Aktuelles
Datenschutz
Auskunftsquerulant legt Firmen und Journalisten lahm
08.06.2018
Reformbedarf schon nach wenigen Tagen nach dem In-Kraft-Treten deutlich
Mit Berufung auf die Datenschutz-Grundverordnung (DSGVO) werden derzeit so manche Firma und auch Journalisten lahmgelegt. Es beginnt mit einer scheinbaren harmlosen Mail, in der ein bislang unbekannter Bürger sein Recht auf Auskunft aus Artikel 15 DSGVO über die zu seiner Person gespeicherten Daten geltend macht. Kein Problem, denkt der betroffene Journalist, die Person kenne ich nicht. Dann aber wird er stutzig. Was ist denn eigentlich das Problem dieses Herrn?
„Ich habe am 29. Mai 2018 Ihre Website besucht, und zwar hatte ich zu diesem Zeitpunkt die IP Nr. (...). Teilen Sie mir mit, was Sie zu meiner Person gespeichert haben, z.B. Namen, Geburtsdatum, Adresse, informieren Sie mich über meine Rechte (...) und stellen Sie mir diese Daten in einem in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zur Verfügung (...), meine Name und meine Adresse lauten (....)“.
Der Journalist könnte eigentlich mit gutem Gewissen antworten, dass er gar keine IP erfasst. Diese Funktion seiner Internetseite hat er – eher zufällig – vor dem In-Kraft-Treten der DSGVO außer Kraft gesetzt. Übrigens könnten auch andere, bei denen die IP erfasst wird, durchaus genauso gelassen antworten, wenn sie für die IP-Erfassung gute Gründe nennen können und das auch in ihrer Datenschutzerklärung so geregelt war.
Doch irgendetwas stimmt hier nicht. Warum will jemand Auskunft haben, nachdem er einfach nur eine Internetseite besucht hat. Da müsste er das doch ständig machen, so oft wie man heutzutage im Internet unterwegs ist. Ein Querulant? Eine Internet-Recherche zeigt schnell: diese Anfrage ist auch bei anderen gelandet, und die Industrie- und Handelskammer teilt auf Anfrage mit, dass Hunderte ihrer Mitgliedsunternehmen diese Anfrage bekommen hätten.
Rechnen wir einmal: 500 Unternehmen haben diese Anfrage bekommen, 500 von ihnen stellen sich die Frage, wie damit umzugehen ist. 500 Mal fragen sie Jurist/inn/en, die vermutlich (weil das Problem neu und ungelöst ist), dafür sicherlich mehr als drei Stunden Arbeit aufwenden dürften. Das heißt 1.500 Beratungsstunden, die zu bezahlen sind. Schön für die juristische Beratungswelt, aber vermutlich wünschen sich auch die meisten Jurist/inn/en interessantere Fälle.
Es scheint klar zu sein: hier geht es jemanden gar nicht um echte Auskunft. Entweder sollen die Betreiber lahmgelegt werden oder das Ziel besteht darin, die DSGVO ad absurdum zu führen, um den Datenschutz an sich lächerlich zu machen. Noch eine Alternative: der Anfragende hofft auf einen Fehler bei der Antwort, um dann Schadensersatz nach der DSGVO geltend zu machen.
Fehler können gemacht werden. Wer eine solche „Anfrage“ erhält, kann viele Fehler machen. Dazu kann bereits gehören, auf die Mail mit Rück-Mail zu antworten, in deren Body die ursprüngliche Mail (mit allen Daten der Person) steht. Denn eine unverschlüsselte Antwortmail läuft über zahlreiche Server im Netz wie eine Postkarte, und jetzt könnte der Anfragende (möglicherweise) gleich eine Schadensersatzforderung geltend machen. Dazu kommt, dass nicht einmal klar sein muss, ob der Anfragende überhaupt mit der genannten Person identisch ist, und dass selbst die IP fraglich sein kann. Auch wenn die DSGVO dazu verpflichtet, Auskünfte gerade auch digital zu übermitteln, laufen die zur Antwort Verpflichteten einigen Risiken, die sie ohne juristische Beratung oder zumindest intensive Befassung mit der Materie kaum umgehen können.
Kann ich die Anfrage ignorieren? Die DSGVO verlangt eine Antwort spätestens innerhalb von vier Wochen. Immerhin sieht Artikel 12 Absatz 5 lit (klein) b DSGVO vor, dass „bei offenkundig unbegründeten Anträgen einer betroffenen Person der Verantwortliche sich weigern kann, aufgrund des Antrags tätig zu werden“. Wenn Hunderte von Unternehmen angefragt werden, dürfte das dieses Kriterium erfüllen. Nur müssen Seiten-Betreiber dann harte Nerven haben, falls nach Ablauf der Vier-Wochen-Frist eine Klage eingereicht oder die Datenschutzbehörde eingeschaltet wird.
Was tun: Grundsätzlich sollte die Angelegenheit nicht nur juristisch angegangen werden, sondern öffentlich gemacht werden. Zudem sollte die Datenschutzbehörde eingeschaltet und darum gebeten werden, gegen die Person Maßnahmen zu ergreifen.
Politik gefragt: Der Fall zeigt, dass die gut gemeinte DSGVO bedauerlicherweise zum Einfallstor für Querulanten und Abmahner wird. Ganze Betriebe, gerade Kleinbetriebe, werden durch Regelungen wie zur Auskunft – genauso wie im Fall der „Verantwortlichkeit für Facebook-Fanpages“ – geradezu lahmgelegt und mit irrsinnigem Beratungsaufwand und damit verbundenen Kosten belastet. Hier ist eine schnelle, korrigierende gesetzliche Regelung erforderlich.
Michael Hirschler, hir@djv.de
Datenschutzhinweis ;) - der DJV darf sich mit solchen Themen und auch Daten solcher Personen ohne ihre Einwilligung befassen bzw. sie verarbeiten, und auch ohne sie darüber vorher oder nachträglich zu informieren, weil er als Gewerkschaft und Berufsverband berechtigt ist, seine Meinung in die Gesellschaft einzubringen und sich deswegen, um diese sich bilden können, mit Tatbeständen wie zum Beispiel Mails an Mitglieder zu befassen. Geregelt ist das in dem einigen Personen noch bekannten Artikel 5 Grundgesetz, Artikel 11 der Europäischen Grundwerte-Charta sowie auch Artikel 85 der DSGVO und auch in
Landespressegesetzen/Landesdatenschutzgesetzen. Leider muss heute auf solche Selbstverständlichen auch einmal hingewiesen werden...
„Ich habe am 29. Mai 2018 Ihre Website besucht, und zwar hatte ich zu diesem Zeitpunkt die IP Nr. (...). Teilen Sie mir mit, was Sie zu meiner Person gespeichert haben, z.B. Namen, Geburtsdatum, Adresse, informieren Sie mich über meine Rechte (...) und stellen Sie mir diese Daten in einem in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zur Verfügung (...), meine Name und meine Adresse lauten (....)“.
Der Journalist könnte eigentlich mit gutem Gewissen antworten, dass er gar keine IP erfasst. Diese Funktion seiner Internetseite hat er – eher zufällig – vor dem In-Kraft-Treten der DSGVO außer Kraft gesetzt. Übrigens könnten auch andere, bei denen die IP erfasst wird, durchaus genauso gelassen antworten, wenn sie für die IP-Erfassung gute Gründe nennen können und das auch in ihrer Datenschutzerklärung so geregelt war.
Doch irgendetwas stimmt hier nicht. Warum will jemand Auskunft haben, nachdem er einfach nur eine Internetseite besucht hat. Da müsste er das doch ständig machen, so oft wie man heutzutage im Internet unterwegs ist. Ein Querulant? Eine Internet-Recherche zeigt schnell: diese Anfrage ist auch bei anderen gelandet, und die Industrie- und Handelskammer teilt auf Anfrage mit, dass Hunderte ihrer Mitgliedsunternehmen diese Anfrage bekommen hätten.
Rechnen wir einmal: 500 Unternehmen haben diese Anfrage bekommen, 500 von ihnen stellen sich die Frage, wie damit umzugehen ist. 500 Mal fragen sie Jurist/inn/en, die vermutlich (weil das Problem neu und ungelöst ist), dafür sicherlich mehr als drei Stunden Arbeit aufwenden dürften. Das heißt 1.500 Beratungsstunden, die zu bezahlen sind. Schön für die juristische Beratungswelt, aber vermutlich wünschen sich auch die meisten Jurist/inn/en interessantere Fälle.
Es scheint klar zu sein: hier geht es jemanden gar nicht um echte Auskunft. Entweder sollen die Betreiber lahmgelegt werden oder das Ziel besteht darin, die DSGVO ad absurdum zu führen, um den Datenschutz an sich lächerlich zu machen. Noch eine Alternative: der Anfragende hofft auf einen Fehler bei der Antwort, um dann Schadensersatz nach der DSGVO geltend zu machen.
Fehler können gemacht werden. Wer eine solche „Anfrage“ erhält, kann viele Fehler machen. Dazu kann bereits gehören, auf die Mail mit Rück-Mail zu antworten, in deren Body die ursprüngliche Mail (mit allen Daten der Person) steht. Denn eine unverschlüsselte Antwortmail läuft über zahlreiche Server im Netz wie eine Postkarte, und jetzt könnte der Anfragende (möglicherweise) gleich eine Schadensersatzforderung geltend machen. Dazu kommt, dass nicht einmal klar sein muss, ob der Anfragende überhaupt mit der genannten Person identisch ist, und dass selbst die IP fraglich sein kann. Auch wenn die DSGVO dazu verpflichtet, Auskünfte gerade auch digital zu übermitteln, laufen die zur Antwort Verpflichteten einigen Risiken, die sie ohne juristische Beratung oder zumindest intensive Befassung mit der Materie kaum umgehen können.
Kann ich die Anfrage ignorieren? Die DSGVO verlangt eine Antwort spätestens innerhalb von vier Wochen. Immerhin sieht Artikel 12 Absatz 5 lit (klein) b DSGVO vor, dass „bei offenkundig unbegründeten Anträgen einer betroffenen Person der Verantwortliche sich weigern kann, aufgrund des Antrags tätig zu werden“. Wenn Hunderte von Unternehmen angefragt werden, dürfte das dieses Kriterium erfüllen. Nur müssen Seiten-Betreiber dann harte Nerven haben, falls nach Ablauf der Vier-Wochen-Frist eine Klage eingereicht oder die Datenschutzbehörde eingeschaltet wird.
Was tun: Grundsätzlich sollte die Angelegenheit nicht nur juristisch angegangen werden, sondern öffentlich gemacht werden. Zudem sollte die Datenschutzbehörde eingeschaltet und darum gebeten werden, gegen die Person Maßnahmen zu ergreifen.
Politik gefragt: Der Fall zeigt, dass die gut gemeinte DSGVO bedauerlicherweise zum Einfallstor für Querulanten und Abmahner wird. Ganze Betriebe, gerade Kleinbetriebe, werden durch Regelungen wie zur Auskunft – genauso wie im Fall der „Verantwortlichkeit für Facebook-Fanpages“ – geradezu lahmgelegt und mit irrsinnigem Beratungsaufwand und damit verbundenen Kosten belastet. Hier ist eine schnelle, korrigierende gesetzliche Regelung erforderlich.
Michael Hirschler, hir@djv.de
Datenschutzhinweis ;) - der DJV darf sich mit solchen Themen und auch Daten solcher Personen ohne ihre Einwilligung befassen bzw. sie verarbeiten, und auch ohne sie darüber vorher oder nachträglich zu informieren, weil er als Gewerkschaft und Berufsverband berechtigt ist, seine Meinung in die Gesellschaft einzubringen und sich deswegen, um diese sich bilden können, mit Tatbeständen wie zum Beispiel Mails an Mitglieder zu befassen. Geregelt ist das in dem einigen Personen noch bekannten Artikel 5 Grundgesetz, Artikel 11 der Europäischen Grundwerte-Charta sowie auch Artikel 85 der DSGVO und auch in
Landespressegesetzen/Landesdatenschutzgesetzen. Leider muss heute auf solche Selbstverständlichen auch einmal hingewiesen werden...
