde. Es wären noch mehr Beschwerden, wenn man sich auch über eine Aufsicht irgendwo beschweren könnte. Rechnet man die - bitte schalten Sie Javascript ein - Auskunftsanfragen an Aufsichten und die - bitte schalten Sie Javascript ein - noch nicht fälligen Auskünfte heraus, dann bleiben noch - bitte schalten Sie Javascript ein -, also sind etwa 2/3 der Auskünfte in meinen Augen mangelhaft, wobei ich nicht wegen jeder Kleinigkeit Beschwerde eingereicht habe. Dass dann bei vielen steht abgelehnt oder Ablehnung angekündigt – da frag ich mich dann schon wessen Interessen die Aufsicht vertritt. Aber dazu demnächst einen anderen Artikel.

Verantwortlicher Aktenzeichen Status der Beschwerde Datum der Beschwerde Aktuellste Informationen (inkl. nach Artikel 77/78) Beschwerdeinhalt bzw. Kommentar

Ablauf

Nach dem man die Auskunft beantragt hat, heißt es erstmal Geduld haben. 1 Monat darf es dauern, mit Begründung auch länger, maximal drei Monate. Das wird gerne ausgeschöpft, was für mich darauf hindeutet, dass es weder Routine noch automatisiert ist. Warum eigentlich nicht? Vermutlich weil bisher viel zu wenige Betroffene danach fragen, also bitte stürmt die Verantwortlichen. Denn Auskunft ist umso teurer je mehr Daten gesammelt werden, also erhöht jede Auskunftsanfrage den Druck, sparsamer mit Daten umzugehen, oder zumindest die Auskunft zu automatisieren.

Identifizierung?

Der Verantwortliche ist verpflichtet, ggfs. die Identität des Auskunftssuchenden zu überprüfen, damit die persönlichen Daten nicht in falsche Hände geraten. Beantragt man die Auskunft per Post und hat der Verantwortliche die Adresse in seinem Datenbestand, dann wird die Antwort auch per Post kommen. Anders beim Antrag per Email oder Online – da kommen schon einige ins Stolpern. Aber auch das lässt sich lösen, indem ggfs. ein Passwort oder ein Datenträger per Post verschickt wird. Passwort per Telefon halte ich für keine wirklich gute Idee, habe ich aber auch schon zweimal erlebt. Eine Kopie des Personalausweises zu fordern ist in meinen Augen nicht statthaft, insbesondere wenn dann auch noch die empfohlenen Schwärzungen nicht akzeptiert werden. Ausgerechnet das Landesamt für Verfassungsschutz Hamburg ignoriert das Personalausweisgesetz und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit tut nichts.

Gestufte Auskunft?

Dieser Begriff wird immer mal wieder von Aufsichten, Arbeitsgerichten, und dann auch Arbeitgebern verwendet, wenn eine Auskunft unvollständig war. Der Begriff taucht in der DSGVO nicht auf, also erfunden. Dahinter verbirgt sich, dass man erstmal die Informationen mit ein paar Stammdaten herausrückt, und alles weitere nur auf ausdrückliche Nachfrage herausgibt – allerdings ohne auf die Unvollständigkeit hinzuweisen. Das ist in meinen Augen nicht vereinbar mit Erwägungsgrund 63 Satz 1, denn wenn ich nur bekomme was ich schon kenne und daher verlangen kann, dann bekomme ich auch kein Bewusstsein, das hab ich schon. Da fehlt es leider an Unrechts-Bewusstsein bei den Verantwortlichen. Wenn man den Aufwand rechtskonform minimieren will, dann sollte man erstmal die vollständigen Informationen herausgeben und dann fragen, ob und welche Datenkopien gewünscht sind. Was man heute an Misch von unvollständigen Informationen und unvollständigen Datenkopien bekommt ist in meinen Augen eher Irreführung der Betroffenen.

Negativauskunft?

Damit bezeichnet man den Fall, dass der Verantwortliche (bisher) gar keine Daten von einem hat. Das kann natürlich eintreten wenn ich bei einer Organisation anfrage, mit der ich bisher nichts zu tun hatte. Hatte man schon Kontakt, dann ist der Verantwortliche eher desorganisiert – so z.B. der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, siehe Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg – ein schwarzes Loch? Da Auskünfte dokumentiert werden, muss in der nächsten Auskunft zumindest diese auftauchen, zumindest innerhalb der Aufbewahrungsfrist.

Exzessivität?

Wenn man zu oft nach einer Auskunft fragt, kann der Verantwortliche die ablehnen, gestützt auf Erwägungsgrund 63 Satz 1. Die einschlägigen Kommentare sagen alle drei Monate und der BfDI hält sich strikt daran, auch wenn ich denke, nach Berichtigungen sollte man die auch via eine erneute Auskunft überprüfen dürfen können. Da hilft dann abwarten bis zum Beginn des nächsten Quartals.

Vollständig?

Was man bei jeder Auskunft machen kann, ist die Informationen nach Artikel 15 I mit denen der Datenkopie nach Artikel 15 III vergleichen. Die römischen Ziffern stehen bei den Juristen immer für den entsprechenden Absatz. Wenn ich zwischen den Informationen und der Datenkopie irgendetwas nicht zuordnen kann, und kaum ein Verantwortlicher liefert eine klare Zuordnung mit, dann macht mich das misstrauisch – und stellt in meinen Augen auch einen Verstoß gegen die Anforderung ... in präziser, transparenter, verständlicher und leicht zugänglichen Form ... in Artikel 12 I Satz 1. Und dann vergleiche ich die Auskunft mit dem, was ich in meiner Beziehung mit der Organisation schon an Daten ausgetauscht habe, also in meinem Archiv finde. Dabei spielt es zumindest bei großen Organisationen keine Rolle ob ich etwas elektronisch oder auf Papier erhalten habe – fast alle archivieren elektronisch und damit ist die DSGVO anwendbar. Was ich dabei an Erwartungen zusammengetragen habe findet sich unten im Abschnitt Inhalte.

Zur Vollständigkeit auch eine Diskussion im BfDI Forum: Auskunftsrecht nach BGH-Urteil und das BGH-Urteil VI ZR 576/19 vom 15.06.2021. Nicht verschwiegen werden soll, dass es auch andere Meinungen gibt, einen ersten Eindruck vermittelt Auskunftsanspruch kann nicht uneingeschränkt geltend gemacht werden.

Datenexport und Rechte anderer Personen ?

Ich kann mich nicht erinnern, jemals Angaben nach Absatz 2 – Übermittlung in ein Drittland oder an eine internationale Organisation – gesehen zu haben, mit Ausnahme der großen Cloud-Anbieter wie z.B. in der Datenschutzerklärung von Amazon – Abschnitt Datenübermittlung an Länder außerhalb des Europäischen Wirtschaftsraums. Ob da die alten oder neuen Standardvertragsklauseln gemeint sind und ob die neuen wirklich legal sind – ich weiß es nicht. Andere Verantwortliche halten sich da wohl bedeckter, und oft finden solche Übermittlungen bei (Unter)Auftragsverarbeitern statt. Ich würde mal vermuten, dass angesichts von Schrems II kaum ein Verantwortlicher dazu etwas schreiben würde, und Amazon das nur tut, weil es so offensichtlich ist. Finden sich dazu keine Angaben in der Auskunft und vermutet man, dass Daten insbesondere in die Vereinigten Staaten übermittelt werden, dann nach dieser Anleitung nachfragen.

Absatz 4 schützt die Rechte anderer Personen. Teile der Auskunft deswegen zu verschweigen oder zu verweigern ist nicht erlaubt. Das kann dann dazu führen, dass manche Dokumente geschwärzt oder sonst irgendwie radiert sind, damit die Namen oder auch andere Informationen über Dritte nicht lesbar sind. Am ehesten tritt das wohl bei Arbeitgebern oder Behörden ein. Bei IONOS sind auch Namen von Mitarbeitern sichtbar, aber da das teilweise nach außen sichtbare Ansprechpartner sind kann das in Ordnung sein. Wenn das Schwärzen vergessen wird, ist das ein Fauxpas über den sich dann die Dritten beschweren können – vorgekommen beim BfDI.

Form?

Wenn ich meine Auskunft elektronisch angefordert habe, z.B. per Online-Formular oder Email, dann ist per Post übrigens falsch. Dann muss nach Artikel 15 III Satz 3 die Auskunft oder zumindest die Datenkopie auch elektronisch sein. Das Problem Identifzierung habe ich schon oben angesprochen, wenn er deswegen die Daten redundant per Post und auf einem anderen Weg schickt, oder per Post ein Passwort dann ist das in Ordnung – so z.B. bei der Schufa. Der BfDI schickt ein Passwort per Email und eine CD, das ist natürlich schlechter als die Daten per Email und das Passwort per Post, aber was soll´s. Ich habe noch keine Organisation gesehen, die Erwägungsgrund 63 Satz 4 konsequent umsetzt, noch nicht einmal eine Aufsicht. Außerdem setzt auch keine der Aufsichten die Orientierungshilfe zur Emailverschlüsselung um und verwendet qualifizierte Transportverschlüsselung. Stattdessen wollen alle einen PGP-Schlüssel, aber PGP will ich nicht benutzen und muss ich auch nicht.

Was tun bei keiner, unvollständiger oder falscher Auskunft?

Grundsätzlich hat man drei Optionen:

  1. beim Verantwortlichen nachhaken,
  2. bei der Auskunft Beschwerde einreichen,
  3. den Verantwortlichen verklagen.

1. ist durchaus sinnvoll, aber man sollte es auch nicht übertreiben, denn meist bekommt man dann doch nur bla-bla und hängt in der Endlosschleife eines Servicecenters. Dann ist 2. angesagt. Die Aufsicht wird nicht begeistert sein und manchmal gar nicht reagieren, manchmal auch abwehren, aber das ist in meinen Augen dennoch der sinnvollste Weg. Denn nur wenn die Aufsicht damit routiniert umgeht, entscheidet und auch mal Strafen verhängt, dann wird Datenschutz in Organisationen ernster genommen.

Und warum nicht 3.? Das ist leider der teuerste Weg, ohne Anwalt auch noch riskanter, und einen Anwalt zu finden ist schwierig bis unmöglich. Mit Anwalt nicht unbedingt riskanter als 2., denn sowohl bei Gericht als auch bei der Aufsicht kann eine Fehlentscheidung herauskommen, aber das Verfahren bei der Aufsicht ist gebührenfrei und zwingt die Auskunft dazu, auf Dauer effizienter zu werden. Nicht statthaft ist es, wenn die Aufsicht sich auf keine Ressourcen berufen will – das darf sie nicht.

Natürlich bleibt da ein Problem: wenn ich gar nicht weiß, welche Daten ein Verantwortlicher sammelt und verarbeitet, wie soll ich dann das überprüfen und geltend machen? Das ist der Sinn dieser Seite. Ich möchte gerne gute und schlechte Beispiele sammeln und auswerten, und die Erkenntnisse daraus hier zusammentragen. Dann können Betroffene vergleichen und Ihre Rechte informierter geltend machen. Ich lade also Betroffene ein, mit mir – ggfs. geschwärzte – Auskünfte zu teilen und auf diesem Wege eine Erwartungshaltung gegenüber Verantwortlichen und Aufsicht zu erzeugen.

Überraschung?

Ich erhielt eine Benachrichtigung wegen einer Datenpanne. Da ich mich nicht erinnern konnte, was ich mit dem Verantwortlichen zu tun hatte, habe ich eine Auskunft angefordert. Es stellte sich heraus, dass jemand anderes eine alte Emailadresse von mir verwendet hat. Ob die Auskunft vollständig war ist da natürlich schwer zu beurteilen. Ich bat um Löschung der Daten.

Inhalte

Im folgenden will ich ein paar typische Organisationen charakterisieren. Eine Organisation kann dabei natürlich in mehrere Klassen hineinpassen. So trifft auf einen Arbeitgeber der das privates Surfen am Arbeitsplatz nicht verbietet – siehe Nutzung privat... – die Klassen "Alle Organisationen", "Arbeitgeber" und "Telekommunikationsanbieter".

Bisher hat keine Aufsicht im Zusammenhang mit einer meiner Beschwerden ein Verfahrensverzeichnis eingeholt, obwohl das meiner Meinung nach helfen würde, die folgenden Listen zu vervollständigen.

Alle Organisationen

So ziemlich alle Organisationen sammeln:

  • Stammdaten, Verträge, Vertragsänderungen (jeweils bis über Vertragsende hinaus), auch AGB und Leistungsbeschreibungen,
  • Handelsbriefe (10 Jahre), insbesondere auch Bestellungen und Rechnungen,
  • Einwilligungen, insbesondere auch das SEPA-Mandat aka Einzugsermächtigung,
  • Servicemeldungen/-aufträge bei Problemen oder Produktanfragen (manche Firmen – z.B. IONOS – fassen alles als Handelsbriefe auf, das ist nur richtig wenn daraus ein Vertrag wird und wird üblicherweise dann auch dort festgehalten),
  • Korrespondenz jeglicher Art in Email, Fax, Briefe, professionelle Firmen haben auch Gesprächsnotizen von Telefonaten,
  • Informationen, ob und welche Daten von Dritten erhalten wurden oder an Dritte weitergegeben werden,
  • Zahlungen in Kontoauszügen und Buchhaltung.

All das sollte sich sowohl in den Informationen als auch in der Datenkopie wiederfinden. Aber in den meisten Fällen findet man erstmal nur die erste Zeile, den Rest muss man nachfordern. So z.B. in meiner Anfrage bei IONOS mit anschließender Beschwerde, die dann trotz aller Mängel der Auskunft abgelehnt wurde – für mich unverständlich.

Speziell bei den Informationen die an Dritte weitergegeben werden: da kann man sehr konkrete Informationen erwarten, wer, wann, was erhalten hat – das fällt unter die Weitergabekontrolle des Anhangs zum §9 altes BDSG, und solche Weitergaben werden in aller Regel protokolliert oder nachvollziehbar dokumentiert.

Arbeitgeber

Der Arbeitgeber sammelt natürlich Unmengen von Daten:

  • Personalakte einschließlich den vorgelegten Krankmeldungen, Bescheinigungen, Zeugnissen, Ermahnungen oder Abmahnungen,
  • Gehaltsabrechnungen und Sozialversicherungsmeldungen,
  • Urlaubsanspruch und genommene Urlaubstage,
  • Arbeitszeitnachweise und interne Verrechnungen durch Projektsysteme oder Kostenrechnung,
  • Erstellte Belege, Formulare und Dokumente auf Dateiservern, Dokumentenmanagementsystemen, Workflows, betriebswirtschaftlichen Anwendungen, Webseiten, etc.,
  • Emails, Diskussionsforen, oder andere interne Kommunikationsmittel.

Diese Liste ist vermutlich unvollständig und muss möglicherweise auch nach Betriebsgröße oder Tätigkeiten unterschieden werden. Ich kenne halt auch nicht jeden Betrieb. In der Softwareindustrie fallen mir sofort noch Quellcoderepositories als weitere Datenablage ein.

Der Arbeitgeber – oder bei mir Kunde wie Dataport – wird sich fast immer auf Erwägungsgrund 63 Satz 7 berufen und fragen, was man konkret sehen möchte. Ob die Antwort alles erlaubt ist, ist leider umstritten, obwohl im Artikel 15 nichts dazu steht, sondern eigentlich klar Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zurVerfügung. Die einschlägigen Kommentare sagen ja, man darf, aber die Arbeitsgerichte und manche Aufsichten sind hier besonders zurückhaltend bei der Gewährung des Auskunftsanspruchs, was man allenfalls mit der Menge von Spuren die man in einem Unternehmen hinterlässt nachvollziehen kann, aber eine derartige Einschränkung findet sich eigentlich nicht in der DSGVO. Begründen kann man das dann evtl. noch mit dem Aufwand für das Schwärzen, denn Artikel 15 Absatz 4 gilt auch in einem Unternehmen. Und meiner Meinung nach zu Recht wird man beim Löschanspruch in der Regel auf Granit beißen – der Arbeitgeber hat ja schließlich für das Arbeiten und die Ergebnisse bezahlt und daher greift auch meist eine der Ausnahmen in Artikel 17.

Telekommunikationsanbieter

Telekommunikationsanbieter im Sinne von §3 II TTDSG – öffentliche Telekommunikationsdienste, Betreiber öffentlicher Telekommunikationsnetze, und Betreiber von Telekommunikationsanlagen – dürfen und müssen zusätzlich zu dem was alle sammeln die folgenden Daten sammeln:

  • Inhaltsdaten (teilweise nur während der Übertragung, teilweise dauerhaft – bei Email, Messengern, etc., und auch dann wenn Ende-zu-Ende-Verschlüsselung verwendet wird) – §6 TTDSG,
  • Verkehrsdaten im Sinne von §9 TTDSG – die müssen aber mit Ausnahme der Daten für die Entgeltermittlung und Entgeltabrechnung gleich gelöscht werden,
  • Entgeltermittlung und Entgeltabrechnung im Sinne von §10 TTDSG,
  • Einzelverbindungsnachweis nach §11 TTDSG sofern gewünscht,
  • Standortdaten (Mobilfunkzelle, IP-Adresse) nach §13 TTDSG,
  • Daten zu Störungen/Dienstausfällen (§12 TTDSG und §58 II TKG).

Inhaltsdaten und Verkehrsdaten sollten meiner Meinung nach in den Informationen auftauchen, nicht aber in einer Datenkopie, denn §3 III TTDSG verbietet das. Kommentare dazu habe ich aber noch keine gesehen, und leider enthält das TTDSG keine Definition von näheren Umstände. Da Standortdaten m.W. länger aufbewahrt werden und teilweise anderen Zwecken dienen können, würde ich die aber auch in der Datenkopie erwarten. Bei den Störungen ist wichtig zu wissen, dass auch die Router dazu Informationen erfassen und melden, man die als Nutzer aber nicht zu sehen bekommt – was in meinen Augen nicht korrekt ist.

Beim Vodafone-Konzern habe ich schon vier Mal nach Auskunft gefragt, zwei Gerichtsverfahren und vier offene Beschwerden beim BfDI am laufen – oder stehen, denn Vodafone und BfDI versuchen alles auszusitzen. Meine erste Auskunft vom 11.02.2020 hat nur Daten zum Internetanschluss enthalten, Mobiltelefonie hat vollständig gefehlt. Die wurde erst nachgereicht als ich schon Beschwerde eingereicht hatte – aber immer noch unvollständig. Meine Standortdaten habe ich von Vodafone bisher nicht bekommen (Auskunft vom 30.07.2020). Einzelverbindungsnachweis darf zwar beim Festnetz leer sein, weil ich da einen anderen Anbieter nutze, nicht aber beim genutzten Mobilvertrag. Und verstehen Sie was eine Zustimmung "White-mail" sein soll? Ich auch nicht. Auf die Auflösung warte ich auch noch.

Eine der Beschwerden in der auch Emails mit Bezug zu anderen enthalten sind findet sich in Vodafone West und neue Domänen. Das TTDSG hat Vodafone anscheinend noch nicht gelesen, denn die Information vom April nahm keinerlei Bezug darauf. Auch Daten zu den Störungen die ich erleiden musste habe ich nicht erhalten, von zwei Anrufen bei der Hotline abgesehen, jedenfalls keine Informationen die §58 II TKG erfüllen würden.

In Spanien läuft eine Beschwerde gegen die Aufsicht, siehe No right to access your own location data? Und natürlich sind alle Telekommunikationsanbieter immer hart an der Grenze zur Vorratsdatenspeicherung.

Versicherungen

Versicherungen wollen ja Ihr Geschäftsmodell optimieren, daher verlangen sie zusammen mit dem Antrag meist ganz viele Daten von uns, bei Kranken- oder Lebensversicherungen meist ganz viele Gesundheitsdaten und oft auch die Zustimmung Ärzte von der Schweigepflicht zu entbinden und sich bei denen erkundigen zu dürfen. All diese Angaben und auch die eingeholten Auskünfte von den Ärzten gehören in die Auskunft. Analog bei anderen Versicherungen, nur dass die sich je nach Branche nach anderem und bei anderen erkundigen.

Ich habe bei der Lebensversicherung Entis eine Auskunft beantragt, aber musste Beschwerde einreichen. Und weil sie beim Zusenden den USB-Datenträger und die PIN in den gleichen Umschlag gesteckt haben musste ich auch noch Beschwerde wegen Verstoß gegen Artikel 32 einreichen. Das Verfahren läuft immer noch und ich habe noch immer nicht alle Daten die ich erwarten würde.

Vermieter und Hausverwaltung

Da fällt mir zusätzlich zum oben genannten vor allem die Nebenkostenabrechnung ein. Da hat sich auch schon ein Hausverwalter gesperrt und behauptet er habe keine Daten von Mietern. Ganz falsch, denn insbesondere die Verbrauchsablesungen sind sehr personenbezogen und damit die ganze Abrechnung insoweit sie auf den Mieter umgelegt wird. Weglassen darf der meiner Meinung nach nur, was vom Vermieter bezahlt wird.

Ärzte

  • Untersuchungsergebnisse, Diagnosen, Rezepte, Medikation, Krankschreibungen,
  • Arztbriefe an und von anderen Ärzten, Einweisungen

Ärzte wollen gerne Mal etwas berechnen, wenn man sich bei ihnen nach einem alten Untersuchungsergebnis erkundigt, das man vielleicht an anderer Stelle braucht. Der Hinweis auf die Artikel 15 DSGVO hilft, die Gebühr abzuwehren.

Auskunfteien

Eine kostenlose Auskunft nach DSGVO der Schufa (Auskunft vom 09.11.2019) sieht völlig anders aus als die teurere Bonitätsauskunft, die ein bekanntes Immobilienportal gerne als ganz wichtig anpreist. Natürlich kann man die kostenlose Version auch selbst schwärzen und weiterreichen – wenn der Vermieter die wirklich sehen möchte. Fast immer bevorzugt der die letzten Gehaltsabrechnungen. Fast am Ende der Download-Code mit dem man an eine elektronische Version kommt. Die ist dann nicht Text sondern mehrere Bilder.

Zum Vergleich auch noch die Auskünfte von Boniversum und Bürgel. Ob die Auskünfte vollständig sind kann ich nicht beurteilen, schon lange nichts mehr auf Kredit gekauft. Und nein, ich habe keine Ahnung warum Trulioo Information Services sich für mich interessiert.

Der BfDI hat ein FAQ zu Auskunfteien veröffentlicht.

Behörden und Datenschutzaufsicht

Bei Behörden kann man

  • eine Übersicht aller Verfahren an denen man beteiligt ist,
  • bei elektronischer Aktenführung die entsprechenden Inhalte

erwarten. Werden die Akten nicht elektronisch geführt, dann kann man die meist nach §29 VerwVerfG einsehen, muss dafür aber hinfahren oder die Kopien bezahlen. Leider die Regel aber fast schon dreist ist, wenn man angehört wird, aber dann erstmal Auskunft oder Akteneinsicht beantragen muss.

Ich habe Auskünfte bei der Bundesnetzagentur, dem Bundesamt für Unsicherheit angefordert – natürlich unvollständig. also habe ich Widerspruch beim BSI wegen der nicht gewährten Akteneinsicht einreicht und Beschwerde beim BfDI wegen unvollständiger Auskunft. Auch bei einigen Datenschutzaufsichten habe ich Auskunft eingefordert – auch die machen nicht alles richtig – entsprechende Links teilweise in der Tabelle oben. Schon allein dass man oft nur eine Eingangsbestätigung, danach aber keine Standmitteilungen erhält ist nicht gerade DSGVO-konform. Mit den Auskunftsanfragen kann man dann wenigstens die Untätigkeit nachvollziehen.

Versandhandel

Ich habe eine Auskunft bei Amazon angefordert. Das ist eine so spezielle Erfahrung, dass sie auf Beschwerde Amazon gelandet ist.

Personaldienstleister

Ich habe eine Auskunft bei Hays angefordert, auch weil die ein Zeiterfassungssystem haben, das die Abrechnung zwischen Freiberuflern und Endkunden unterstützen soll – und unklar ist wer das erbringt, sowie weil sie IDnow verwenden und mir deren Praktiken so fragwürdig erscheinen, dass ich Beschwerde beim Bayerischen Landesamt für Datenschutzaufsicht eingereicht habe.

Was darf oder muss fehlen?

Einige Daten tauchen typischerweise in keiner Auskunft auf:

  • Einwilligungen im Browser (Cookies) sofern man sich nicht authentifiziert hat,
  • Serverprotokolle, archivierte Daten und Datensicherungen (Backups).

Beim ersten Punkt liegt es daran, dass eine sichere Zuordnung zu einer Person nur auf Basis einer IP-Adresse nicht möglich ist, bei den anderen an §34 Absatz 1 BDSG das Ausnahmen erlaubt, aber dann muss der Verantwortliche sich auch darauf berufen und entsprechende Angaben in den Informationen haben.


Veröffentlicht am 14.07.2022

© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.