Datenschutz und DSGVO in der Praxis: So bitte nicht!

In der letzten Woche hat mich der Datenschutz ganz persönlich betroffen. Das ist Anlass für mich, diese Erfahrungen öffentlich zu machen, um vielleicht doch das ein- oder andere Unternehmen zum Nachdenken oder Umdenken zu bewegen.

Der Fall

Mein Vater bekommt seit Jahren regelmäßig Werbung von einem Reiseunternehmen, mit dessen Namen er nichts anfangen konnte. Er wollte gerne, dass die damit aufhöhren. Wir haben dem Unternehmen dann eine nette E-Mail geschrieben und um Auskunft gem. DSGVO darüber gebeten:

  • welche Daten gespeichert sind,
  • woher sie stammen,
  • zu welchen Zwecken sie erhoben wurden,
  • ob und an wen sie weitergegeben wurden,
  • wie lange sie gespeichert werden.

Desweiteren haben wir der Nutzung der Daten für die Zukunft widersprochen.

Es kam dann auch prompt eine Mail mit dem folgenden Inhalt:


Positiv ist natürlich, dass überhaupt eine Antwort kam. Aber das war es dann auch schon mit dem positiven Eindruck. Es wurde keine der gewünschten Auskünfte erteilt und die Behauptung, die Adresse sei aus der Kundendatei gelöscht worden, kann so nicht stimmen, wie nachfolgende Telefonate gezeigt haben.

So ging es weiter

Wir haben auf diese Mail geantwortet, ob das jetzt die geforderte Auskunft sei? Darauf hin kam es zu einem Anruf bei meinem Vater, in dessen Verlauf sich der Geschäftsführer des Unternehmens dahingehend geäußert hat, dass man nicht wisse, wieso mein Vater immer wieder Post mit Angeboten für „Stammkunden“ bekäme. Man könnte das aber auch nicht mehr nachvollziehen, denn die Daten seien ja gelöscht.

Per E-Mail wurde dann das im Telefonat besprochene wie folgt zusammengefasst:

wie soeben telefonisch besprochen, haben wir alle Ihre Daten bei uns im System bereits gelöscht. Sie erhalten von uns keine Post mehr.

Auf unsere Rückfrage wie sie dann an die Telefonnummer gekommen seien, da der Datensatz ja angeblich gelöscht sei und dass es überhaupt nicht angeht, erst die Daten zu löschen und dann zu argumentieren man könne das Auskunftsersuchen nicht beantworten weil die Daten gelöscht seien, bekam ich dann einen Anruf. Die Telefonnummer stammte wohl aus meiner E-Mail-Signatur.

Im Verlauf des Gesprächs ergaben sich dann folgende Informationen:

  • Mein Vater stand in der Kundendatei, weil er wohl mal mit einer Tochterfirma von denen eine Reise gebucht hatte, die aber namentlich nicht als solche zu erkennen war.
  • Die Telefonnummer von meinem Vater hatten die von Google.
  • Es kommt noch einmal Post, weil die schon in der Verteilung ist.

Datenschutzrechtliche Bewertung

Wo liegen jetzt aber die Probleme? Ganz augenscheinlich hat das Unternehmen ja getan, was der „Betroffene“ gewünscht hat, nämlich den Versand von Werbung gestoppt.

Auskunftsanspruch des Betroffenen

Artikel 15 DSGVO, Abs. 1 gesteht dem Betroffenen (das ist der, dessen personenbezogenen Daten gespeichert wurden) eine umfangreiches Auskunftsrecht zu. Dieses besteht unabhängig davon, ob die Daten direkt beim Betroffenen (bspw. Kundendaten) oder von Dritten erhoben wurden und ob und welchen Rechtfertigungsgrund es für die Erhebung und Verarbeitung der Daten gibt.

Damit diese Auskünfte erteilt werden können, hat der Verantwortliche, in diesem Fall das Unternehmen, Daten in einer Form vorzuhalten, die diese Auskunft ermöglichen. Das schließt eigentlich aus, dass Daten erst gelöscht werden und dann wird dem Betroffenen erzählt, man könnte die gewünschten Auskünfte nicht erteilen.

Tipp:
Der richtige Weg wäre hier gewesen erst die Auskünfte zu erteilen und dann die Daten zu löschen. Ob die Daten in diesem Fall tatsächlich gelöscht wurden, ist noch eine andere Frage.

Erfassen und verwalten von personenbezogenen Daten gegen den ausdrücklichen Willen des Betroffenen

Der Betroffene hat in diesem Fall ausdrücklich der Erfassung, Verwendung und Speicherung seiner personenbezogenen Daten für die Zukunft widersprochen. Dennoch geht der Verantwortliche nach eigener Aussage hin und bemüht das Internet um nach der Telefonnummer des Betroffenen zu suchen, speichert diese durch Wählen der Nummer in seiner Telefonanlage und ruft denjenigen, der sich schon von der Briefpost belästigt fühlt an. Merkt hier jemand was? Durch den Anruf und die Recherche im Internet werden wieder neue Daten erfasst und das gegen den ausdrücklichen Wunsch des Betroffenen.

Die Telefonnummer konnte überdies auch nur unter Zuhilfenahme der Anschrift korrekt ermittelt werden, woher stammt die, wenn doch der Datensatz schon gelöscht war? Ja, ganz einfach. Nach eigener Aussage des Unternehmens aus unserer Mail mit dem Auskunftsersuchen. Aber auch die enthält natürlich personenbezogene Daten und hätte, wenn man die Löschung verlangt ebenfalls gelöscht werden müssen.

Fehlerhafte Auskünfte

Desweiteren hat das Unternehmen fehlerhafte Auskünfte erteilt. Meinem Vater gegenüber wurde gesagt, man wisse nicht, warum er Werbung bekäme und könnte das auch nicht mehr nachvollziehen, weil die Daten ja schon gelöscht wären. Mir gegenüber hat der Geschäfstführer allerdings gesagt, mein Vater stünde in der Kundendatei, weil er eben mal vor Jahren eine Reise mit einer Tochtergesellschaft gemacht hätte. Folglich war die Aussage, dass eine Auskunft gem. DSGVO nicht mehr möglich sei, weil der Datensatz gelöscht sei, wohl falsch, denn diese Auskunft wäre eine Antwort auf die Frage gewesen, woher die Daten stammen und zu welchem Zweck sie erfasst wurden.
Also entweder war die Aussage falsch, dass der Datensatz gelöscht ist, wenn Stunden nach dieser Aussage dann doch noch ermittelt werden kann, woher die Daten stammen, oder man hätte auch nach Löschung der Daten die Auskunft noch erteilen können, was fraglich ist, denn irgendwo hätten dann nach der Löschung die Daten noch sein müssen. Eventuell im System der Tochterfirma?

Dann stellt sich aber die Frage, wenn direkter Zugriff auf diese Daten besteht, geht der Anspruch auf Löschung in jedem Fall so weit, dass auch diese Daten im Datenbestand der Tochterfirma gelöscht werden müssen.

Die Aussage, dass „alle Daten aus unserem System gelöscht“ wurden, umfasst natürlich nicht nur die Kundendatei, in der es in der ersten E-Mail ging, sondern natürlich auch die E-Mails und anderen Dateien, die Daten des Betroffenen beinhalten. Das scheint ja nicht geschehen zu sein, denn sonst hätte man die Mail mit der Adresse ja nicht gehabt. …

ACHTUNG
Wer solche Antworten an „Betroffene“ schreibt, sollte in der Fomulierung äußerst vorsichtig sein. „alle Daten gelöscht“ hieße eigentlich, dass auch in alten Backups die Daten nicht mehr vorhanden sein dürfen. Das heißt, sofern es technisch überhaupt möglich wäre, müssten aus allen Backups die Daten entfernt werden. Eine bessere und realistischere Formulierung wäre so etwas wie:

Wir haben wunschgemäß Ihre personenbezogenen Daten aus unseren Datenbanken und von unseren Systemen entfernt, sofern es uns technisch möglich ist bzw. keinen unverhältnismäßig großen Aufwand verursacht bzw. wir von einer Löschung gem. Artikel 17, Abs. 3 DSGVO absehen dürfen.

Ebenso fragwürdig ist natürlich die Aussage „Sie erhalten von uns keine Post mehr.“ Wenn gleichzeitig mir gegenüber die Ankündigung einer letzten Sendung erfolgt, die sich leider schon auf dem Postweg befindet.

Datenschutzdilemma für Verantwortliche

Hier zeigt sich auch ein großes Dilemma in dem sich Unternehmen mit Inkrafttreten der DSGVO befinden. Zum einen müssen Sie umfassende Dokumentationspflichten erfüllen, bspw. um Auskünfte an Betroffene erteilen zu können, anderseits haben Betroffene ein Recht auf Löschung ihrer Daten. Verlangt ein Betroffener die Löschung seiner Daten, umfasst das prinzipiell auch den E-Mail-Verkehr. Diese ist jedoch unter Umständen zur Dokumentation einer erfolgten Auskunft gem. DSGVO wichtig. Was kann der Verantwortlich jetzt tun?

Er hat gem. Artikel 17, Abs. 3 keine Verpflichtung zum Löschen von Daten, die “ zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. “ notwendig sind. Das heißt, es wäre möglich, die E-Mails mit den Auskünften durchaus zu archivieren. Da aber Daten nur für die Zwecke genutzt werden dürfen, für die sie erfasst sind, heißt das gleichzeitig, dass auch eine archivierte E-Mail für Zwecke der Rechtsverteidigung keinesfalls dazu genutzt werden darf, eine Telefonnummer zu ermitteln und damit alte Daten mit neuen Daten, aus anderer Quelle zu kombinieren, zumal wenn der Betroffene der Verarbeitung der Daten bereits widersprochen hat.

5. Tipps für den richtigen Umgang mit Auskunftsersuchen am Beispielfall

  1. Wenn Ihnen ein Auskunftsersuchen in Haus flattert, bewahren Sie die Ruhe! Sie haben eine Frist von 4 Wochen mindestens, zur Beantwortung. Sie sollten keinesfalls als Kurzschlusshandlung Daten löschen, oder das vorgeben und in der Eile falsche Auskünfte erteilen. Atmen Sie tief durch, noch ist alles OK.
  2. Durchsuchen Sie Ihre Systeme nach den vom Betroffenen übermittelten Daten wie Vorname, Nachname, E-Mail-Adresse und kopieren Sie die Daten, die Sie finden und die sich eindeutig zuordnen lassen, in ein leeres Dokument. Können Daten nicht eindeutig zugeordnet werden, lassen Sie diese weg. Sie dürfen keinesfalls fremde Daten an den Betroffenen übermitteln aber Sie können diesem mitteilen, dass es Daten im System gibt, die sich nicht eindeutig ihm zuordnen lassen. Stellen Sie die ermittelten Daten am besten in einer PDF-Datei zusammen und übermitteln Sie diese am besten verschlüsselt an den Betroffenen.
  3. Prüfen Sie getätigte Aussagen, bevor Sie sie machen, also versprechen Sie nicht, dass der Betroffene keine Post mehr erhält, wenn schon welche im Versand ist, die Sie nicht mehr stoppen können.
  4. Verlangt der Betroffene Löschung der Daten, prüfen Sie, ob es Gründe gibt, diese Löschung zu verweigern, wie bspw. steuerrechtliche Aufbewahrungspflichten. Teilen Sie in diesem Fall dem Betroffenen mit, dass alle (oder bestimmte Teile) der Daten jetzt nicht gelöscht werden können, aber regulär nach Ablauf der Aufbewahrungspflichten gelöscht werden.
  5. Dokumentieren Sie die Auskunft, indem Sie die E-Mail mit Anlagen archivieren oder ausdrucken und vergessen Sie auch nicht in der Mail mit den Auskünften den Betroffenen über seine Rechte zu informieren, bspw. das Recht zur Beschwerde bei der Datenschutzbehörde.

Hinweis: Die hier erfolgte Bewertung ist meine Meinung zur Auslegung der DSGVO und muss nicht zwingend auch von Gerichten und Datenschutzbehörde geteilt werden. Sie ist auch keine Beratung im Einzelfall. Es bleibt abzuwarten, welche Urteile in der nächsten Zeit zum Thema Auskunftsrechte besprochen werden.