In Zeiten, in denen sich das datenschutzrechtliche Hauptaugenmerk größtenteils um die Rechtskonformität von Google Analytics, die wichtigen aber zugegebenermaßen manchmal lästigen Cookie-Banner, sowie die Frage dreht, wann denn endlich die E-Privacy Verordnung kommt, haben wir zur Abwechslung einmal wieder eine Meldung aus dem analogen Bereich. Ein italienisches Unternehmen hatte einem Kunden Unterlagen per Post auf nicht datenschutzkonforme Weise zugeschickt und dafür auch ein saftiges (analoges) Bußgeld erhalten 😉

Was war passiert?

Anlass zur Beschwerde des Kunden bei der italienischen Datenschutzbehörde war nicht der Inhalt des Briefes – dieser enthielt lediglich Informationen zu den Finanzdienstleistungen des Unternehmens. Bemängelt wurde eher der Umschlag, in dem sich diese Informationen befanden. Auf diesem befand sich nämlich für jeden gut ersichtlich der Text „anomaler Kredit“ aufgedruckt.

Die italienische Datenschutzbehörde erkannte darin richtigerweise einen Verstoß gegen die Grundsätze der Rechtmäßigkeit und Transparenz sowie der Datenminimierung. Unabhängig vom tatsächlichen Inhalt, der sich in dem Brief befindet, ermöglicht ein solcher Aufdruck einem Dritten Aufschluss über die finanzielle Situation einer Person – im vorliegenden Fall des Beschwerdeführers.

Besonders pikant ist die Situation auch deswegen, weil die Behörde bereits im November 2005 (!) in einer Generalverfügung festgelegt hat, dass aufgrund des hohen Risikos beim Verschicken von Finanzkommunikation „geschlossene Umschläge zu verwenden sind, die nur die für die Identifizierung des Absenders und die Zustellung erforderlichen Daten enthalten.“

Unsere Praxistipps

• Auf den Briefumschlag kommt nur das, was die Post für die Versendung benötigt (Firmenadresse, Absender). Notieren Sie ansonsten nichts auf dem Umschlag. In Kombination mit Name und Adresse in der Anschrift kann sonst ganz schnell eine Datenpanne passieren.
• Bei Briefen/Unterlagen in Fensterkuverts achten Sie auf richtige Falttechnik und überprüfen Sie, ob nicht auch andere Textpassagen mit möglicherweise personenbezogenen Informationen oder gar Geschäftsgeheimnissen unter der Anschrift zu erkennen sind!
• Sensible Unterlagen unbedingt eingeschrieben versenden!
• Das gilt natürlich nicht nur für Geschäftsdokumente, sondern auch für postalische Geburtstagsgrüße, Osterglückwünsche an Ihre Kunden (oder an uns 😉 etc.

Haben Sie schon einen standardisierten Prozess für die Beantwortung von Auskunftsbegehren? Falls ja, dann dürfen Sie hier ebenfalls mit dem Frühjahrsputz beginnen 😉

Der Europäische Datenschutzausschuss hat für die Beantwortung von Auskunftsbegehren neue Leitlinien veröffentlicht. Auch in diesen fällt auf, dass es keine Erleichterungen für die Verantwortlichen gibt (also uns Unternehmer/Unternehmen) sondern die Anforderungen werden strenger.

Was kommt Neues auf uns zu?

Allen Auskünften muss zukünftig eine Kopie sämtlicher personenbezogener Daten beigelegt werden, egal wie groß der Aufwand dafür ist. Das bedeutet, wenn Sie beispielsweise Unterlagen in einem externen Archiv aufbewahren, wo Sie für die Anforderung eine Gebühr zu entrichten haben, werden Sie in Zukunft diese Gebühr zahlen müssen (nein, keine Rückforderung beim Antragsteller). Nur in wenigen , gut begründeten Fällen und auf das jeweilige Unternehmen abgestimmt, können Ausnahmen bei den Kopien gemacht werden.

Weiters sind nicht nur die konkreten Daten (keine Kategorien!) wie Name, Adresse und Kontaktdaten anzuführen, sondern auch u.a. Gesundheitsunterlagen, historische Kaufaufträge, Finanzdaten oder Protokolle zur online Nutzung des Kunden Ihrer Webseiten oder Apps .

Und wenn die Unterlagen komplex sind, weil beispielsweise die Protokolle der online Nutzung für einen Laien nicht verständlich sind, sind diese in einfacher Sprache zu erklären.

Wovor sollten Sie sich schützen?

Beispielsweise hat die Hessische Datenschutzbehörde 2020 für Verstöße gegen die Auskunftspflichten Strafen im fünfstelligen Bereich verhängt.

Auch kann davon ausgegangen werden, dass zukünftig immer mehr Schadensersatzforderungen bei nicht korrekter Beantwortung von Auskunftsbegehren auf Sie zukommen können. Bei solchen Verstößen wurde vor kurzem in Deutschland einmal 1.000.- € und ein anderes Mal 5.000,- € Schadenersatz verhängt.

Unsere Praxistipps

• Aktualisieren Sie regelmäßig Ihr Verarbeitungsverzeichnis damit bei der Beantwortung eines Auskunftsbegehrens alle notwendigen Datenkategorien und Speicherorte schnell ersichtlich sind.
• Verarbeiten/speichern Sie nur jene Daten, die Sie tatsächlich für die Kundenbeziehung benötigen.
• Erstellen Sie sich ein Muster für die Beantwortung von Auskunftsbegehren – gerne unterstützen wir Sie dabei!