Auskunft – selten korrekt

Einige haben vielleicht schon eine Auskunft angefordert. Dann kommen meist per Post ein paar Seiten Papier mit Stammdaten wie Namen, Emailadresse, und welchen Vertrag man hat. Ist das alles? Sehr wahrscheinlich nicht. Ich habe von Auskunfteien abgesehen bisher noch keine Auskunft erhalten, die mir vollständig erschien. Und ich unterstelle gar nicht, dass Auskunfteien besser Auskunft erteilen als andere Unternehmen, mir ist nur deren Geschäftsmodell und welche Daten sie sammeln nicht so klar wie bei anderen Organisationen, und da ich noch kein Haus abbezahlen musste haben die vermutlich auch nicht allzu viel von mir. Bei anderen Unternehmen fällt es mir leichter Defizite festzustellen. Vermutlich besser als anderen Betroffenen, denn ich bin als Freiberufler selbst Unternehmer der die DSGVO einhalten muss, und als früherer Softwareentwickler bei SAP habe ich mehr Einblick in die Datenverarbeitung bei Unternehmen gesammelt als andere.

Die Erwägungsgründe sind formal nicht Teil des Rechts, werden aber gerade bei Artikel 15 sehr oft herangezogen und kontrovers ausgelegt. Also beides: Erwägungsgründe und Artikel 15:

DSGVO Erwägungsgrund 63

¹Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, dieerhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmenkönnen, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. ²Diesschließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwaDaten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse,Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. ³Jede betroffene Personsollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken diepersonenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer dieEmpfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denendie Verarbeitung auf Profiling beruht. ⁴Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einemsicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenenDaten ermöglichen würde. ⁵Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nichtbeeinträchtigen. ⁶Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigertwird. ⁷Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte erverlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

DSGVO Artikel 15 Auskunftsrecht der betroffenen Person

(1)

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob siebetreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diesepersonenbezogenen Daten und auf folgende Informationen:

a): die Verarbeitungszwecke;
b): die Kategorien personenbezogener Daten, die verarbeitet werden;
c): die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d): falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e): das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f): das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g): wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbarenInformationen über die Herkunft der Daten;
h): das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweiteund die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2)

Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat diebetroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlungunterrichtet zu werden.

(3)

Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zurVerfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenesEntgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sinddie Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4)

Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nichtbeeinträchtigen.

Die Auskunft wird gerne mal als das Königsrecht bezeichnet, weil ein Betroffener alle anderen Rechte nur dann sinnvoll wahrnehmen kann, wenn er weiß welche Daten verarbeitet werden und ggfs. auch Berichtigung, Löschen oder Sperren geltend machen kann.

Im folgenden will ich erst einen Überblick über meine Auskunftsanfragen geben, dann auf den Ablauf und auf die zu erwartenden Inhalte eingehen:

Lesenswert auch die folgenden Seiten:

Meine Auskunftsanfragen

Meine inzwischen - bitte schalten Sie Javascript ein - Auskunftsanfragen im Überblick, soweit ich Unterlagen dazu finden konnte, und nicht auf alle werde ich im folgenden eingehen. Und vorab, - bitte schalten Sie Javascript ein - davon mündeten in einer Beschwerde. Es wären noch mehr Beschwerden, wenn man sich auch über eine Aufsicht irgendwo beschweren könnte. Rechnet man die - bitte schalten Sie Javascript ein - Auskunftsanfragen an Aufsichten und die - bitte schalten Sie Javascript ein - noch nicht fälligen Auskünfte heraus, dann bleiben noch - bitte schalten Sie Javascript ein -, also sind etwa 2/3 der Auskünfte in meinen Augen mangelhaft, wobei ich nicht wegen jeder Kleinigkeit Beschwerde eingereicht habe. Dass dann bei vielen steht abgelehnt oder Ablehnung angekündigt – da frag ich mich dann schon wessen Interessen die Aufsicht vertritt. Aber dazu demnächst einen anderen Artikel.

Verantwortlicher	Datum der Anfrage	Aufsicht	Aktenzeichen	Status der Anfrage bzw. Beschwerde	Datum der Anfrage bzw. Beschwerde	Aktuellste Informationen (inkl. nach Artikel 77/78)	Anfrage bzw. Beschwerdeinhalt bzw. Kommentar
Vodafone	16.05.2019	Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	24-193 II#4373	abgelehnt	29.06.2019	29.11.2019	Auskunft zu intransparenter Datenverarbeitung bei der Router-Konfiguration
Boniversum	10.2019						Auskunft erhalten am 03.11.2019
Schufa	10.2019						Auskunft erhalten am 09.11.2019
CRIF Bürgel	10.2019						Auskunft erhalten am 12.11.2019
Vodafone	05.02.2020	Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	24-193 II#4702	Ablehnung angekündigt	10.03.2020	30.08.2021	unvollständige Auskunft und Auskunft nicht elektronisch (Artikel 15)
Ionos	30.06.2020	Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP)	4.02.20.365	abgelehnt	06.07.2020	24.08.2021	unvollständige Auskunft (Artikel 15)
Entis	04.08.2020	Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) -> Hessische Beauftragte für Datenschutz und Informationsfreiheit	BW: 4-4400-6/3209	offen/Abgabe unklar	27.08.2020	18.08.2022	unvollständige Auskunft und Auskunft nicht elektronisch (Artikel 15), Einwilligung in unverschlüsselte Email, Versand von Datenträger und PIN im gleichen Brief (Artikel 32), Verwendung des Geburtsdatums als Schlüssel
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	12.12.2020		u.a. JUS-854 II#0149	teilweise erfolgreich		26.05.2021	zunächst unvollständige Auskunft und Auskunft nicht elektronisch (Artikel 15) – auch das BfDI macht das nicht auf Anhieb richtig. Auch werden unnötige Daten aus Dokumenten extrahiert (Artikel 24)
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)			u.a. JUS-854 II#0149	teilweise erfolgreich	29.12.2020	26.05.2021	zunächst unvollständige Auskunft und Auskunft nicht elektronisch (Artikel 15) – auch das BfDI macht das nicht auf Anhieb richtig. Auch werden unnötige Daten aus Dokumenten extrahiert (Artikel 24)
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)	12.01.2021		4400-6	abgeschlossen	12.01.2021, 12.07.2021	05.08.2021	Auskunftsanfrage – überraschende Negativauskunft
Regiomove	01.2021						Auskunft erhalten am 25.01.2021. Sehr ungewöhnlich – Informationen auf Feldebene (Artikel 15 Absatz 1).
Vodafone West	19.01.2021	Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	24-193 II#5301	Ablehnung angekündigt	03.04.2021	28.05.2021	unvollständige Auskunft und Auskunft nicht elektronisch (Artikel 15)
Bundesnetzagentur	10.02.2021						Auskunft erhalten am 10.03.2021
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	09.03.2021		JUS-854 II#0131			17.03.2021	Auskunftsanspruch abgelehnt wegen Exzessivität
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	03.04.2021		JUS-854 II#0136			08.07.2021	Auskunft erteilt
CS Connect	14.04.2021	Hessische Beauftragte für Datenschutz und Informationsfreiheit		abgelehnt	22.05.2021	18.06.2021	falsche, nicht beim Betroffenen erhobene Daten (Artikel 5, 17, 21)
		Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)	0551.1-15/15	offen	24.08.2021	--	Beratungsanfrage zu Auftragsverarbeitung bei Email
Bundesministerium des Innern und für Heimat		Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	23-501-1 II#9725	stattgegeben	30.09.2021	06.07.2022	Verwendung von YouTube im Blick der Datenschutzkonvention 108 des Europarats (Artikel 6, Artikel 25 Absatz 2)
Bundesministerium des Innern und für Heimat		Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	16-206 II#1228	offen – Ablehnung angekündigt	03.10.2021	27.05.2022	Verschlüsselung im BSI Grundschutz? – das Verwaltungsportal Bund verschlüsselt vermutlich nicht konsequent (Artikel 32)
Baden-Württemberg – Ministerium für Inneres, Digitalisierung und Kommunen		Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)	0554.1-25/85	offen – Ablehnung versucht	12.10.2021	29.03.2022	Verschlüsselung im Verwaltungsportal? – das Verwaltungsportal BW verschlüsselt vermutlich nicht konsequent (Artikel 32)
DHL		Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	22-243 II#3748	offen	19.11.2021	05.04.2022	Einwilligung in unverschlüsselte Email (Artikel 32) DHL, der BfDI und Artikel 32
Hokify		Österreichische Datenschutzbehörde	2021-0.881.335-2-A	abgelehnt (verworfen)	14.12.2021	20.01.2022	Unklare Einwilligung und Cookie Banner (Artikel 7), unsicheres Kennwort (Artikel 32), Verwendung von AWS (Artikel 28)
Dataport AöR	15.11.2021	Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)	LD42-26.01722.00	abgelehnt	27.12.2021	10.05.2022	u.a. unvollständige Auskunft (Artikel 15), fehlendes Verarbeitungsverzeichnis (Artikel 30), sowie mangelhafte Sicherheit (Artikel 32) und fehlende Auftragsverarbeitungsvertäge (Artikel 28). Siehe Dataport – kann man nur verpfeifen.
Dataport AöR		fünf weitere Aufsichten der beteiligten Bundesländer			28.03.2022		u.a. fehlendes Verarbeitungsverzeichnis (Artikel 30), sowie mangelhafte Sicherheit (Artikel 32) und fehlende Auftragsverarbeitungsvertäge (Artikel 28). Siehe Dataport – kann man nur verpfeifen.
Bauking	31.03.2022						Aufgrund einer Datenpanne wurde ich nach Artikel 34 DSGVO informiert. Die Daten stammten aber von einem anderen Lindenberg der wohl irrtümlich eine meiner alten Emailadressen angegeben hatte.
Anwälte, Bundesrechtsanwaltskammer		Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	12-220 II#0235 u.a.	unklar	08.01.2022	12.02.2022	Emailsicherheit bei Anwälten Einwilligung in unverschlüsselte Email (Artikel 32). Siehe auch Aufsicht ohne Orientierung?
Duale Hochschule Baden-Württemberg		Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)	0554.1-23/348	offen	12.01.2022	--	Recht auf Vergessen werden, Löschen aus Verteilern (Artikel 17)
RM Group (rmgroup.ch)		Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)	0554.1-24/1019	abgelehnt ... keine Vereinbarung mit der Schweizer Seite über eine Amts- oder Rechtshilfe im Bereich datenschutzrechtlicher Beschwerden ...	01.02.2022	12.09.2022	Unverschlüsselte Emailkommunikation (Artikel 32)
Hamburger Amt für Verfassungsschutz	23.12.2021	Hamburger Landesbeauftragter für den Datenschutz	I4/382/2022	offen	02.02.2022	20.04.2022	keine Reaktion auf Auskunftsanfrage (Artikel 15), rechtswidriges Identifizierungsverfahren
Ionos, Strato, Hetzner		Bundesnetzagentur		offen	19.02.2022	23.02.2022	Verstoß gegen das Fermeldegeheimnis. Siehe auch Aufsicht ohne Orientierung?
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	19.02.2022		JUS-854 II#0174				Auskunft erteilt am 10.03.2022
Deutscher Anwaltverein		Berliner Beauftragte für Datenschutz und Informationsfreiheit		offen	04.03.2022	04.08.2022	Fehlende Datenschutzerklärung, unnötige Weitergabe von Daten an Dritte einschließlich USA und ohne entsprechende Informationen. Siehe auch Deutscher Anwaltverein und Berliner Beauftragte für Datenschutz und Informationsfreiheit
Vodafone West	20.03.2022			offen			unvollständige Auskunft und Auskunft nicht elektronisch (Artikel 15)
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)	07.04.2022		0221.4-16/123	abgeschlossen	30.03.2022	05.04.2022	IFG Anfrage Finanzierung des LfDI, Abweisung von Beschwerden/Hinweisen
Berliner Beauftragte für Datenschutz und Informationsfreihei	05.04.2022			offen		04.08.2022	Elektronische Auskunft will man nur mit PGP erteilen. Siehe auch Deutscher Anwaltverein und Berliner Beauftragte für Datenschutz und Informationsfreiheit
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)	07.04.2022		0557.0-2	unvollständig	07.04.2022	20.05.2022	Auskunft, Standmitteilung, Akteneinsicht
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)				offen	07.04.2022	--	Spam-Klassifizierung bei Email (Artikel 22)
Vodafone West		Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	?	offen	08.04.2022	--	Weigerung falsche Emailadresse zu berichtigen (Artikel 16)
Vodafone West, Vodafone		Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	24-193 II#5740	offen/hängt bei mir	08.04.2022	16.08.2022	Unberechtigte Weitergabe von Daten zwischen unterschiedlichen Verantwortlichen
Bundesamt für Sicherheit in der Informationstechnik (BSI)	22.03.2022	Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	25-170 II#1143	offen	26.04.2022	19.09.2022	unvollständige Auskunft und Auskunft nicht elektronisch (Artikel 15)
esklusiv GmbH		Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen		offen	26.04.2022	--	Einbindung von 3rd Party einschließlich US ohne Einwilligung (Artikel 7, TTDSG).
Megapart		Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)	0554.1-25/188	offen	26.04.2022	--	Einbindung von 3rd Party einschließlich US ohne Einwilligung (Artikel 7, TTDSG).
Solutions-30	30.03.2022	Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)		offen	04.05.2022	--	Auskunftswunsch ignoriert
Ex-Vermieter und Ex-Hausverwalter	01.04.2022	Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)	0554.1-24/1262	"...keine Anhaltspunkte..."	04.05.2022	29.06.2022	Auskunft "verweigert"
Gulp		Bayerisches Landesamt für Datenschutzaufsicht	LDA-1085-3847/22-I	offen	13.05.2022	28.06.2022	Einbindung von 3rd Party einschließlich US ohne Einwilligung (Artikel 7, TTDSG).
Die ZEIT Audio		Hamburger Landesbeauftragter für den Datenschutz		offen	13.05.2022	16.06.2022	Einbindung von 3rd Party einschließlich US ohne Einwilligung (Artikel 7, TTDSG).
IDnow	02.06.2022	Bayerisches Landesamt für Datenschutzaufsicht	LDA-1085.1-5176/22-F	abgelehnt	02.07.2022	29.07.2022	Einwilligung bei einem Autragsverarbeiter? (Artikel 6)
Hays	02.07.2022	Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)		offen	17.08.2022		Auskunft unvollständig (Artikel 15), Rechtsgrundlage für VideoIdent unzureichend (Artikel 6 + 5), mangelhafte Sicherheit (Artikel 32).
Amazon	05.07.2022	Bayerisches Landesamt für Datenschutzaufsicht	LDA-1085.3-6302/22-I	offen	11.07.2022	09.09.2022	Auskunft unverständlich, Artikel 15 Absatz 1 in Verbindung mit Artikel 12 Absatz 1 Satz 1.
Bundesministerium des Innern und für Heimat	08.07.2022	Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	?	offen	31.08.2022		unvollständige Auskunft und Auskunft nicht elektronisch (Artikel 15), Personalausweiskopie?
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)	14.07.2022			unvollständig	14.07.2022	25.07.2022	Auskunft und Akteneinsicht
Aldi Süd	16.07.2022						Auskunft am 15.08.2022 erhalten – Vorgaben des TTDSGs nicht eingehalten
KA-WLAN (INKA e.V.)	16.07.2022						Auskunft, Beschwerde wegen Google Fonts – 04.08.2022: Vorgaben des TTDSGs nicht eingehalten
Barclays Bank	17.07.2022	Hamburger Landesbeauftragter für den Datenschutz		offen	18.08.2022		Einwilligungen / Opt-Out, Datentransfer in Drittländer, Mobilnummer, Video-Ident (mit KI) – Artikel 22 und 32
Hanseatic Bank	17.07.2022	Hamburger Landesbeauftragter für den Datenschutz		offen	18.08.2022		Video-Ident (mit KI) – Artikel 22 und 32
Xing	25.07.2022	Hamburger Landesbeauftragter für den Datenschutz		offen	29.08.2022		Auskunft am gleichen Tag erhalten – allerdings klappt das mit der Zuordnung zwischen I,II und III nicht.
Telekom	30.07.2022						Mail nicht akzeptiert
Ebay	30.07.2022	Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg		offen	05.08.2022	--	Erpressung der Mobilfunknummer (Artikel 25 und 32)
ich-geh-wandern.de (Wanderverlag)	15.08.2022	Hessische Beauftragte für Datenschutz und Informationsfreiheit	90.22.49:0290	offen	15.08.2022	20.09.2022	Einwilligungen / Berechtigtes Interesse, Datentransfer in Drittländer
Sturm Immobilien	16.08.2022	Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)		offen	25.08.2022	--	Beschwerde wegen rechtswidriger Verarbeitung und Datenpanne, Löschung statt Auskunft
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)	01.09.2022		24-193 II#4373	offen
Hessische Beauftragte für Datenschutz und Informationsfreiheit	14.04.2021	Hessische Beauftragte für Datenschutz und Informationsfreiheit		offen	14.09.2022		Einwilligung in unsichere Emailkommunikation (Artikel 32)

Ablauf

Nach dem man die Auskunft beantragt hat, heißt es erstmal Geduld haben. 1 Monat darf es dauern, mit Begründung auch länger, maximal drei Monate. Das wird gerne ausgeschöpft, was für mich darauf hindeutet, dass es weder Routine noch automatisiert ist. Warum eigentlich nicht? Vermutlich weil bisher viel zu wenige Betroffene danach fragen, also bitte stürmt die Verantwortlichen. Denn Auskunft ist umso teurer je mehr Daten gesammelt werden, also erhöht jede Auskunftsanfrage den Druck, sparsamer mit Daten umzugehen, oder zumindest die Auskunft zu automatisieren.

Identifizierung?

Der Verantwortliche ist verpflichtet, ggfs. die Identität des Auskunftssuchenden zu überprüfen, damit die persönlichen Daten nicht in falsche Hände geraten. Beantragt man die Auskunft per Post und hat der Verantwortliche die Adresse in seinem Datenbestand, dann wird die Antwort auch per Post kommen. Anders beim Antrag per Email oder Online – da kommen schon einige ins Stolpern. Aber auch das lässt sich lösen, indem ggfs. ein Passwort oder ein Datenträger per Post verschickt wird. Passwort per Telefon halte ich für keine wirklich gute Idee, habe ich aber auch schon zweimal erlebt. Eine Kopie des Personalausweises zu fordern ist in meinen Augen nicht statthaft, insbesondere wenn dann auch noch die empfohlenen Schwärzungen nicht akzeptiert werden. Ausgerechnet das Landesamt für Verfassungsschutz Hamburg ignoriert das Personalausweisgesetz und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit tut nichts.

Gestufte Auskunft?

Dieser Begriff wird immer mal wieder von Aufsichten, Arbeitsgerichten, und dann auch Arbeitgebern verwendet, wenn eine Auskunft unvollständig war. Der Begriff taucht in der DSGVO nicht auf, also erfunden. Dahinter verbirgt sich, dass man erstmal die Informationen mit ein paar Stammdaten herausrückt, und alles weitere nur auf ausdrückliche Nachfrage herausgibt – allerdings ohne auf die Unvollständigkeit hinzuweisen. Das ist in meinen Augen nicht vereinbar mit Erwägungsgrund 63 Satz 1, denn wenn ich nur bekomme was ich schon kenne und daher verlangen kann, dann bekomme ich auch kein Bewusstsein, das hab ich schon. Da fehlt es leider an Unrechts-Bewusstsein bei den Verantwortlichen. Wenn man den Aufwand rechtskonform minimieren will, dann sollte man erstmal die vollständigen Informationen herausgeben und dann fragen, ob und welche Datenkopien gewünscht sind. Was man heute an Misch von unvollständigen Informationen und unvollständigen Datenkopien bekommt ist in meinen Augen eher Irreführung der Betroffenen.

Negativauskunft?

Damit bezeichnet man den Fall, dass der Verantwortliche (bisher) gar keine Daten von einem hat. Das kann natürlich eintreten wenn ich bei einer Organisation anfrage, mit der ich bisher nichts zu tun hatte. Hatte man schon Kontakt, dann ist der Verantwortliche eher desorganisiert – so z.B. der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, siehe Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg – ein schwarzes Loch? Da Auskünfte dokumentiert werden, muss in der nächsten Auskunft zumindest diese auftauchen, zumindest innerhalb der Aufbewahrungsfrist.

Exzessivität?

Wenn man zu oft nach einer Auskunft fragt, kann der Verantwortliche die ablehnen, gestützt auf Erwägungsgrund 63 Satz 1. Die einschlägigen Kommentare sagen alle drei Monate und der BfDI hält sich strikt daran, auch wenn ich denke, nach Berichtigungen sollte man die auch via eine erneute Auskunft überprüfen dürfen können. Da hilft dann abwarten bis zum Beginn des nächsten Quartals.

Vollständig?

Was man bei jeder Auskunft machen kann, ist die Informationen nach Artikel 15 I mit denen der Datenkopie nach Artikel 15 III vergleichen. Die römischen Ziffern stehen bei den Juristen immer für den entsprechenden Absatz. Wenn ich zwischen den Informationen und der Datenkopie irgendetwas nicht zuordnen kann, und kaum ein Verantwortlicher liefert eine klare Zuordnung mit, dann macht mich das misstrauisch – und stellt in meinen Augen auch einen Verstoß gegen die Anforderung ... in präziser, transparenter, verständlicher und leicht zugänglichen Form ... in Artikel 12 I Satz 1. Und dann vergleiche ich die Auskunft mit dem, was ich in meiner Beziehung mit der Organisation schon an Daten ausgetauscht habe, also in meinem Archiv finde. Dabei spielt es zumindest bei großen Organisationen keine Rolle ob ich etwas elektronisch oder auf Papier erhalten habe – fast alle archivieren elektronisch und damit ist die DSGVO anwendbar. Was ich dabei an Erwartungen zusammengetragen habe findet sich unten im Abschnitt Inhalte.

Zur Vollständigkeit auch eine Diskussion im BfDI Forum: Auskunftsrecht nach BGH-Urteil und das BGH-Urteil VI ZR 576/19 vom 15.06.2021. Nicht verschwiegen werden soll, dass es auch andere Meinungen gibt, einen ersten Eindruck vermittelt Auskunftsanspruch kann nicht uneingeschränkt geltend gemacht werden.

Datenexport und Rechte anderer Personen ?

Ich kann mich nicht erinnern, jemals Angaben nach Absatz 2 – Übermittlung in ein Drittland oder an eine internationale Organisation – gesehen zu haben, mit Ausnahme der großen Cloud-Anbieter wie z.B. in der Datenschutzerklärung von Amazon – Abschnitt Datenübermittlung an Länder außerhalb des Europäischen Wirtschaftsraums. Ob da die alten oder neuen Standardvertragsklauseln gemeint sind und ob die neuen wirklich legal sind – ich weiß es nicht. Andere Verantwortliche halten sich da wohl bedeckter, und oft finden solche Übermittlungen bei (Unter)Auftragsverarbeitern statt. Ich würde mal vermuten, dass angesichts von Schrems II kaum ein Verantwortlicher dazu etwas schreiben würde, und Amazon das nur tut, weil es so offensichtlich ist. Finden sich dazu keine Angaben in der Auskunft und vermutet man, dass Daten insbesondere in die Vereinigten Staaten übermittelt werden, dann nach dieser Anleitung nachfragen.

Absatz 4 schützt die Rechte anderer Personen. Teile der Auskunft deswegen zu verschweigen oder zu verweigern ist nicht erlaubt. Das kann dann dazu führen, dass manche Dokumente geschwärzt oder sonst irgendwie radiert sind, damit die Namen oder auch andere Informationen über Dritte nicht lesbar sind. Am ehesten tritt das wohl bei Arbeitgebern oder Behörden ein. Bei IONOS sind auch Namen von Mitarbeitern sichtbar, aber da das teilweise nach außen sichtbare Ansprechpartner sind kann das in Ordnung sein. Wenn das Schwärzen vergessen wird, ist das ein Fauxpas über den sich dann die Dritten beschweren können – vorgekommen beim BfDI.

Form?

Wenn ich meine Auskunft elektronisch angefordert habe, z.B. per Online-Formular oder Email, dann ist per Post übrigens falsch. Dann muss nach Artikel 15 III Satz 3 die Auskunft oder zumindest die Datenkopie auch elektronisch sein. Das Problem Identifzierung habe ich schon oben angesprochen, wenn er deswegen die Daten redundant per Post und auf einem anderen Weg schickt, oder per Post ein Passwort dann ist das in Ordnung – so z.B. bei der Schufa. Der BfDI schickt ein Passwort per Email und eine CD, das ist natürlich schlechter als die Daten per Email und das Passwort per Post, aber was soll´s. Ich habe noch keine Organisation gesehen, die Erwägungsgrund 63 Satz 4 konsequent umsetzt, noch nicht einmal eine Aufsicht. Außerdem setzt auch keine der Aufsichten die Orientierungshilfe zur Emailverschlüsselung um und verwendet qualifizierte Transportverschlüsselung. Stattdessen wollen alle einen PGP-Schlüssel, aber PGP will ich nicht benutzen und muss ich auch nicht.

Was tun bei keiner, unvollständiger oder falscher Auskunft?

Grundsätzlich hat man drei Optionen:

beim Verantwortlichen nachhaken,
bei der Auskunft Beschwerde einreichen,
den Verantwortlichen verklagen.

1. ist durchaus sinnvoll, aber man sollte es auch nicht übertreiben, denn meist bekommt man dann doch nur bla-bla und hängt in der Endlosschleife eines Servicecenters. Dann ist 2. angesagt. Die Aufsicht wird nicht begeistert sein und manchmal gar nicht reagieren, manchmal auch abwehren, aber das ist in meinen Augen dennoch der sinnvollste Weg. Denn nur wenn die Aufsicht damit routiniert umgeht, entscheidet und auch mal Strafen verhängt, dann wird Datenschutz in Organisationen ernster genommen.

Und warum nicht 3.? Das ist leider der teuerste Weg, ohne Anwalt auch noch riskanter, und einen Anwalt zu finden ist schwierig bis unmöglich. Mit Anwalt nicht unbedingt riskanter als 2., denn sowohl bei Gericht als auch bei der Aufsicht kann eine Fehlentscheidung herauskommen, aber das Verfahren bei der Aufsicht ist gebührenfrei und zwingt die Auskunft dazu, auf Dauer effizienter zu werden. Nicht statthaft ist es, wenn die Aufsicht sich auf keine Ressourcen berufen will – das darf sie nicht.

Natürlich bleibt da ein Problem: wenn ich gar nicht weiß, welche Daten ein Verantwortlicher sammelt und verarbeitet, wie soll ich dann das überprüfen und geltend machen? Das ist der Sinn dieser Seite. Ich möchte gerne gute und schlechte Beispiele sammeln und auswerten, und die Erkenntnisse daraus hier zusammentragen. Dann können Betroffene vergleichen und Ihre Rechte informierter geltend machen. Ich lade also Betroffene ein, mit mir – ggfs. geschwärzte – Auskünfte zu teilen und auf diesem Wege eine Erwartungshaltung gegenüber Verantwortlichen und Aufsicht zu erzeugen.

Überraschung?

Ich erhielt eine Benachrichtigung wegen einer Datenpanne. Da ich mich nicht erinnern konnte, was ich mit dem Verantwortlichen zu tun hatte, habe ich eine Auskunft angefordert. Es stellte sich heraus, dass jemand anderes eine alte Emailadresse von mir verwendet hat. Ob die Auskunft vollständig war ist da natürlich schwer zu beurteilen. Ich bat um Löschung der Daten.

Inhalte

Im folgenden will ich ein paar typische Organisationen charakterisieren. Eine Organisation kann dabei natürlich in mehrere Klassen hineinpassen. So trifft auf einen Arbeitgeber der das privates Surfen am Arbeitsplatz nicht verbietet – siehe Nutzung privat... – die Klassen "Alle Organisationen", "Arbeitgeber" und "Telekommunikationsanbieter".

Bisher hat keine Aufsicht im Zusammenhang mit einer meiner Beschwerden ein Verfahrensverzeichnis eingeholt, obwohl das meiner Meinung nach helfen würde, die folgenden Listen zu vervollständigen.

Alle Organisationen

So ziemlich alle Organisationen sammeln:

Stammdaten, Verträge, Vertragsänderungen (jeweils bis über Vertragsende hinaus), auch AGB und Leistungsbeschreibungen,
Handelsbriefe (10 Jahre), insbesondere auch Bestellungen und Rechnungen,
Einwilligungen, insbesondere auch das SEPA-Mandat aka Einzugsermächtigung,
Servicemeldungen/-aufträge bei Problemen oder Produktanfragen (manche Firmen – z.B. IONOS – fassen alles als Handelsbriefe auf, das ist nur richtig wenn daraus ein Vertrag wird und wird üblicherweise dann auch dort festgehalten),
Korrespondenz jeglicher Art in Email, Fax, Briefe, professionelle Firmen haben auch Gesprächsnotizen von Telefonaten,
Informationen, ob und welche Daten von Dritten erhalten wurden oder an Dritte weitergegeben werden,
Zahlungen in Kontoauszügen und Buchhaltung.

All das sollte sich sowohl in den Informationen als auch in der Datenkopie wiederfinden. Aber in den meisten Fällen findet man erstmal nur die erste Zeile, den Rest muss man nachfordern. So z.B. in meiner Anfrage bei IONOS mit anschließender Beschwerde, die dann trotz aller Mängel der Auskunft abgelehnt wurde – für mich unverständlich.

Speziell bei den Informationen die an Dritte weitergegeben werden: da kann man sehr konkrete Informationen erwarten, wer, wann, was erhalten hat – das fällt unter die Weitergabekontrolle des Anhangs zum §9 altes BDSG, und solche Weitergaben werden in aller Regel protokolliert oder nachvollziehbar dokumentiert.

Arbeitgeber

Der Arbeitgeber sammelt natürlich Unmengen von Daten:

Personalakte einschließlich den vorgelegten Krankmeldungen, Bescheinigungen, Zeugnissen, Ermahnungen oder Abmahnungen,
Gehaltsabrechnungen und Sozialversicherungsmeldungen,
Urlaubsanspruch und genommene Urlaubstage,
Arbeitszeitnachweise und interne Verrechnungen durch Projektsysteme oder Kostenrechnung,
Erstellte Belege, Formulare und Dokumente auf Dateiservern, Dokumentenmanagementsystemen, Workflows, betriebswirtschaftlichen Anwendungen, Webseiten, etc.,
Emails, Diskussionsforen, oder andere interne Kommunikationsmittel.

Diese Liste ist vermutlich unvollständig und muss möglicherweise auch nach Betriebsgröße oder Tätigkeiten unterschieden werden. Ich kenne halt auch nicht jeden Betrieb. In der Softwareindustrie fallen mir sofort noch Quellcoderepositories als weitere Datenablage ein.

Der Arbeitgeber – oder bei mir Kunde wie Dataport – wird sich fast immer auf Erwägungsgrund 63 Satz 7 berufen und fragen, was man konkret sehen möchte. Ob die Antwort alles erlaubt ist, ist leider umstritten, obwohl im Artikel 15 nichts dazu steht, sondern eigentlich klar Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zurVerfügung. Die einschlägigen Kommentare sagen ja, man darf, aber die Arbeitsgerichte und manche Aufsichten sind hier besonders zurückhaltend bei der Gewährung des Auskunftsanspruchs, was man allenfalls mit der Menge von Spuren die man in einem Unternehmen hinterlässt nachvollziehen kann, aber eine derartige Einschränkung findet sich eigentlich nicht in der DSGVO. Begründen kann man das dann evtl. noch mit dem Aufwand für das Schwärzen, denn Artikel 15 Absatz 4 gilt auch in einem Unternehmen. Und meiner Meinung nach zu Recht wird man beim Löschanspruch in der Regel auf Granit beißen – der Arbeitgeber hat ja schließlich für das Arbeiten und die Ergebnisse bezahlt und daher greift auch meist eine der Ausnahmen in Artikel 17.

Telekommunikationsanbieter

Telekommunikationsanbieter im Sinne von §3 II TTDSG – öffentliche Telekommunikationsdienste, Betreiber öffentlicher Telekommunikationsnetze, und Betreiber von Telekommunikationsanlagen – dürfen und müssen zusätzlich zu dem was alle sammeln die folgenden Daten sammeln:

Inhaltsdaten (teilweise nur während der Übertragung, teilweise dauerhaft – bei Email, Messengern, etc., und auch dann wenn Ende-zu-Ende-Verschlüsselung verwendet wird) – §6 TTDSG,
Verkehrsdaten im Sinne von §9 TTDSG – die müssen aber mit Ausnahme der Daten für die Entgeltermittlung und Entgeltabrechnung gleich gelöscht werden,
Entgeltermittlung und Entgeltabrechnung im Sinne von §10 TTDSG,
Einzelverbindungsnachweis nach §11 TTDSG sofern gewünscht,
Standortdaten (Mobilfunkzelle, IP-Adresse) nach §13 TTDSG,
Daten zu Störungen/Dienstausfällen (§12 TTDSG und §58 II TKG).

Inhaltsdaten und Verkehrsdaten sollten meiner Meinung nach in den Informationen auftauchen, nicht aber in einer Datenkopie, denn §3 III TTDSG verbietet das. Kommentare dazu habe ich aber noch keine gesehen, und leider enthält das TTDSG keine Definition von näheren Umstände. Da Standortdaten m.W. länger aufbewahrt werden und teilweise anderen Zwecken dienen können, würde ich die aber auch in der Datenkopie erwarten. Bei den Störungen ist wichtig zu wissen, dass auch die Router dazu Informationen erfassen und melden, man die als Nutzer aber nicht zu sehen bekommt – was in meinen Augen nicht korrekt ist.

Beim Vodafone-Konzern habe ich schon vier Mal nach Auskunft gefragt, zwei Gerichtsverfahren und vier offene Beschwerden beim BfDI am laufen – oder stehen, denn Vodafone und BfDI versuchen alles auszusitzen. Meine erste Auskunft vom 11.02.2020 hat nur Daten zum Internetanschluss enthalten, Mobiltelefonie hat vollständig gefehlt. Die wurde erst nachgereicht als ich schon Beschwerde eingereicht hatte – aber immer noch unvollständig. Meine Standortdaten habe ich von Vodafone bisher nicht bekommen (Auskunft vom 30.07.2020). Einzelverbindungsnachweis darf zwar beim Festnetz leer sein, weil ich da einen anderen Anbieter nutze, nicht aber beim genutzten Mobilvertrag. Und verstehen Sie was eine Zustimmung "White-mail" sein soll? Ich auch nicht. Auf die Auflösung warte ich auch noch.

Eine der Beschwerden in der auch Emails mit Bezug zu anderen enthalten sind findet sich in Vodafone West und neue Domänen. Das TTDSG hat Vodafone anscheinend noch nicht gelesen, denn die Information vom April nahm keinerlei Bezug darauf. Auch Daten zu den Störungen die ich erleiden musste habe ich nicht erhalten, von zwei Anrufen bei der Hotline abgesehen, jedenfalls keine Informationen die §58 II TKG erfüllen würden.

In Spanien läuft eine Beschwerde gegen die Aufsicht, siehe No right to access your own location data? Und natürlich sind alle Telekommunikationsanbieter immer hart an der Grenze zur Vorratsdatenspeicherung.

Versicherungen

Versicherungen wollen ja Ihr Geschäftsmodell optimieren, daher verlangen sie zusammen mit dem Antrag meist ganz viele Daten von uns, bei Kranken- oder Lebensversicherungen meist ganz viele Gesundheitsdaten und oft auch die Zustimmung Ärzte von der Schweigepflicht zu entbinden und sich bei denen erkundigen zu dürfen. All diese Angaben und auch die eingeholten Auskünfte von den Ärzten gehören in die Auskunft. Analog bei anderen Versicherungen, nur dass die sich je nach Branche nach anderem und bei anderen erkundigen.

Ich habe bei der Lebensversicherung Entis eine Auskunft beantragt, aber musste Beschwerde einreichen. Und weil sie beim Zusenden den USB-Datenträger und die PIN in den gleichen Umschlag gesteckt haben musste ich auch noch Beschwerde wegen Verstoß gegen Artikel 32 einreichen. Das Verfahren läuft immer noch und ich habe noch immer nicht alle Daten die ich erwarten würde.

Vermieter und Hausverwaltung

Da fällt mir zusätzlich zum oben genannten vor allem die Nebenkostenabrechnung ein. Da hat sich auch schon ein Hausverwalter gesperrt und behauptet er habe keine Daten von Mietern. Ganz falsch, denn insbesondere die Verbrauchsablesungen sind sehr personenbezogen und damit die ganze Abrechnung insoweit sie auf den Mieter umgelegt wird. Weglassen darf der meiner Meinung nach nur, was vom Vermieter bezahlt wird.

Ärzte

Untersuchungsergebnisse, Diagnosen, Rezepte, Medikation, Krankschreibungen,
Arztbriefe an und von anderen Ärzten, Einweisungen

Ärzte wollen gerne Mal etwas berechnen, wenn man sich bei ihnen nach einem alten Untersuchungsergebnis erkundigt, das man vielleicht an anderer Stelle braucht. Der Hinweis auf die Artikel 15 DSGVO hilft, die Gebühr abzuwehren.

Auskunfteien

Eine kostenlose Auskunft nach DSGVO der Schufa (Auskunft vom 09.11.2019) sieht völlig anders aus als die teurere Bonitätsauskunft, die ein bekanntes Immobilienportal gerne als ganz wichtig anpreist. Natürlich kann man die kostenlose Version auch selbst schwärzen und weiterreichen – wenn der Vermieter die wirklich sehen möchte. Fast immer bevorzugt der die letzten Gehaltsabrechnungen. Fast am Ende der Download-Code mit dem man an eine elektronische Version kommt. Die ist dann nicht Text sondern mehrere Bilder.

Zum Vergleich auch noch die Auskünfte von Boniversum und Bürgel. Ob die Auskünfte vollständig sind kann ich nicht beurteilen, schon lange nichts mehr auf Kredit gekauft. Und nein, ich habe keine Ahnung warum Trulioo Information Services sich für mich interessiert.

Der BfDI hat ein FAQ zu Auskunfteien veröffentlicht.

Behörden und Datenschutzaufsicht

Bei Behörden kann man

eine Übersicht aller Verfahren an denen man beteiligt ist,
bei elektronischer Aktenführung die entsprechenden Inhalte

erwarten. Werden die Akten nicht elektronisch geführt, dann kann man die meist nach §29 VerwVerfG einsehen, muss dafür aber hinfahren oder die Kopien bezahlen. Leider die Regel aber fast schon dreist ist, wenn man angehört wird, aber dann erstmal Auskunft oder Akteneinsicht beantragen muss.

Ich habe Auskünfte bei der Bundesnetzagentur, dem Bundesamt für Unsicherheit angefordert – natürlich unvollständig. also habe ich Widerspruch beim BSI wegen der nicht gewährten Akteneinsicht einreicht und Beschwerde beim BfDI wegen unvollständiger Auskunft. Auch bei einigen Datenschutzaufsichten habe ich Auskunft eingefordert – auch die machen nicht alles richtig – entsprechende Links teilweise in der Tabelle oben. Schon allein dass man oft nur eine Eingangsbestätigung, danach aber keine Standmitteilungen erhält ist nicht gerade DSGVO-konform. Mit den Auskunftsanfragen kann man dann wenigstens die Untätigkeit nachvollziehen.

Versandhandel

Ich habe eine Auskunft bei Amazon angefordert. Das ist eine so spezielle Erfahrung, dass sie auf Beschwerde Amazon gelandet ist.

Personaldienstleister

Ich habe eine Auskunft bei Hays angefordert, auch weil die ein Zeiterfassungssystem haben, das die Abrechnung zwischen Freiberuflern und Endkunden unterstützen soll – und unklar ist wer das erbringt, sowie weil sie IDnow verwenden und mir deren Praktiken so fragwürdig erscheinen, dass ich Beschwerde beim Bayerischen Landesamt für Datenschutzaufsicht eingereicht habe.

Was darf oder muss fehlen?

Einige Daten tauchen typischerweise in keiner Auskunft auf:

Einwilligungen im Browser (Cookies) sofern man sich nicht authentifiziert hat,
Serverprotokolle, archivierte Daten und Datensicherungen (Backups).

Beim ersten Punkt liegt es daran, dass eine sichere Zuordnung zu einer Person nur auf Basis einer IP-Adresse nicht möglich ist, bei den anderen an §34 Absatz 1 BDSG das Ausnahmen erlaubt, aber dann muss der Verantwortliche sich auch darauf berufen und entsprechende Angaben in den Informationen haben.

Themen