1 Jahr DSGVO: So skurill und weltfremd läuft es in der Praxis wirklich ab

Veröffentlicht am von

Eigentlich lang genug, um alle Unklarheiten auszuräumen – sollte man meinen. Dem ist leider nicht so. Für manche ist die Verordnung noch immer ein Buch mit sieben Siegeln. Immer mehr Bürger nehmen die Möglichkeit wahr, eine Beschwerde bei den Datenschutzbehörden einzureichen. Ein Großteil dieser Beschwerden bezieht sich laut dem Virtuellen Datenschutzbüro (Informationsstelle der Landesbeauftragten für Datenschutz) auf die sogenannten Auskunfts- und Löschansprüche (Auskunft Art. 15 DSGVO, Berichtigung Art. 16 DSGVO, Löschung Art. 17 DSGVO, Einschränkung der Verarbeitung Art. 18 DS-GVO und Datenübertragung Art. 20 DS-GVO). Denn diese haben es in sich.

So banal wie es klingt ist eine einfache Anfrage zur Auskunft oder Löschung der eigenen Daten keineswegs. Kaum einem Bürger ist bewusst, was es für Unternehmen bedeutet, vom Recht auf Auskunft personenbezogener Daten nach Artikel 15 der DSGVO oder Löschung nach Artikel 17 Abs. 1 und 2 der DSGVO Gebrauch zu machen. Denn oftmals ist von dieser Anfrage nicht nur das werbetreibende Unternehmen betroffen, sondern auch beauftragte Dienstleister. Versendet ein Unternehmen beispielsweise einen Werbekatalog, kann die Anfrage des Kunden durchaus auch beim beauftragten Dienstleister landen, dem so genannten Auftragsdatenverarbeiter.

Ein fiktiver Fall

Anschaulich wird dies anhand eines fiktiven Beispiels. Das Unternehmen Sportheute GmbH versendet einen Werbekatalog an Max Skeptikus, der vor drei Jahren etwas bestellt hat. Max Skeptikus möchte keine Werbung mehr erhalten. Er beantragt bei der Sportheute GmbH eine Löschung seiner personenbezogenen Daten und Auskunft darüber, wohin seine Daten weitergegeben wurden.

Mehr zum Thema
  • Fünf Jahre DSGVO: Nur jeder Zehnte von besserem Datenschutz überzeugt
  • Meta und die Datenschutzkommission: Abschluss der Untersuchung mit einer Strafe von 1,2 Milliarden Euro
  • eco Umfrage zu 5 Jahre DSGVO: Große Mehrheit der Deutschen schützt online ihre persönlichen Daten
  • Irische Datenschutzbehörde DPC: Meta soll 1,2 Milliarden Euro wegen Verstößen gegen EU-Datenschutzregeln zahlen

    • Löschen heißt nicht gleich löschen

    Max Skeptikus geht davon aus, dass seine Daten umgehend gelöscht werden – doch weit gefehlt. Denn für die Sportheute GmbH gelten noch andere Pflichten außer der DSGVO, zum Beispiel die Pflicht zur Aufbewahrung von Dokumenten zu einem Auftrag. Weil Max Skeptikus vor drei Jahren etwas gekauft hat, muss die Sportheute GmbH die zugehörige Rechnung für zehn Jahre aufbewahren.  Deshalb bleibt Max Skeptikus auch nach seinem Löschungsantrag unter Umständen noch sieben weitere Jahre in der Datenbank der Sportheute GmbH gespeichert. Nur wenn die gespeicherten, personenbezogenen Daten keinem anderen Gesetz unterliegen, müssen sie sofort gelöscht werden. 

    Keine Auskunft möglich

    Max Skeptikus hat von der Sportheute GmbH die Auskunft erhalten, dass die Daten an den Auftragsdatenverarbeiter ZiemlichBesteAdresse GmbH weitergegeben wurden. Die ZiemlichBesteAdresse GmbH bereitet Adressen auf und gibt sie zum Kuvertieren an einen Lettershop weiter. Nun möchte Max Skeptikus auch beim Auftragsdatenverarbeiter von seinem Recht auf Löschung Gebrauch machen. Seine personenbezogenen Daten bei der ZiemlichBesteAdresse GmbH unterliegen jedoch dem Vertragsrecht (DSGVO Artikel 28 (3a)). Das sieht normalerweise keine Auskunftsfreigabe vor. Die ZiemlichBesteAdresse GmbH ist durch diesen Vertrag an die Weisungen der Sportheute GmbH gebunden. Demnach kann die ZiemlichBesteAdresse GmbH die Anfrage von Max Skeptikus nur auf eine Art und Weise beantworten: Als Auftragsdatenverarbeiter darf sie keine Auskunft darüber geben, ob Max Skeptikus irgendwo in einem bei ihr gespeicherten Datensatz erfasst ist oder nicht. Deshalb kann die ZiemlichBesteAdresse GmbH seine Kundendaten auch nicht löschen und Max Skeptikus nur wieder an die verantwortliche Stelle, in diesem Fall die Sportheute GmbH, verweisen. Wäre Max Skeptikus gleichzeitig ein Kunde von beiden Unternehmen, dann müsste auch die ZiemlichBesteAdresse GmbH eine Auskunft geben und eine Löschung vornehmen, aber nur für die personenbezogenen Daten, die sie selber erhoben hat.

    Durch Anfrage gespeichert

    Hatte die ZiemlichBesteAdresse GmbH Max Skeptikus bis zu diesem Zeitpunkt nicht als eigenen Kunden erfasst hat, muss sie dies jetzt tun und wird nun selbst zum Verantwortlichen. Denn durch die Anfrage hat Max Skeptikus einen neuen Dokumentations-Prozess in Gang gesetzt. Um nachzuweisen, dass die Anfrage ordnungsgemäß bearbeitet wurde, muss die ZiemlichBesteAdresse GmbH den Vorgang speichern. Damit kommt die ZiemlichBesteAdresse GmbH den in der DSGVO geforderten Aufbewahrungs- und Dokumentationspflichten (Art. 5 Abs. 2 DSGVO) nach. Nun ist Max Skeptikus durch seine eigene Anfrage für mindestens drei Jahre bei der ZiemlichBesteAdresse GmbH gespeichert. Denn nur so kann die ZiemlichBesteAdresse GmbH den nötigen Nachweis erbringen, falls gerichtliche Bußgelder drohen. Nun muss die ZiemlichBesteAdresse GmbH Max Skeptikus gemäß ihrer Informationspflicht (Art. 13) in einem Antwortschreiben über diese Speicherung und seine Rechte informieren.

    DSGVO Fazit

    Sein eigentliches Ziel hat Max Skeptikus nicht erreicht: eine sofortige Löschung seiner Daten bei der Sportheute GmbH. Denn die DSGVO stärkt zwar das „Recht auf Vergessenwerden“ und das Auskunftsrecht, doch der Teufel steckt im Detail.

    Über den Autor

    Edgar Praun ist Geschäftsführer von pbdirekt und beschäftigt sich neben seinem Schwerpunkt im Bereich CRM, mit Vertragswesen und Datenschutzthemen. Er gibt bei Kunden Datenschutzschulungen mit Schwerpunkt CRM und Dialogmarketing.

    Letzte Artikel von pbdirekt (Alle anzeigen)