Hallo zusammen,
mir ist gerade ein (für mich) neues Geschäftsmodell über den Weg gelaufen:
Jemand stellt eine Auskunftsanfrage nach Art. 15 DSGVO an ein Unternehmen und erbittet die Antwort (in dem Fall eine negativ-Auskunf) mittels eines Links in eine App bzw. einen Online-Dienst zu geben.
Ich möchte dieses Geschäftsgebaren des Online-Diensts keinesfalls unterstützen und sehe diesen an der Schwelle zum Mißbrauch, insbesondere da der Anbieter sogar damit wirbt, regelmäßige Löschanfragen bei Datenhändlern zu stellen und automatisiert einen monatlichen Überblick zu schaffen. Die Krönung der Dienstleistung ist das Angebot, das Postfach zu scannen um dann eine Übersicht der Unternehmen zu erstellen, die Daten der Person besitzen. Als Paket gibt es dann noch die Möglichkeit, aus den TOP 100 Shops und Marktplätzen diejenigen oder alle auszusuchen, an die Auskunftsschreiben gerichtet werden.
Nach Art. 15 Abs. 3 S. 3 DSGVO sind die Informationen bei elektronischer Anfrage auch elektronisch zu geben. Soweit ok, aber meine Frage in die Runde ist, ob man diesen Link zu einem Online-Dienst für die Beantwortung nutzen muss, wenn dies von der Person ausdrücklich so genannt wird?
Dank vorab für alle Antworten und Denkanstöße und Gruß, C.
Hatte ich auch schon. Sehr häufig. Viel mehr Löschung als Auskunft.
Meistens an www.PPPPPP.de gerichtet. Die betroffene Person habe an einem bestimmten Datum eine E-Mail von jemand mit dieser Domain erhalten. Mehr würde man erfahren, wenn man sich bei diesem dubiosen Dienst registriert.
Mach ich nicht!
Stattdessen bitte ich die Person (meistens eine gmail-Adresse), Einzelheiten mitzuteilen, z. B. Absender, Betreff, Zusammenhang.
Jetzt würde ich gern behaupten, dass ich darauf noch nie eine Antwort bekommen hätte. Stimmt aber nicht mehr! Ein Einziger hat mir geschrieben, von wem er damals diese Mail bekommen hatte. Dazu waren wirklich minimal Daten vorhanden, wir konnten löschen und bestätigen.
Sonst noch jemand erfolgreich gewesen? Scheint tatsächlich ein dubioses Geschäftsmodell zu sein; wahrscheinilch mit der Hoffnung, dass jemand gar nicht reagiert; und dann 20 Millionen Schmerzensgeld verlangen.
D., der sich sehr freute, dass es solche Leute wirklich gibt und das dem echten Betroffenen mitgeteilt hat. Die Freundlichkeiten gingen ein bisschen hin und her, mussten aber schließlich im Sinne des Erfinders gelöscht werden. Eigentlich hätte er noch eine Belohnung bekommen sollen, wenn man auf sowas vorbereitet wäre. (Spurenloser Gutschein o. ä.)
Sooo neu ist die Idee nun wirklich nicht. Ich erinnere mich an eine DSB Schulung o. Konferenz, wo ich mit dem DSB von Selbstauskunft.net (sehe gerade der Betrieb wurde eingestellt) gerascht hatte und er erzählte, dass sie Backend-Jobs etabliert hatten, die die Auskunftsbegehren serverseitig austauschten. Das mag gut 10 Jahre oder so her sein. Aber solange hat es den Dienst dann auch gegeben. Ich habe es gerne in meinen Datenschutzschulungen erwähnt, denn neben den automatisierten Anfragen an Adresshändler, etc. gab es da auch eine selbst auszufüllende Vorlage. Gedacht als Hinweis, dass man sich auf Auskunftsbegehren einstellen sollte. Und dass sich eine Übersicht der Verarbeitungstätigkeiten dann auszahlt.
Übrigens: T5F und cT5F sind in dem Zusammenhang bekannte Begriffe?
Ich kann als Erfahrung beitragen, dass wir eine Anfrage in English über einen DL aus Israel erhalten haben. Es waren nur Name und Vorname der Antragstellerin über die E-Mail-Adresse angegeben. Weitere Daten hätten wir über einen Link mit Passwort erhalten sollen.
Wir haben den Link nicht verwendet aber über die E-Mail-Adresse um weitere Informationen zur Identifikation gebeten. Es kam dann nichts mehr.
Hat schon mal jemand so einen Link geöffnet? Was findet man da?
Wie gesagt beides schon in Datenschutzschulungen gezeigt und besprochen. Nach dem Motto: sowas könntest du morgen erhalten und dann erst mal einiges falsch machen (der falschen Person Auskunft erteilen, zu viel, zu spät). Dann zeigen, wie Betroffene eine Beschwerde einreichen können (zwei Klicks).
Inzwischen ist kein Fragenfolterbogen mehr nötig, weil Art. 15 DSGVO wie eine Checkliste aufzählt, was alles zur Auskunft gehört. Zusätzlich Art. 12 zu Transparenzkriterien und Fristen.
Das sollte auf Antrags- und Antwortseite meistens genügen.
Ganz Unbedarfte sind natürlich überfordert, was von ihnen verlangt ist. Wobei die Betroffenen keine Liste vorgeben und kein Zauberwort “Artikel 15!” sagen müssten, damit man versteht, dass hier ein Recht geltend gemacht wird.
Die komplizierteren Verarbeiter hätten sowieso professioneller vorzugehen. (Was nicht bedeutet, strategisch gar nicht zu antworten; bzw. “nehmen sehr ernst … nur zu legitimen Zwecken … innerhalb der gesetzlichen Fristen…”.)
D., dem bei vielen gerichtlichen Fragestellungen zum Auskunftsrecht schleierhaft ist, warum man sie noch disktutieren soll.
Keine Frage es gibt wenig bis nichts mehr zu diskutieren. Dass trotzdem Fragen kommen und Mitarbeiter geschult werden müssen, ist ja damit nicht ausgeschlossen.
Ich hatte das Thema erst kürzlich wieder im Vereinsumfeld. Da die Vorstände fast alle im Umfeld der Industrie arbeiten, hätten sie alle schon mal von einem Auskunftsrecht hören müssen/sollen. Haben sie halt nicht.
Auch nach meiner Beobachtung sind viele Firmen bei dem Thema noch immer blank oder weitgehend ahnungslos. Wenn ich Umfang und Reichweite thematisiere, schaue ich oft in ungläugige Augen…bis die ersten Anfragen eintrudeln.
Bisher hat sich keine Antwort auf eine Pflicht zur Nutzung eines angegebenen Tools bezogen.
Ich gehe aktuell davon aus, das diese Pflicht hier nicht gesehen wird - richtig?
Soll ich jetzt “richtig” sagen? Also… ich nutze diese Plattformen nicht. Sehe keine Pflicht, sich dort anzumelden und über diesen Umweg zu kommunizieren.
D., der prinzipiell direkt den betroffenen Person antwortet. (Bzw. sie nach Einzelheiten fragt.) Aber keinen Dritten. Manchmal lassen Betroffene sich anwaltlich vertreten. Dann müsste man eine Original-Vollmacht verlangen, die Anträge zu Betroffenenrechten abdeckt. Könnte ja jeder kommen und Daten über andere Leute anfordern.