Hallo, das Thema wurde hier im Forum schon mehrfach diskutiert. Grundsätzlich ist auch klar: weitreichend auslegen, möglichst wenig speichern und am besten einen “Auskunftsknopf”. Gerade dieser Fernzugang beschäftigt uns derzeit, da die Anfragen enorm zunehmen und offensichtlich größtenteils “zum Spass” oder “zum Ärgern” gestellt werden und dann natürlich “Alles” und “mit Kopie” verlangt wird. Mit den Argumenten “Exzessiv” und “unbegründet” hat man ja doch keine Chance.
Allenfalls die Ausnahmen des § 34 Abs. 2 BDSG helfen. Dieser enthält zwei Ausnahmevorschriften: gemäß Nr. 2 lit. a) muss keine Auskunft erteilt werden, wenn die Daten nur deshalb noch gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Exemplarisch kann hier § 257 HGB, § 74 Abs. 2 GmbHG oder § 147 AO genannt werden. Nach Nr. 2 lit. b) BDSG besteht zudem kein Auskunftsrecht, wenn die Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle dienen. Der Zweck der Datensicherung erfasst insbesondere Sicherheitskopien/Backups, Protokolle oder log-files. Unter Daten, die zwecks einer Datenschutzkontrolle verarbeitet werden, werden solche Daten erfasst, die ausschließlich für die spätere Kontrolle aufbewahrt werden.
Für den Fernzugang würde mich eure Meinung interessieren zu folgenden Punkten:
a) Wir speichern, welche Newsletter wir dem Kunden in den letzten 2 Jahren geschickt haben (Manche beschweren sich eben, dass sie angeblich keine Info bekommen hätten) - muss ich dem Kunden alle Newsletter nochmal beauskunften/aufstellen oder reicht es zu sagen " Wir speichern eine Historie deiner Newsletter"?
b) Der Kunde nutzt ein Online-Browser-Programm von uns und kann dort viele Daten speichern. Er kann diese Daten lokal oder auf unserem Server speichern. Eigentlich bieten wir ihm damit nur eine Speicher-Plattform und er entscheidet selbst, ob und was er speichert. Dennoch verlangen viele Kunden auch eine Kopie dieser Anwendungsdaten, wenn sie auf unserem Server gespeichert werden. Einerseits ist der Kunde derjenige, der speichert, aber bei uns sind die Daten ja zu seiner Person gespeichert, somit verarbeiten wir diese. Müssen wir also auch Daten zusammenstellen, die der Kunde selbst bei uns speichert? Das könnte ja ins uferlose gehen!
-
Newsletter: kommt darauf an, wie das technisch gelöst ist. Ich gehe mal davon aus, dass der erwähnte Newsletter eine E-Mail ist, die an den Kunden geschickt wird? Ist das ein personifizierter Newsletter, der eben auch individuelle Informationen des Kunden enthält? Und dieser personifizierte Newsletter wird genau in dieser Form in der “Historie” gespeichert? Dann müsste das auch im Rahmen einer Auskunft mit angegeben werden.
Wir haben z.B. Newsletter allgemeiner Art, Inhalte sind ohne Personenbezug, diese werden an die Abonnenten der Newsletter-Liste als Mail geschickt und nicht extra zu den Personen gespeichert. Hier würde man nur Auskunft geben, dass die E-Mail-Adresse in der Abonnentenliste des Newsletters gespeichert ist und nicht sämtliche Newsletter nochmal zusammenstellen, weil diese ja ohne Personenbezug sind. -
Kunde nutzt ein Programm von euch, mit welchem er Daten speichern kann. Dann erfolgt dies doch wohl zu seinen eigenen Zwecken und Ihr seid “Auftragsverarbeiter” (?). In einem entsprechenden Vertrag müsste dann geregelt sein, wer welche Aufgaben hat und auch, wie es mit dem Zugriff, Backup, Datenübertragung usw. aussieht. Das hat aber nichts zu tun mit der Auskunft nach Artikel 15 DSGVO… Das betrifft eigentlich nur die Daten im Rahmen der Kundenbeziehung, also zum Vertrag.
Die Daten des Kunden sind ja die Daten des Kunden und nicht Eure, er könnte dann wohl eher Auskunft von sich selbst verlangen
Danke schon mal für die schnelle Antwort.
zu1.: Die gespeicherte Information ist eine Referenznummer. Mit dieser lässt sich allerdings der ursprünglich versandte Newsletter wieder herstellen und ist dann personenbezogen, da personifiziert. Die im Kundenstamm gespeicherte Information ist allerdings nur die Historie, insofern würde ich auch nur Auskunft geben "dass die E-Mail-Adresse in der Aboliste gespeichert ist.
zu2.: “Verantwortlicher” ist lt. DSGVO ja derjenige, der über die Mittel und den Zweck der Verarbeitung entscheidet. Das ist m.E. der Nutzer selbst. Ein AVV wird bei Nutzung der Online-Software nicht geschlossen, der “entsprechende Vertrag” wären somit die AGB.? Um das Thema mal an einem Beispiel zu verdeutlichen: Es gibt zahlreiche Online-Angebote, wo man Dokumente hochladen kann ("virtuelles Archiv). Wenn ich dort nun hunderte Rechnungen hochlade auf den Server des Anbieters, was muss dieser beauskunften ? Nur “du hast bei uns ein Kundenkonto und ein Archiv” oder “Du hast bei uns ein Kundenkonto mit 543 Dokumenten, diese sind in der beigefügten ZIP-Datei als Kopie beigefügt”?
Ach ja, ich war mit meinen Gedanken bei “gewerblicher Nutzung”
Ja dann gelten die AGB, Nutzungsbedingungen und/oder sonstige Vertragsgestaltungen.
Man muss bei den Begrifflichkeiten aufpassen: “Daten des Nutzers”, also Inhalte/Informationen, die der Nutzer selbst verarbeitet und speichert, sind nicht die personenbezogenen Daten des Nutzers im Sinne der DSGVO!
Die Auskunftserteilung nach Artikel 15 DSGVO bezieht sich auf die personenbezogenen Informationen “über den Nutzer”, die DU verarbeitest, also in Deinem Beispiel die Angaben im Kundenkonto (Name, Adresse, evtl. Rechnungen usw.).
LG Beatrix
Eine Frage, die sich mir schon oft stellte: Kann man die Daten des Auskunftersuchenden nicht einfach komplett löschen und dann die Auskunft erteilen, er werde nichts gespeichert? Zumindest bei offensichtlichen Störenfrieden wäre das doch eine schnelle Lösung.
Der Kunde nutzt ein Online-Browser-Programm von uns und kann dort viele Daten speichern. Er kann diese Daten lokal oder auf unserem Server speichern. Eigentlich bieten wir ihm damit nur eine Speicher-Plattform und er entscheidet selbst, ob und was er speichert.
Das ist leider nicht ganz so einfach. Für alles, was auf eurem Server gespeichert wird, dafür seid ihr prinzipiell erst einmal automatisch verantwortlich. Daher würde ich solche Programme nur mit lokaler Datenspeicherung anbieten.
Nur bei E-mail Providern, die nur die E-mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten oder bei Webhosting von “statischen Internetseiten” gilt das nicht. “Tätigkeiten von bloßen Internet-Zugangsdiensten, also Zugangsvermittlung, Datentransportleistung, einschließlich Website-Hosting ohne weitere Leistungen mit personenbezogenen Daten, unterliegen dagegen „nur“ dem Telekommunikations- bzw. Telemedienrecht. In diesem Fall spricht dann aber von sogenannten Access-Providern und nicht mehr von Service-Providern.” so hat Projekt29 festgestellt.
https://www.projekt29.de/webseiten-hosting-ist-auftragsverarbeitung/
zu2.: “Verantwortlicher” ist lt. DSGVO ja derjenige, der über die Mittel und den Zweck der Verarbeitung entscheidet. Das ist m.E. der Nutzer selbst.
Wenn es sich um Privatpersonen handelt, dann können diese keine “Verantwortlichen” im Sinne der DSGVO sein. Vielleicht solltet ihr euch als erstes mal einen ordentlichen Datenschutzbeauftragten suchen. Das ist ja sonst Kamikaze, wenn ihr mich fragt.
In den meisten Auskunftsfällen sind auch Aufbewahrungenfristen im Spiel, d.h. bestimmte Daten MÜSSEN eine vorgegebene Zeit lang aufbewahrt werden. Diese kann man nicht “einfach komplett löschen” …
So funktioniert das Spiel nicht. Wenn eine Auskunft eingeht, sind die Daten zu… verbeauskunften, die zu diesem Zeitpunkt vorliegen. Es würde gegen die Auskunftspflicht des Verantwortlichen verstoßen, diesen Bestand aus diesem Grund auszudünnen oder zu löschen, um eine Negativauskunft zu erteilen. (Bei der dann übrigens informiert werden muss, dass jetzt die Daten aus dem Auskunftsantrag und ihrer Bearbeitung vorliegen.)
Das gilt auch für kombinierte Anträge (Auskunft und Löschung): Zuerst Auskunft, dann Löschen (wenn dem nichts entgegensteht, Art. 17 Abs. 3 DSGVO).
Der Schnappschuss kann wegen der nötigen Recherchen ruhig auch wenige Tage nach dem Eingangsdatum liegen, darf aber eben nicht aufgrund des Auskunftsantrags kleiner bzw. leer ausfallen.
D., der immer predigt, dass nur deshalb so viel aufgeführt werden muss, weil noch so viel da ist. Hätte man schon vorher ernsthafter ans Löschen denken sollen.