hattet ihr schon einmal den Fall, dass auf Hinweise zu mangelnder Sicherheit und der Anfrage um ein Auskunftsersuchen (bei einem DSB! der gleichzeitig GF ist - ja, da gibt es immer noch Menschen, die das nicht so ganz verstanden haben) sehr unverschämte und eingeschnappte Antworten kamen und ihr auch eine unvollständige/ ungenügende Antwort erhalten habt (auf eine sachliche Anfrage / womöglich weil sich das Unternehmen auf dem Schlips getreten gefühlt hat)?
Also fast schon in die Kategorie beleidigend? Habt ihr euch bei entsprechender Stelle beschwert und wurde auch auf genau die Tatsache geprüft, dass man beim “einholen seiner Rechte” so angegangen wird?
Wie schwer wiegt es, wenn die Firma schon so fahrlässig gehandelt hat und dann noch unverschämt gegenüber den Auskunftserbsuchenden bzw. den Betroffenen wird?
Teilweise kann ich das sogar verstehen. Wenn man sieht, wie Leute nur so aus Spass mit Serienbrief-Vordrucken die ganze Landschaft mit Anfragen überziehen nur weil sie es können. Im Normalfall sollte das ja kein Problem sein, wenn die angefragten Unternehmen saubere Prozesse haben. Allerdings wird ja auch oft mit fehlenden Anfragen, abweichenden Adressen etc. oder von israelischen Dienstleistern angefragt und das Untenehmen muss erstmal suchen, um wen es sich handeln könnte. Auf Nachfragen melden sich 90% der Anfragenden gar nicht mehr. Das ist sehr ärgerlich und lästig. Da kann ich etwas Mißmut schon nachvollziehen.
Ich bin ja üblicherweise auf der Gegenseite, beim Verantwortlichen, “zu Hause”. Dort geb ich oft, schon fast zu oft, den Rat “nimmt die Emotionen raus”. Das ist ein ganz ein simpler Geschäftsprozess, den man strikt nach dem Buchstaben des Gesetzes abarbeiten kann - und mehr ist da nicht.
Ähnliches gilt dann wohl für die Gegenseite, die Seite des Betroffenen. Möglich, dass der Hilfe braucht. Hinweis auf Art 13 DSGVO. Was immer einer will kann er direkt vom Gesetzestext abschreiben. Zur Not mal ein Hinweis auf T5F oder cT5F oder selbstauskunft.net. Mehr sollte da nicht sein. Vielleicht die alte Rat “choose your battles wisely”. Ja es bleibt auch dem DSB nicht verborgen wo es überall klemmt. Auch mal bei Zuarbeitern oder Lieferanten. Dann erlaube ich mir ein freundliches Mail. Aber ansonsten muss er sich schon selbst um sein Geschäft kümmern und ich bleibe dabei die notwendige Arbeit bei mir und meinen Kunden zu treiben.
Wir hatten einen interessanten Fall mit einem Clouddienstleister, der zwar vom Auftraggeber als Auftragsverarbeiter bestellt wurde, aber auch psb. Daten der Mitarbeiter der Auftraggebers in eigener Verantwortung verarbeitet, zumindest laut eigener Datenschutzerklärung, die für die Nutzung des Dienstes “akzeptiert” werden muss und damit wohl über die Datenverarbeitung aus dem Auftragsverarbeitungsvertrag hinaus geht.
Die Auskunft richtete sich vom Mitarbeiter direkt an den Clouddienstleister zu den Daten, die der Clouddienstleister in eigener Verantwortung verarbeitet. “Praxisüblich” wollte dieser Dienstleister die Identität des Antragsstellers vor der Beantwortung feststellen (obwohl die Anfrage von der (geschäftlichen) E-Mail-Adresse ausging, die der Mitarbeiter für seinen personenbezogenen Account beim Dienstleister nutzt), hat dann aber Informationen von der betroffenen Person erfragt, die diese gar nicht hat, nämlich die Kunden/Vertragsdaten, die nur dem Auftraggeber vorliegen. Diese “Lösung” scheint insb. im B2B-Bereich möglich, womit man dann direkt auch im Dickicht der Auftragsverarbeitung / Verarbeitung in (getrennter) eigener Verantwortung (bzw. Joint-Control) wäre.
Bisher ist es uns gelungen, Auskunftsersuchen korrekt und emotionslos zu beantworten.
Was erstaunt, ist die geringe Anzahl, sodass sich bisher ein Workflow nicht lohnt.
Erstaunlich sind auch die Gründe der Anträge. Sofern man sie erfährt, heißt es nicht selten “einfach nur so” oder “um zu vergleichen, wie Ihr es macht. X, Y und Z haben auch schon geantwortet” und ähnliches.
Das halte ich für kontraproduktiv und vom Gesetzgeber so nicht gewollt.
Aus reinem Interesse: Worauf beziehst du Dich hier?
Der Auskunftsanspruch in Art. 15 DSGVO verlangt gerade nicht nach einem Grund. Ob ich jetzt also aus Jux und Tollerei meinen Auskunftsanspruch geltend mache oder mich interessiert, wie Unternehmen die Auskunft erteilen, darf erst einmal keine Rolle spielen.
Bei rechtsmissbräuchlicher Anspruchstellung oder wenn durch mein Auskunftsersuchen Dritte zu Betroffenen werden, lässt sich der Auskunftsanspruch einschränken.
Mit einem interessanten Konfliktfall von Auskunftsanspruch und Zivilprozessrecht beschäftigt sich ein Autor von Dr. Datenschutz in diesem Artikel, August 2019.
Wir bemühen uns auch, jede Auskunft korrekt und umfassend zu erteilen. Ich antworte auch freundlich auf Nachfragen zur erteilten Auskunft, wenn etwas nicht verstanden wurde. Ich hab es auch schon erlebt, dass der gleiche Kunde im Jahr darauf erneut eine Auskunft verlangt. Bekommt er natürlich auch, selbst wenn sich inhaltlich nichts geändert hat und auch wenn ich mir denke, wenn das so weitergeht, können wir uns irgendwann duzen )
Andererseits bemerke ich seit gut einem Jahr eine Tendenz von Rechtsanwälten , von uns in Streitfällen im Namen ihrer Mandanten, also unserer Kunden, eine Auskunft nach Art. 15 zu verlangen - auch wenn diese in dem speziellen Rechtsstreit überhaupt nichts zur Sache beiträgt. Im Regelfall schließen die uns vorgelegten Prozessvollmachten übrigens die Auskunft nach DSGVO nicht ein!
Dann schicken wir die Auskunft mit diesem Hinweis an unseren Kunden, mit der Bitte diese, soweit er das möchte, seinem Anwalt weiterzuleiten.
Was heißt “Im Regelfall” und “vorgelegten Prozessvollmachten”? Es gibt ein Urteil vom AG Berlin-Mitte (Az: 7 C 185/18), in dem das Gericht die Monatsfrist mit Vorlage der Originalvollmacht starten sieht. Waren die vorgelegten Prozessvollmachten nicht die Originale?
)