Für BR-Puls hat Ariane Alter mal ausprobiert, wie denn die Durchsetzungskraft des rechts auf Selbstauskunft im Bundesdatenschutzgesetz funktioniert, das allen Menschen ermöglichen soll, Auskünfte über gespeicherte personenbezogene Daten zu bekommen: How to Selbstauskunft – Kampf um meine Daten.
Ich habe für meine Recherche bei Air Berlin, meinem Handyprovider Telekom und meiner ehemaligen Krankenversicherung Inter angefragt. Mit sehr unterschiedlichen Ergebnissen. Bei keinem der Unternehmen gab es auf Anhieb die gewünschte Auskunft. Ich habe zig Mails geschrieben, sehr viel Zeit in Warteschleifen irgendwelcher Hotlines verbracht und wurde teilweise mit vielen schriftlichen Rückfragen hingehalten. Das Ganze war wirklich ein Kampf über drei Monate. Denn: Für die Unternehmen bedeuten die Anfragen von kritischen Kunden wie mir Mehraufwand. Weil die Zahl solcher Kunden aber sehr gering ist, wird es in Kauf genommen, mich zu vergraulen. Und das wird sich erst dann ändern, wenn die Zahl der Selbstauskunfts-Anfragen steigt und mehr Leute ihr Recht auf Selbstauskunft einfordern.
Das Ergebnis ist ernüchternd, die Message ist aber: Es wird sich erst etwas verändern, wenn viele Menschen ebenfalls ihre Rechte einfordern. Also macht mal.
Ich kann die schlechten Erfahrungen mit Unternehmen voll bestätigen. Dabei macht es keinen Unterschied ob man als Kunde oder ehemaliger Kunde Auskunft oder Löschung der Daten verlangt. Von Abwimmeln bis endloses Weiterreichen bei zahlungspflichtigen „Kundencentern“ ist alles möglich, nur nicht ans Ziel kommen oder das gewollte erreichen. Briefe werden ignoriert. Zieht man die Konsequenzen und kündigt alles bleiben die persönlichen Daten zurück und werden weiterhin für Marketing genutzt, auch wenn man den ungewollten und nicht bestellten Newsletter zum 17. mal abmeldet.
Die schalten auf Durchzug und man kann einfach nichts machen. Gesetz? Egal. Passt Dir nicht? Dann klag doch, kratzt uns wenig, kostet aber erst mal Dein Geld!
Hilfeeeee!
Ich will hier keine Werbung machen, aber aus eigener Erfahrung kann ich jedem nur https://selbstauskunft.net/ empfehlen. Viel einfacher geht es nicht Selbstauskünfte automatisiert einzufordern. Wer Zweifel an der Seite hat, kann in deren FAQ nachlesen: http://blog.selbstauskunft.net/faq/
Der Service von selbstauskunft.net ist tatsächlich bestechend, hat aber einen Pferdefuß: Um die Selbstauskunft gemäß BDSG durch den Anbieter einholen zu lassen, muss man seine digitalisierte Unterschrift hochladen.
Ich will hier nicht die Integrität von selbstauskunft.net in Frage stellen – aber auch deren Server sind hackbar und damit meine Blankounterschrift potenziell abgreifbar.
Im Prinzip hast Du da Recht, allerdings hatte ich die Variante „Im Browserfenster unterschreiben“ gewählt und in das sich dann öffnende Schreibfeld kann man nur im Stile eines 3-Jährigen unterschreiben. D.h. extrem krakelig und eine ganze Ecke schlechter als auf den kleinen Displays der Paketboten. Wenn also eine solche Unterschrift in den Umlauf geraten sollte, wird man das einwandfrei auf selbstauskunft.net zurückführen können.
@ Markus Beckedahl
Was mich an solchen Storys stört? Sie befördern Resignation und Fatalismus. Mir scheint, als hätte Frau Alter es darauf angelegt, so richtig schön gegen die Wand zu fahren, um hinterher eine schicke Story draus zu stricken. Bad news are good news!
Hier meine Tipps für alle Unverdrossenen:
1. Auskunftsersuchen immer per förmlichen Brief schicken (Bonus: als Einschreiben mit Rückschein). Keine E-Mails. Keine Hotline-Telefonate.
2. Auf korrekte Rechtsgrundlage beziehen. § 34 BDSG bei Unternehmen. § 19 BDSG bei Bundesbehörden. Passender § aus den 16 Landesdatenschutzgesetzen bei Landesbehörden.
3. Umfang des Auskunftsersuchens: Gespeicherte Daten, Datenherkünfte, Datenempfänger, Zweck der Datenverarbeitung.
3. Frist setzen (2 Wochen) und für den Fall des „fruchtlosen Fristablaufs“ rechtliche Schritte „ohne weitere vorherige Kontaktaufnahme“ androhen.
4. Verfügbare rechtliche Schritte: Anzeige bei der Datenschutzaufsichtsbehörde, anwaltliche Rechtsdurchsetzung, gerichtliche Rechtsdurchsetzung (mit Anwalts Hilfe).
5. Bei unvollständigen Auskünften: Nachhaken, wieder mit Frist.
6. Bei Problemen: Rechtliche Schritte durchziehen.
7. Bonus: Die eigene Leidensgeschichte ansprechend verpackt der Presse anbieten. Öffentlichkeit wirkt manchmal Wunder.
Meine bisherigen Erfahrungen mit deutschen Unternehmen sind bei bisher 6 Anfragen eher gut, teils sehr gut (formelles Auskunftersuchen gemäß § 34 BDSG per Fax). Bei amerikanischen mit Niederlassungen in Deutschland (3 Anfragen) allerdings eher mau bis niederschmetternd. Da wird schon mal selbst die Frage, ob das Unternehmen mit seinem deutschen Geschäftsbetrieb dem BDSG unterliegt, nicht klar beantwortet. Meine persönliche Konsequenz: Beendigung der Geschäftsbeziehungen mit US-Unternehmen, mit einer Ausnahme.
Ausnahme = Facebook?
Danke Ser Vice.
Frage: wie oft brauchtest Du den Anwalt schon? Welche Kosten sind Dir dadruch entstanden? Ich frage nicht um Dich vorzuführen sondern weil ich schlicht keine Ahnung habe.
@Tim: Nope. Aber lustige Idee.
Außer dem besagten einen US-Unternehmen, dass im klassisch-digitalen Bereich angesiedelt ist, habe ich allerdings noch Geschäftsbeziehungen zu einem anderen: Visa. Europa hat ja kein eigenes Kreditkartenunternehmen zustande gebracht.
@woodchuck
In Europe ist Visa Europe aktiv. Visa Inc. in den USA ist nicht direkt in Europa aktiv.
Du hast in der Regel keinen direkten Vertrag mit Visa (Europe), sondern mit Deiner Bank.
Wenn Du alle Unternehmen vermeiden willst, die mehrheitlich US-Anteilseigner haben, wirst Du Dich einschränken müssen.
@ s.wieder
Sorry, ich werde hier öffentlich nicht ins Detail gehen. Nur soviel: Sie brauchen meist keinen Anwalt und auch keinen Gerichtsprozess. Es reicht meist bereits aus, die zuständige Datenschutzaufsichtsbehörde einzuschalten. Die kümmern sich meist kompetent und im Interesse des Betroffenen. Wieviel eine Erstberatung bei einem Anwalt kostet, ist in der Gebührenordnung geregelt und lässt sich im Internet recherchieren. Die Kosten eines Gerichtsprozesses halten sich in der Regel in Grenzen, weil der Streitwert bei solchen Fällen eher gering ist und die Anwalts- und Gerichtskosten sich am Streitwert orientieren. Es sollte sogar so sein, dass der Prozessverlierer (im besten Fall die beklagte Organisation) die Kosten übernehmen muss.
Alles klar, thx Ser Vice. Datenschutzaufsichtsbehörde ist dann bundeslandbezogen, korrekt? War mir gar nicht klar um ehrlich zu sein :) d.h. die schreibe ich dann an mit Schilderung und dann „sollte“ die Sache seinen Gang nehmen? Und nur wenn nicht, wird der Weg zu Gericht evt. notwendig.
Ich wollte keine Bankauszüge sehen, nur einen Richtwert um eine Vorstellung zu bekommen, aber die Antwort geh i.O. :)
@ S. wieder
Es ist immer die Datenschutzaufsichtsbehörde zuständig, wo die Behörde, das Unternehmen oder die sonstige Organisation den Sitz hat. Bei Bundesbehörden ist immer die Bundesbeauftragte zuständig.
Sie schreiben eine Beschwerde an die Aufsichtsbehörde, schildern Ihren Fall und welche Bedenken Sie haben und fügen den Schriftwechsel in Kopie bei. Bitte achten Sie darauf, etwas förmlicher bzw. bürokratischer als sonst zu formulieren, dann wird man ernster genommen (das ist kein Muss, nur ein Bonus, aber die Gesprächspartner sind in der Regel Juristen).
Es kann vorkommen, dass die Aufsichtsbehörde sich der „Maximalforderung“ des Betroffenen nicht vollumfänglich anschließt, sodass man nur einen Teilerfolg erzielt. Wenn man mehr erreichen will, kann man auch in diesen Fällen anwaltlich und gerichtlich weitermachen.
Hier noch zwei hilfreiche Links:
https://www.datenschutzbeauftragter-info.de/datenschutzbeauftragte-von-bund-und-laendern/
https://www.datenschutzbeauftragter-info.de/ihre-rechte-im-datenschutz/
Selbstauskünfte sind sinnlos. Wer glaubt, er bekäme da auch nur ein ansatzweise ein vollständiges Bild, liegt falsch. Ich arbeite bei einem recht großen Unternehmen und es werden am laufenden Band Mio. von Datensätzen durch die Gegend geschaufelt für alle möglichen Zwecke. Wahrscheinlich gibt es bei uns auch eine Abteilung, die solche „Selbstauskunft“-Anfragen beantworten, die vielleicht sogar schön „aussehen“. Sicher ist aber, dass diese Auskünfte nur den Standard, d.h wo jeder Kunde liegt, abbilden können, mit der Realität können sie wenig zu tun haben. Wenigstens für meine Branche kann ich mit Sicherheit sagen, dass es in allen Unternehmen so läuft. Eine vollständige Selbstauskunft ist unmöglich.
Eben, da gibts dann irgendne Abteilung wo drei Halbtageskräfte und ein Praktikant sitzen und nach irgendwelchen fadenscheinigen Richtlinien auf dem technischen Stand von 1987 irgendwelche formal korrekten Antworten rausschicken.
Solche Auskünfte basieren auf Vertrauen und Vertrauen ist gegenüber dem Staat und auch gegenüber Unternehmen vollkommen fehl am Platz.
Das der Status quo nicht mit der im Gesetz geregelten Wunschrealität übereinstimmt, ist hier allen klar – aber deswegen einfach zu sagen „sinnlos“ – da kann ich mir nur an den Kopf fassen. Es wird auch gemordet und gestohlen obwohl man es nicht darf – wollen Sie die entsprechenden Gesetze dann deswegen abschaffen? Oder auf Ihr Recht verzichten, gegen Diebstahl mit (z.B.) Klage vorzugehen? Nein? Ach so. Und genau deswegen kann man nur hoffen das möglichst viele Anfragen eintrudeln und eingefordert werden damit Unternehmen wie Sie sie beschreiben, es endlich lernen!
Beides (Leben und Daten) ist aber nicht vergleichbar. Leben ohne Daten geht problemlos, mit minimalen, oft genug eingebildeten Luxusbeschränkungen.
Netter Themawechsel^^ es ging hier um die Sinnlosigkeit, sein Recht wahrzunehmen, die Sie hier einfach mal in den Raum stellten. Fakt ist, es gibt ein
Recht auf informationelle Selbstbestimmung, genau wie es ein Recht auf Eigentum und eins auf Unversehrtheit gibt. Diese Rechte wahrzunehmen, nur weil der Status quo dem nicht entspricht, ist in meinen Augen nicht sinnlos.
Das Grundproblem mit diesem Auskünften ist und bleibt, dass man es letztlich nicht überprüfen kann. Der Staat lügt uns tagtäglich tausendfach ins Gesicht, Unternehmen ebenso. Mir ist schon klar, dass Fatalismus keine brauchbare Alternative ist, aber man sollte sich halt auch keine Illusionen machen.
Daten, die einmal erhoben/gespeichert werden sollte man NIE wieder als privat betrachten.
Ich würde das gar nicht als Lügen bezeichnen. Daten die man hinterlässt, sind halt raus und zwar für immer und ewig. Deswegen ist die einzige Stelle, die man anfragen so einen Fall anfragen sollte, ist die initiierende Stelle – der Datenerzeuger, ich selbst. Wenn ich z.B. netzpolitik.org über die über mich gespeicherten Daten befragen würde, kame auch nur eine Standardantwort, weil sie mich vielleicht gar nicht identifiziert haben. Würde ich mich für die Anfrage identifizieren, produziert das erstmal weitere Daten. Das damit meine Anfrage vollständig beantwortet werden kann, ist dann trotzdem illusorisch. Irgendwie kommt letztlich alles zu dem was – glaube ich – google sagt: Was du nicht willst, das mein von dir weiß, tue nicht. Mit Datenbrille und demnächst folgenden Brainconnectoren muss man das dann um „denke nicht“ ergänzen – viel Spaß.
Das produzieren von Daten ist eine Sache, das unerwünschte Speichern über lange Zeiträume eine ganz andere – nebenbei gesagt: leicht nicht zu tuende – Sache. Wer zwingt die Unternehmen, diese Daten auf diese Weise zu speichern? Richtig: niemand. Da sollte man ansetzen, nicht beim Verzicht eines nützlichen Werkzeuges (hier: Internet).