DSGVO wie eine Anfrage bearbeiten

Moderator: FDR-Team

Antworten
anmath.1
Topicstarter
noch neu hier
Beiträge: 2
Registriert: 10.06.18, 16:04

DSGVO wie eine Anfrage bearbeiten

Beitrag von anmath.1 » 10.06.18, 16:23

Hallo, wir haben folgened Frage:

Bei einem Onlineshop geht per Brief die Aufforderung einer Person (Max Muster aus Musterstraße in Musterdorf) ein das alle Daten gelöscht werden sollen. Gleichzeitig möchte die Person per Brief eine Besätigung der Löschung.

Problem 1: Wir finden zwar einen Max Muster, der wohnt aber nicht in MusterDorf, sondern in MusterStadt - es kann der Person also kein Datensatz zugeordnet werden. Wie weit sind wir verpflichtet zu recherhieren?

Problem 2: Muss der Person per Brief geantwortet werden? Reicht da der normale Brief oder muss es ein Einschreiben sein? Wer trägt die Kosten hierfür? Oder wäre die Person verpflichtet gewesen eine Emailadresse zu benennen (was bei einer Bestellung im Shop auch Pflicht gewesen wäre)? Muss ich nicht in dem Moment aufzeichen das ich der Person geantwortet habe um nachweisen zu können das wir an Anliegen bearbeitet haben und produziere ich damit nicht überhaupt erst einen Datensatz?

Problem 3: Was wenn wir die Person gefunden hätten, aber gesetzliche Aufbewahrungpflichten einer Löschung entgegen stehen?

Problem 4:Was wenn wir zwar keine Daten mehr "griffbereit" aber ggf. noch auf einer "alten" Sicherung haben?

Problem 5: Kann nun jeder überall und ständig seine Datenlöschung beantragen und erwarten das per Briefpost geantwortet wird, egal ob er Kunde war oder nicht und egal ob er jemals Daten angegeben hat oder nicht? Das kann ja fürchterlich ausufern.

Problem 6: Falls wir der Person anworten müssen, lege ich dann sein Schreiben mit bei um mich davon zu entlasten? Ist es zudem möglich die Person in dem Zuge aufzufordern etwagige Bestllungen zu unter lassen?

Wir sind gespannt was hierbei heraus kommt und bedanken uns herzlich.

windalf
FDR-Mitglied
FDR-Mitglied
Beiträge: 14682
Registriert: 27.01.05, 02:00
Wohnort: Internet

Re: DSGVO wie eine Anfrage bearbeiten

Beitrag von windalf » 10.06.18, 17:07

Problem 1: ist vermutlich nicht eindeutig geregelt. Im Ergebnis hängt es vermutlich davon ab, auf welche Seite der Fehler ggf. liegt (also ob da ein Datenfehler ist oder aber ob es diese Person in den Daten eben eigentlich gar nicht gibt)

Problem 2: siehe 5...

Problem 3: Interessante Frage in wieweit eine 10 jährige Aufbewarungspflicht den Anspruch auf Lösung aushebelt. Keine Ahnung

Problem 4: Bei der Sicherungsnummer ist es imho Aufgabe des Unternehmens sicherzustellen, dass auch über alle Backups gelöscht werden kann. Das dies technisch mit den üblichen am Markt existierenden Tools eher schwierig ist interessiert die DSGVO nicht... Vermutlich wird man argumentieren man hatte ja 2 Jahre Zeit und die sind nun rum...

Problem 5: Imho ist das so. Bei der Schufa-Anfrage dürfte auch nicht mehr gelten, dass man nur einmal im Jahr anfragen darf. Ablehnen oder (Verwaltungs-)Kosten in Rechnung stellen ist ggf. möglich aber wohl eher nicht einfach...

https://dsgvo-gesetz.de/art-12-dsgvo/ meint dazu
Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
...fleißig wie zwei Weißbrote
0x2B | ~0x2B
Zitat Karsten: Das beweist vor Allem, dass es windalf auch nicht gibt.

ratlose mama
FDR-Mitglied
FDR-Mitglied
Beiträge: 372
Registriert: 02.03.14, 17:57

Re: DSGVO wie eine Anfrage bearbeiten

Beitrag von ratlose mama » 10.06.18, 19:04

windalf hat geschrieben: Problem 3: Interessante Frage in wieweit eine 10 jährige Aufbewarungspflicht den Anspruch auf Lösung aushebelt. Keine Ahnung
Das ist, denke ich, relativ einfach.

Die Aufbewahrungsfristen sind gesetzlich geregelt und vorgeschrieben. Eine Löschung der Daten kann verlangt werden, wird aber eben erst nach Ablauf der, für diese Daten, vorgeschriebenen Frist erfolgen. (da steht eben das Interesse des "Speichernden", der evtl. Dinge nachweisen muss, über dem Interesse des "Gespeichertem" auf "vergessen")

Dabei können durchaus verschiedene Aufbewahrungsfirsten für unterschiedliche Teile der erhobenen Daten gelten. Dann dürfte die längest Ausbewahrungsfrist maßgebelich sein, wenn dem "Speichernden" nicht zuzumuten ist, einzelne Daten vorher zu löschen

windalf
FDR-Mitglied
FDR-Mitglied
Beiträge: 14682
Registriert: 27.01.05, 02:00
Wohnort: Internet

Re: DSGVO wie eine Anfrage bearbeiten

Beitrag von windalf » 10.06.18, 19:41

Das ist, denke ich, relativ einfach.
Ist das so? Die DSGVO stellt immer auf den Zweck ab. Fraglich ist welcher Zweck exakt mit dieser 10-Jahresfrist verfolgt wird und ob es für die Unterlagen erforderlich ist, ob wirklich alle Daten eines Geschäftsvorfalls 10 Jahre vorgehalten werden müssen oder aber ob ggf. Teile entfallen können. Nehmen wir mal an es wäre über eine Person so ziemlich alles was es über diese zu wissen gibt gespeichert. Warum sollte das alles 10 Jahre vorgehalten werden, wenn diese Person das nicht wünscht. Es reicht doch im Rahmen der Datensparsamkeit ggf. nur soviel vorzuhalten, dass diese Person noch kontaktiert werden könnte, wenn das denn notwendig sein sollte.
...fleißig wie zwei Weißbrote
0x2B | ~0x2B
Zitat Karsten: Das beweist vor Allem, dass es windalf auch nicht gibt.

michael61s
FDR-Mitglied
FDR-Mitglied
Beiträge: 1195
Registriert: 18.11.10, 16:13

Re: DSGVO wie eine Anfrage bearbeiten

Beitrag von michael61s » 10.06.18, 20:10

anmath.1 hat geschrieben:Problem 1: Wir finden zwar einen Max Muster, der wohnt aber nicht in MusterDorf, sondern in MusterStadt - es kann der Person also kein Datensatz zugeordnet werden. Wie weit sind wir verpflichtet zu recherhieren?
Dann ist der Person mitzuteilen, aktuell sind bei uns keine Daten in Bezug auf Ihre Person gespeichert. Alternative ,auf der Grundlage der von Ihnen zu Ihrer Person mitgeteilten Informationen sind wir leider nicht in der Lage, Sie zu identifizieren.
Beschwerde Recht bei der zuständigen Aufsichtsbehörde nicht vergessen.
anmath.1 hat geschrieben:Problem 2:
Ja, da
anmath.1 hat geschrieben:Bei einem Onlineshop geht per Brief
anmath.1 hat geschrieben:Problem 3:
Artikel 17(3) b DSGVO (Löschfristen nach HGB und AO) Sollte es nur zu einer Anfrage und nicht zu einem Kauf gekommen sein gelten kürzere löschfristen.
anmath.1 hat geschrieben:Problem 4:
Diese Sicherung wird ja irgendwann überschrieben. Eine Sicherung ist ja kein Archive. Sollte es zu einer technisch Notwendigen Rücksicherung kommen, sind die gelöschten Daten erneut zu löschen.
anmath.1 hat geschrieben:Problem 5:
Nur eine berechtigte Person. Und auch nicht beliebig oft.
anmath.1 hat geschrieben:Problem 6:
Wie wollen Sie den ohne Unterlagen auf eine Beschwerde bei der Aufsichtsbehörde und deren Anfrage bei ihnen Antworten?
Diese Fragen sollten nach Artikel 30 DSGVO bereits Dokumentiert seien, sowie in einzelnen Prozess Dokumentationen.

windalf
FDR-Mitglied
FDR-Mitglied
Beiträge: 14682
Registriert: 27.01.05, 02:00
Wohnort: Internet

Re: DSGVO wie eine Anfrage bearbeiten

Beitrag von windalf » 10.06.18, 20:20

Diese Sicherung wird ja irgendwann überschrieben. Eine Sicherung ist ja kein Archive. Sollte es zu einer technisch Notwendigen Rücksicherung kommen, sind die gelöschten Daten erneut zu löschen.
Das alleine ist ganze sicher nicht ausreichend. Der DSGVO ist es egal ob es ein Archive oder eine Sicherung ist. Der entsprechende Datensatz muss auch aus dem Backup gelöscht werden... Aussitzen bis das Backup irgendwann nicht mehr existiert ist "nicht legal"...
...fleißig wie zwei Weißbrote
0x2B | ~0x2B
Zitat Karsten: Das beweist vor Allem, dass es windalf auch nicht gibt.

michael61s
FDR-Mitglied
FDR-Mitglied
Beiträge: 1195
Registriert: 18.11.10, 16:13

Re: DSGVO wie eine Anfrage bearbeiten

Beitrag von michael61s » 10.06.18, 20:34

windalf hat geschrieben:Aussitzen bis das Backup irgendwann nicht mehr existiert ist "nicht legal"...
Steht wo?
Es ist bei Image Backups sowie bei Sicherungen von Datenbanken gar nicht mögliche einzelne Datensätze zu löschen.
Auch werden Datensicherung ja nicht ewig aufgehoben. Die meisten werden innerhalb von einem Monat überschrieben. Einige erst nach einem Jahr. Eine Datensicherung über den Zeitraum hinaus hätte dann schon eine Archive Funktion. Für die gelten besonderen Regeln.
Und mal ganz Praktisch, wer will schon einen Server nach einem Festplatten Tausch mit Daten haben, die ein Jahr und älter sind.

Dies ist in den TOM zu dokumentieren.

ratlose mama
FDR-Mitglied
FDR-Mitglied
Beiträge: 372
Registriert: 02.03.14, 17:57

Re: DSGVO wie eine Anfrage bearbeiten

Beitrag von ratlose mama » 10.06.18, 20:39

windalf hat geschrieben:
Das ist, denke ich, relativ einfach.
Ist das so? Die DSGVO stellt immer auf den Zweck ab. Fraglich ist welcher Zweck exakt mit dieser 10-Jahresfrist verfolgt wird und ob es für die Unterlagen erforderlich ist, ob wirklich alle Daten eines Geschäftsvorfalls 10 Jahre vorgehalten werden müssen oder aber ob ggf. Teile entfallen können. Nehmen wir mal an es wäre über eine Person so ziemlich alles was es über diese zu wissen gibt gespeichert. Warum sollte das alles 10 Jahre vorgehalten werden, wenn diese Person das nicht wünscht. Es reicht doch im Rahmen der Datensparsamkeit ggf. nur soviel vorzuhalten, dass diese Person noch kontaktiert werden könnte, wenn das denn notwendig sein sollte.
Naja. Nehmen wir mal an Person x hat im Onlineshop etwas gekauft. Dazu musste er Adresse, Name, Email und evtl. das Geburtsdatum angeben (weil der Artikel nur an Volljährige verkauft werden darf)

Die ersten beiden Infos werden sich auf der erstellten Rechnung befinden (diese muss nunmal mehrere Jahre aufgehoben werden). Die Email war/ist evtl. nötig gewesen, weil der Onlineshop eine Bestellbestätigung (evtl. sogar die Rechnung) eben per Mail versendet.

Diese 4 Infos liegen beim Onlineshop in einer Datei vor. In dieser werden dann noch die Bestellung, die Rechnung und die Info wann wieviel gezahlt wurde gespeichert. Alles also in einem Datensatz.

Für die Rechnung an sich ist Info über Geburtsdatum und email völlig unnötig und könnte früher als die Info über die Rechnung gelöscht werden.

Nun wäre die Frage mit welchem Aufwand der Onlineshopbetreiber die nicht relevanten Daten früher löschen könnte. Wenn das wirtschaftlich nicht zu vertreten ist, dann muss er das wohl auch nicht.

Alternativ könnte man darüber nachdenken, ob für das teilweise Löschen dann eine Aufwnadsentschädigung verlangt werden könne ;-)

anmath.1
Topicstarter
noch neu hier
Beiträge: 2
Registriert: 10.06.18, 16:04

Re: DSGVO wie eine Anfrage bearbeiten

Beitrag von anmath.1 » 11.06.18, 07:28

"Beschwerde Recht bei der zuständigen Aufsichtsbehörde nicht vergessen."

Es muss also noch daruf hingewiesen werden das die Person sich beschweren kann? :-(
Welches ist die zuständige Aufsichtsbehörde, muss ich diese benennen?

Wir heften im Abschluß also das Schreiben der Person mit einer Kopie unseres Schreibens an die Person ab um den Nachweis führen zu können das wir alles korrekt bearbeitet haben?

michael61s
FDR-Mitglied
FDR-Mitglied
Beiträge: 1195
Registriert: 18.11.10, 16:13

Re: DSGVO wie eine Anfrage bearbeiten

Beitrag von michael61s » 11.06.18, 10:38

Die Aufsichtsbehörde ist der Landesdatenschutzbeauftragte des Bundeslandes in dem der Firmensitz ist.

Zafilutsche
FDR-Mitglied
FDR-Mitglied
Beiträge: 5771
Registriert: 24.07.07, 09:47
Wohnort: Rhein/Ruhrgebiet

Re: DSGVO wie eine Anfrage bearbeiten

Beitrag von Zafilutsche » 11.12.18, 15:09

anmath.1 hat geschrieben:Welches ist die zuständige Aufsichtsbehörde, muss ich diese benennen?
Off Topic: Prüfen ob man auf die Streitschlichtung hinweisen muß

Antworten