Hallo. Wie sind eure Erfahrungen mit Anträgen auf Auskunft und Löschung, die über Dienstleister gestellt werden?
Klar, irgendwie reagieren. Aber war da schon mal was dran?
Ich hatte bisher viele Löschanträge, die schon im Betreff einen Code mitführen; ungefähr “Z5QMRZXSE”. Neuerdings wird im Text die Herkunft angegeben, nämlich “Mine Portal”. (Say Mine Technologies Ltd., Israel.) Die Namen sehen sehr… international aus (können durchaus plausibel sein). Die Löschaufforderungen richten sich an eine Internet-Domain (xxx.de) statt an eine bestimmte Firma (Verantwortlichen), und es wird auf eine am… (z. B. 25.03.2017) erhaltene E-Mail verwiesen, weshalb Daten vorhanden sein sollten.
Keine Angabe des Absenders oder des Zuammenhangs. Bekannt sind nur die Domain des Verantwortlichen, das Datum der angeblichen Mailzusendung, der Name der betroffenen Person, und die E-Mail-Adresse für die Antwort.
Zu keiner dieser Anfragen konnte ich bisher Daten finden. Auf meine Bitten um Spezifizierung hat noch nie jemand geantwortet.
Die Intention wird wohl nicht das Löschen sein. Ich nehme an, dass sich nicht reagierende Stellen mit einer Schadenersatzforderung konfrontiert sehen werden.
D., der weiterhin brav antworten wird, sich aber nicht mehr so viel Mühe beim Recherchieren macht.
Wie stellt man da die Vollmacht des Diestleisters sicher oder die Idenität des Anfragenden - denn ohne beides darf man ja keine Daten rausgeben oder wenn die Daten an die falsche Person gehen (z.B. einen Dienstleister Troll) hat man ggf einen Datenschutzverstoß.
Ich würde daher erstmal ordentlich verifizieren bevor ich da Antworte… und das zeigt auch du kümmerst dich und lässt die Frist nicht verstreichen.
Der Dienstleister generiert offenbar nur die Anfragetexte; die Antworten scheinen an die vermeintlich Betroffenen selbst zu gehen. Zumindest waren es individuell aussehende Adressen bei gmail.com bzw. googlemail.com. Moment… das könnte System haben.
Wenn die Antworten alle an dieselbe Stelle gehen, könnte ich dort ja mal einen Antrag auf Auskunft zu meinen Daten stellen… Die Zwecke wären interessant.
D. der gerade die von-der-Stange-Vollmacht eines Anwalts angezweifelt hat, weil die alles ganz genau bevollmächtigen würde, nur keine datenschutzrechtlichen Betroffenenanträge.
Der o.g. Mine-Anbieter beschreibt in seiner privacy policy wie es funktioniert: Er erhält per OAuth (“Connect with Google”, “Connect with Yahoo”, “Connect with Microsoft”) Zugriff auf das E-Mail-Konto des Nutzers, scannt nach Kommunikation mit Firmen (Betreff, Textauszüge, Metadaten) und erstellt einen digitalen Fußabdruck. Der Nutzer kann dann von seinem E-Mail-Konto eine vorgefertigte E-Mail an die Firmen schicken und der Mine-Anbieter “will access and reflect the relevant email thread to you in real-time”. Gibt’s als one-click App.
Bei diesem Angebot würde die Kommunikation Domasla <-> Nutzer zwar vom Anbieter zur Kenntnis genommen, doch den Zugriff hat der Nutzer selbst eingeräumt. Das ist keine Kenntnisnahme durch fehlerhafte oder falsche Sicherheitsmaßnahmen seitens des Verantwortlichen.
Ich denke, es wird einige Leute geben, die derlei Angebote in Anspruch nehmen. Ein einfach zu bedienender Service per App, die E-Mails werden nicht gelesen und auch keine Daten gespeichert. Schreiben sie jedenfalls… Vermutlich ist die Nutzung eine bunte Mischung aus tatsächlichen Anfragen, bei denen die Nutzer nicht mit einer Identitätsprüfung rechnen (Wieso more-click wenn doch one-click versprochen?), Tests des Anbieters selbst und Tests von Dritten (Schadenersatzforderung?). Die Suche nach dem obigen Anbieter findet einiges von Anfang letzten Jahres, u.a. bei Reddit.
Aber ich bin bei Euch: Unabhängig von der angenommenen Intention und vor der Recherche zu evtl. vorhandenen Daten müsste die Identität des Anfragenden sichergestellt werden.
Ich kenne solche Angebote und Anfragen leider auch. Wie ernsthaft ein Auskunftsersuchen dann im Einzelfall ist, merkt man relativ schnell. Bei uns war es ein amerikanischer Anbieter, der neben DSGVO natürlich allerlei US-(Datenschutz-)Gesetze zitierte. Wir haben uns zuerst auch gefragt, ob man solchen Anfragen nachkommen muss und haben uns dann für eine pragmatische Lösung entschieden:
Wenn zu der genannten Person tatsächlich keine Daten vorhanden sind, gibt es eine kurze Negativauskunft auf Deutsch per E-Mail.
Wenn es doch irgendwelche Anhaltspunkte geben sollte, dass pb Daten zu dieser Person vorhanden sind (aus meiner Sicht inzwischen ein rein theoretischer Fall), dann kommt eben der Datenschutz wieder ins Spiel: Ich möchte natürlich keine Daten an Unbefugte herausgeben, also ziehe ich die Karte des Art. 12 Abs. 6 DSGVO: “Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er […] zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.”