Pannen mit Daten

Vorsicht – Bei Pannen mit Daten nicht klein beigeben

Seit über zwei Jahren ist die DSGVO in Kraft, die in Österreich das vorherige Datenschutzgesetz aus dem Jahr 2000 (kurz DSG2000) abgelöst hat. Nichts desto trotz ist die Handhabung der DSGVO bei so einigen Firmen und Institutionen scheinbar noch nicht ganz angekommen.

Wer bei einem recht großen, österreichischen Automobil Club seine gespeicherten Daten aufgrund nach Art.15 DSGVO erfragt, der kann sein blaues Wunder erleben.

Anmerkung: Alle persönlichen Daten können von jedem Unternehmen einmal im Jahr kostenfrei erfragt werden. Als Basis sollte zumindest eine Kunden- oder Mitgliedsnummer vorliegen auf die man sich beziehen kann. Nutzen Sie meinen kostenlosen “Antrag auf Auskunft gemäß Art.15 DSGVO Generator” um Ihr Auskunftsersuchen in Sekunden zu erstellen.

Das Auskunftsersuchen

Ende Oktober 2020 wurde eine DSGVO Auskunft nach Art.15 mittels eingeschriebenen Brief an den Automobil Club gestellt. Der Brief entsprang der Vorlage die die ARGE Daten kostenlos auf Ihrer Webseite selbst anbietet. In dieser Vorlage sind alle wichtigen und relevanten Absätze enthalten, ebenso jener, dass kein Identitätsnachweis wie z.B. Kopie des Führerscheins oder Reisepasses notwendig sind, da die Antwort mittels RSa Brief erfolgen kann und die Identität somit seitens der Post sichergestellt wird.

Die Vorgeschichte

Vorangestellt sei die Information, dass auch die Lebensgefährtin des Autors einen Monat zuvor einen Antrag nach Art. 15 DSGVO einreichte, da die Mitgliedschaft zu diesem Club vor gut einem Jahr von ihr beendet wurde. Nichts desto trotzt trudelt in regelmäßigen Abständen eine Mitgliederzeitschrift und ein Angebot doch zum Club zurückzukehren ein.

Was liegt also näher genauer nachzufragen welche Daten gespeichert sind?

Die Antwort

Eine Antwort per E-Mail folgte innerhalb weniger Tage durch den Automobil Club mit der Bitte doch einen Ausweis zu übermitteln, da man sonst die Anfrage nicht bearbeiten könne. Laut DSGVO sei dies jedoch nur bei ungenügender Authentifizierung notwendig. Da die Lebensgefährtin die Wohnadresse – auf der die Clubzeitschrift zugestellt wird – die ehemalige Mitgliedsnummer sowie Geburtsdatum übermittelte, seien wohl genug Daten vorhanden dieser Anfrage nachzukommen. Doch selbst diese Antwort verweigerte der Club mit einem Verweis auf Kopie von Führerschein oder Reisepass.

Die Beschwerde und die Auskunft

Also wurde eine Beschwerde bei der Datenschutzbehörde (www.dsb.gv.at) eingereicht. Siehe da, nach rund zwei Wochen wurden die Daten mittels RSa Brief übermittelt.

Zurück zur Anfrage

Da der Autor ebenso Mitglied bei diesem Automobil Club war, wollte auch er wissen, welche Daten derselbige nach wie vor gespeichert hat. Die Mitgliedschaft selbst war bereits seit mehreren Jahren (über 7 Jahre!) zu Ende.

Damit sich der Automobil Club jedoch nicht wieder von Anfang an weigert Daten zu beauskunften, wird Anfang November eine Kopie des Führerscheins via eingeschriebenen Brief samt Antrag auf Auskunft nach Art.15 DSGVO mitgeschickt.

Die Antwort – mehr oder weniger

Nach zwei Wochen meldete sich die frühere Lebensgefährtin des Autors via Nachricht. Ein Brief sei an der Adresse angekommen, an der er seit gut vier Jahren nicht mehr wohnt. Vom bereits erwähnten Automobil Club ohne RSa oder RSb. Die früherere Lebensgefährtin hat den Brief – auf Nachfrage – an die neue Adresse weitergeleitet. Der Brief beinhaltete die DSGVO Auskunft nach Art.15 mit samt E-Mail-Adresse, (alter) Telefonnummer und vieler Platzhalter für Bankdaten und Co die in der Regel mit den entsprechenden Daten ausgefüllt sind.

Resumee

Wir halten also fest: Wenn Sie eine Datenauskunft nach den Regeln des Automobil Clubs machen, also mit Ausweiskopie dann werden Ihre Daten an jene Adresse gesendet, die der Automobil Club in seinem System gespeichert hat, egal von welcher Adresse Sie die Anfrage schicken und auf was Sie sich berufen. Ganz ohne Sicherstellung, dass wirklich nur Sie die angefragten Daten erhalten.

Machen Sie es nach den Regeln der DSGVO, dann werden Sie abgespeist, müssen bei der Datenschutzbehörde um Unterstützung bitten und erhalten Ihre Daten nur via RSa Brief.

Die weitere Vorgehensweise

Aufgrund der Vorgehensweise wurde eine Beschwerde nach Art. 1 und Art. 17 bei der österreichischen Datenschutzbehörde am 15. Jänner 2021 mittels Antrag, Kopie des Schriftverkehrs und eingeschriebenen Brief übermittelt.

Das Verfahren läuft nach wie vor. Updates folgen.

Bild von Manfred Antranias Zimmer auf Pixabay