im Sinne der Prozessoptimierung haben wir einen Self-Service für Art. 15 Anfragen eingerichtet. Nun möchten wir bei Auskunftsanfragen per E-Mail auf den Self-Service verweisen und liefern eine kurze Anleitung mit.
In der Guideline 01/2022 on data subject rights - Right of access ist folgendes vermerkt, dass zum vor allem die Möglichkeit zum Self-Service “encouraged”.
The controller may indeed encourage the data subject to use a self-service tool that the controller has set in place for handling access requests. However, it should be reminded that the controller must also handle access requests that are not sent through the established channel of communication.
Nach meiner Lesart wäre ein Verweis auf den Self-Service auch zulässig obwohl uns eine Anfrage per E-Mail erreicht hat (elektronische Kontaktaufnahme). Anders würde ich verfahren, wenn uns eine Anfrage per Post erreicht.
Hallo, in AZ 23 O 10931/20 hat dem Landgericht München eine Auskunft im Self Service per Abruflink gereicht. Dort ist zu lesen: “Die elektronische Bereitstellung der personenbezogenen Daten aus dem Account heraus ist von der DSGVO ausdrücklich zugelassen. Im Erwägungsgrund 63 zur DSGVO heißt es, dass nach Möglichkeit der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können sollte, der den betroffenen Personen direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.
Die Beklagte hat somit die vom Kläger geforderte Auskunft nach Art.15 DSGVO erteilt, indem sie ihm ständig verfügbare URL-Links zur Verfügung stellte…”
Vielen Dank! Aus euren Ausführungen würde ich schließen, dass der Verweis auf den Self-Service im Rahmen der Antwort auf eine Anfrage genau richtig ist.
Grundsätzlich halte ich vom Self-Service sehr viel, wenn er denn vollständig umgesetzt werden kann. Letztlich bietet er ja viele Vorteile, ggf. bei der “sicheren Übermittlung” oder auch bei der Authentifikation/ Identifikation. Da kann man einen “kleinen” Medienbruch sehe ich in den seltensten Fällen kritisch, v.a. wenn ich ihn mit der Sicherheit für den Betroffenen begründen kann.
Vielleicht ein bisschen an der Fragestellung vorbei, aber folgende Erfahrung und Frage meinerseits hierzu:
Ist das tatsächlich realistisch, dass man im Self-Service eine vollständige Auskunft gibt. Mein Gedanke beim Self-Service ist z. B. ein Kundenbereich im Online-Shop. Wenn ich mich einlogge, sehe ich (zumindest aus meiner Erfahrung beim Einloggen in den Kundenbereich im Vergleich zu der Unterstützung bei der Erstellung von Auskunfsschreiben) nicht alle Daten. Beispielsweise wäre mir kein Kundenbereich bekannt, in dem Tickets, Bestellstempel (IP-Adresse bei Bestellung etc.) usw. aufgeführt sind. Wenn ich mir die z. T. sehr “betroffenenfreundliche” Rechtsprechung ansehe, ist der Mehrwert eines Selfservices bei den Unternehmen, die ich betreue, eher gering. Gibt es hier Erfahrungen?
Meine Definition von Self-Service wäre, dass über diesen sämtliche über eine Person gespeicherten Daten organisationsweit zusammengesammelt und in einem maschinenlesbaren Format bereitgestellt werden. Der Kundenbereich würde aus meiner Sicht nicht ausreichen