Datenschutz Auskunftsersuchen

Auskunftsersuchen – Eine Vorgehensweise

Generelles Vorgehen bei einem Auskunftersuchen

Ein Datenschutz Auskunftsersuchen kann sowohl eine reine Auskunftsanfrage der Betroffenen Person sein als aber auch eine Löschanfrage.

Daher sollte ein Prozess im Unternehmen implementiert und kommuniziert werden, so dass allen Mitarbeitern klar ist wie bei einer externen Anfrage bezüglich der Auskunft über personenbezogene Daten vorgegangen werden muss. Es kann sehr negative Folgen haben wenn dieser Prozess nicht im Unternehmen kommuniziert worden ist. Daher empfehlen wir unseren Kunden stets dies immer wieder auch im Umfang von Datenschutzschulungen bei allen Mitarbeitern mit direktem Kundenkontakt zu festigen.

 

Inhalte welche von dem Verantwortlichen (Ihrer Firma) bereitgestellt werden müssen: (Art 15 DSGVO)

Generell müssen alle Daten welche über die anfragende Person in allen Systemen zu finden sind mitgeteilt werden. Sollten keine Daten vorhanden sein hat die anfragende Person das Recht auf eine Negativauskunft. Grundsätzlich müssen noch folgende zusätzliche Informationen mitgeteilt werden:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.),
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
  • geplante Speicherdauer falls möglich, andern-falls die Kriterien für die Festlegung der Speicherdauer,
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung,
  • Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde,
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Wie wird die Auskunft angefragt bzw. erteilt?

Über einen elektronischen Kanal: die Auskunft über die Daten muss in einem generell gängigen Format zur Verfügung gestellt werden (z.B. PDF Format) [Art 15, 3 DSGVO]

Grundsätzlich kann die Kommunikation aber auch schriftlich (Papierform) oder mündlich mit der betroffenen Person stattfinden.

Identitätsprüfung

Es muss sichergestellt werden, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten. Hat der Verantwortliche begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so kann er nach Art. 12 Abs. 6 DS-GVO zusätzliche Informationen zur Bestätigung der Identität nachfordern (z. B. eine Postadresse bei elektronischem Auskunftsantrag).

Methoden der Identifizierung:

Bei telefonischen Anfragen ist es üblich, zusätzliche Informationen der betroffenen Person abzufragen. In der Regel ist das Abfragen von Geburtsdatum und Anschrift als zusätzliche Informationen zu verstehen. Problematisch hierbei ist, dass die abgefragten Informationen i.d.R. keine richtigen Geheimnisse darstellen. Auch Angehörige oder Verwandte sind in der Lage diese Identifizierungsfragen zu beantworten. Daher ist dies keine geeignete Methode für die Beauskunftung von sensiblen Daten (wie etwa Finanzdaten).

Übermittlung eines Ausweisdokuments

Von einer Ausweiskopie werden regelmäßig nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer benötigt (alle anderen Daten werden geschwärzt).

Stellt die betroffene Person das Auskunftsersuchen per E-Mail und fordert der Verantwortliche eine Ausweiskopie, so hat der Verantwortliche einen sicheren Zugangsweg bereitzustellen (z.B. Ende-zu-Ende Verschlüsselung per E-Mail, Bereitstellung eines Links zu einer HTTPS-geschützten Website). Die postalische Übermittlung einer geschwärzten Ausweiskopie ist dagegen datenschutzrechtlich unbedenklich.

Identifizierung über elDAS-Dienst

Die elDAS-Verordnung trifft verbindliche europaweit geltende Regelungen zur elektronischen Identifizierung und zu elektronischen Vertrauensdiensten. In Deutschland gelten insbesondere die Online-Ausweisfunktion des elektronischen Personalausweises mit PIN-Abfrage sowie De-Mail als ein sicheres Identifizierungsinstrument.

Die Online-Ausweisfunktion erfordert eine stärkere Authentifizierung der betroffenen Person. Der Antragsteller muss nicht nur im Besitz des Ausweises sein, sondern muss zusätzlich die PIN kennen.

Post-/Video-Ident-Identifizierung

Bei dem Post-Ident-Verfahren erfolgt die persönliche Identifizierung durch einen Mitarbeiter der Deutschen Post. Der Post Mitarbeiter prüft den Ausweis, erstellt anschließend eine Kopie und leitet die Bestätigung der Identitätsfeststellung an den Verantwortlichen weiter. Eine weitere Möglichkeit ist die Identifizierung per Videochat mit einem Mitarbeiter eines Identifizierungsdienstanbieters. Dabei werden Aufnahmen der betroffenen Person und des Ausweises angefertigt. Die Identifizierung an sich muss nicht zwingend durch einen Identifizierungsanbieter durchgeführt werden, sondern kann lediglich durch den Verantwortlichen selbst (per Videochat oder persönlich) erfolgen.

Die hohe Sicherheit dieser Identifizierungsverfahren ist allerdings mit einem hohen Aufwand der betroffenen Person verbunden.

Identifizierung über ein Nutzerkonto

Bei dieser Variante erfolgt die Antragstellung der betroffenen Person nach erfolgreicher Identifizierung über ein bereits bestehendes Nutzerkonto beim Verantwortlichen. Hat die betroffene Person ein Nutzerkonto bei dem Verantwortlichen, so darf der Verantwortliche keine zusätzliche (über die Identifizierung und Authentifizierung über das Nutzerkonto hinausgehende) Identifizierung verlangen.

Die Sicherheit bei dieser Variante hängt sehr stark von dem vom Nutzer vergebenen Passwort für sein Nutzerkonto ab. Für Nutzer, die keine starken Passwörter verwenden kann sich jemand Fremdes leicht Zugang zum Nutzerkonto der betroffenen Person verschaffen. Eine Zwei-Faktor-Authentifizierung wäre hier wünschenswert.

Sollte unklar sein um welche Person es sich handelt (z.B. Personen mit gleichen Namen im System) ist die Anfrage bei der Person auf jeden Fall geboten.

Beachtung Rechte Dritter

Die Auskunftserteilung an die betroffene Person darf nach Art. 15 Abs. 4 DS-GVO sowie ErwGr. 63 Satz 5 die Rechte des Verantwortlichen oder anderer Personen nicht beeinträchtigen, was bei Geschäftsgeheimnissen oder bei Daten mit Bezug auch auf andere Personen der Fall sein kann. Dies darf im Ergebnis aber nicht dazu führen, dass jegliche Auskunft verweigert wird.

DSGVO Facebook

Facebook und die DSGVO

Die Facebook DSGVO Misere

Im Juni letzten Jahres wurde vom obersten EU Gerichtshof festgestellt das Facebook Fanpages nicht datenschutzkonform betrieben werden können. Dies kommt durch eine Facebook Tracking Funktion namens Insights zustande. Der Gerichtshof vertritt den Standpunkt das beide Parteien also sowohl Facebook als auch der Fanpagebetreiber eine gemeinsame Verantwortung gegenüber den Besucher der Fanpage haben. Aus diesem Grunde greift hier der Art.26 DSGVO.

Als Grundlage kann hier eine vertragliche Vereinbarung in Betracht kommen. Facebook hat mittlerweise seine AGB´s dementsprechend angepasst. Also alles wieder gut? Leider nicht denn der Konzern mit dem Daumen Nach Oben Symbol behält sich vor die AGB´s jederzeit anzupassen. Grundsätzlich ist dies ein Schritt in die richtige Richtung. Doch ohne die Möglichkeit von Fanpage Betreibern gegen Anpassungen intervenieren zu können, bleibt doch ein fader Beigeschmack und wenig Rechtssicherheit übrig. Denn das Tracking Tool Insight lässt sich immer noch nicht deaktivieren.

Was können Fanpage Betreiber nun für Maßnahmen ergreifen ob das Risiko gegen die DSGVO zu verstossen zu minimieren?

Grundsätzlich ist es eine gute Idee eine Opt-In Möglichkeit auf Ihrer eigenen Webseite zu erstellen. Diese sollte klar machen, das bei Zugriff auf Ihre Facebook Page ein Tracker (Insight) mitläuft. Ebenfalls benötigen Sie diesen Hinweis in Ihrer Datenschutzerklärung. Zusätzlich können Sie ebenfalls in Ihrer Datenschutzerklärung darauf hinweisen das Facebook der Verantwortliche für den Tracker Insights ist. Und damit auch für die Speicherung der übermittelten Daten. Sie als Webseitenbetreiber haben keine Möglichkeit Entscheidungen bezüglich der Datenverarbeitung von Facebook zu treffen. Auf Ihrer Facebook DSGVO Page sollten Sie ebenfalls einen Link zu Ihrer Datenschutzerklärung platzieren.

Ist denn dies nun alles rechtssicher? Wahrscheinlich nicht – und wahrscheinlich wird Facebook auch kein großes Interesse daran haben noch weiter auf die Page Betreiber zu zugehen. Denn es besteht nach wie vor keine Rechtsgrundlage für die Verarbeitung. Doch dieses Jahr wird noch die ePrivacy Verordnung der EU veröffentlicht. Diese wird hoffentlich eine klare Regelung treffen und somit die Rechtssicherheit für Facebook Page Betreiber wieder herstellen.

Datenschutzberatung Bodensee

Datenschutzprozesse

Unsere Datenschutzberatung am Bodensee wird bis in die höchste Unternehmensebene gelebt.

Datenschutz stellt einen kontinuierlichen Prozess dar. Wie bei jeden lebendem Prozess in einem Unternehmen benötigt auch dieser eine regelmässige Überprüfung um potentielle Verbesserungen heben zu können. Auch hierbei kann die machCon Sie unterstützen. Im Bereich Prozessmanagement und Neuausrichtung Ihrer Unternehmensprozesse haben wir erfahrene Berater welche Sie gerne unterstützen.

Um diese Prozesse greifbarer zu machen nutzen wir das bekannte und anerkannte PDCA Modell. (Plan – Do – Check – Act).

Im Kern dieses Modells befinden sich die drei wichtigsten Prozesse wieder, welche im Datenschutz ausgemacht werden können: Datenverarbeitung, Datenschutzverletzungen sowie die Betroffenenrechte. Diese drei Datenschutzprozesse stellen betriebswirtschaftliche gesehen die Ablauforganisation dar.

Doch wo es eine Ablauforganisation gibt ist eine Aufbauorganisation auch nicht verkehrt. Diese könnte datenschutzrechtlich durch die Datenschutzziele, definierte Datenschutz Governance Strukturen sowie die Datenschutzleitlinie definiert werden.

Diese Kernprozesse des Datenschutzes sollten einen hohen Stellenwert im gesamten Unternehmen einnehmen. Daher empfehlen wir den Datenschutz als eines der Unternehmensziele zu definieren. Auf diese Weise wird dieser nicht nur als unliebsames Stiefkind betrachtet sondern erhält die Aufmerksamkeit die ihm zusteht und zwar auf höchster Ebene.

Es erfordert immer etwas Anstrengung die Wichtigkeit dieses Vorgehens zu verdeutlichen und die Vorteile herauszuarbeiten. Bisher konnten wir diesen Bereich unseres Datenschutz Vorgehens bei vielen Firmen am Bodensee etablieren. So stehen die Datenschutzziele nun auf der gleichen Ebene wie beispielsweise die Finanziellen Ziele oder die Marketing Ziele.

Gerne stehen wir für weitere Informationen zu unserer Datenschutzberatung am Bodensee und darüber hinaus zur Verfügung. Für unsere deutschen Kunden sind wir stets gut erreichbar an unserem Standort in Engen. Für Kunden in der Schweiz sind wir in unseren Niederlassungen in Zug und in Basel verfügbar.

Unsere Vorgehensweise passt für kleine und mittelständische Unternehmen sowie Handwerksunternehmen. Dieser ist jedoch skalierbar ausgelegt und kann somit einfach auch für Gruppen und Konzerne eingesetzt werden.

Datenschutz FAQ machccon

Häufige Fragen zum Datenschutz FAQ

Gilt die DSGVO auch für kleine Unternehmen und kleine Selbständige?

Die Antwort muss „leider Ja“ lauten. Denn die DSGVO gilt für jede Person oder Organisation, welche personenbezogene Daten elektronisch oder nicht automatisiert in einer strukturierten Ablage verarbeitet.  Die einzige Ausnahme: wenn diese Daten in einem persönlichen oder familiären Umfeld verarbeitet werden (teilweise auch einige staatliche Aktivitäten).

Betroffen von der DSGVO sind also unter anderen:

  • Vereine
  • Verbände
  • Unternehmen
  • Parteien
  • Stiftungen
  • Einrichtungen des Bundes, Länder, Kommunen
  • Körperschaften des öffentlichen Rechts
  • Ein Personen Unternehmen

Die Vorschriften der DSGVO sind also vom weltweiten Konzern bis zum kleinsten Unternehmer gleichermaßen einzuhalten.

 

Deutschland hat doch bereits ein hohes Datenschutz Niveau: Der Gesetzgeber sorgt schon für Außnahmen

Das stimmt – und auch wieder nicht. Deutschland hat seit vielen Jahren eines der striktesten Datenschutzgesetze. Allerdings wird der Gesetzgeber kaum Ausnahmen gegenüber der DSGVO zulassen. Warum? Weil die DSGVO keine Richtlinie der EU ist welche durch den nationalen Gesetzgeber in ein Gesetz übersetzt werden muss. Die DSGVO ist eine Verordnung. Diese gilt unmittelbar und zwar vor nationalem Recht. Deutschland kann also eine EU Verordnung weder abschwächen noch aufheben. Es gibt allerdings sogenannte Öffungsklauseln welche von der EU dafür vorgesehen wurden mit nationalen Gesetzen zu erweitern (z.B. Arbeitnehmerdatenschutz).

 

Ändert die DSGVO überhaupt etwas?

Die bereits bekannten Prinzipien des Datenschutzes aus dem alten BDSG (Bundesdatenschutzgesetz) sind tatsächlich in großen Bereich unverändert geblieben. Die Neuerungen fanden eher versteckt unter der Oberfläche statt. Die dabei wichtigsten Neuerungen umfassen:

  • Die extensive Dokumentationspflicht: also die Möglichkeit jederzeit das Einhalten der DSGVO nachweise zu können
  • Datenschutzorganisation: es muss sichergestellt werden das durch eine geeignete Organisation die Einhaltung des Datenschutzrechts systematisch im Unternehmen kontrolliert werden kann

 

Wir (Ich) verarbeite doch überhaupt keine personenbezogenen Daten…

Hierzu muss man in die DSGVO selber reinschauen und zwar in den Artikel 4 Nr.1. Hier werden personenbezogene Daten als „alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Diese Personen können also Mitarbeiter, Kunden oder Lieferanten sein. Es kommt also nur auf den Status als natürliche Person an – nicht auf die Beziehung zu Unternehmen.

Identifizierbar wird eine Person wenn zum Beispiel durch die Kombination von mehreren Merkmalen Rückschlüsse auf die Person getätigt werden können:

  • Email Adresse
  • IP-Adresse
  • Kundennummer
  • Mitarbeiternummer
  • Telefonnummer
  • Video und Sprachaufzeichnungen etc..

In der täglichen Praxis wären also (fast) alle Daten personenbezogen von der Rechnung hin zum Besucher der Webseite.

Das Beratungsangebot der machCon:

Kontakt (Schweiz):

machCon GmbH
General-Guisan-Strasse 6
CH-6303 Zug

+41 (0) 41 229 40 23
contact@machcon.ch

Kontakt (Deutschland):

machCon Deutschland GmbH
Robert-Bosch-Strasse 1
D-78234 Engen

+49 (0) 7733 360 35 40
contact@machcon.de

Copyright 2019 © machCon