Datenschutz-Tipp Nr. 11: Tipps zum Umgang mit Aufsichtsbehörden (Teil 3)

Okay…Sie haben die ersten beiden Teile zu den Tipps zum Umgang mit Aufsichtsbehörden gelesen und verinnerlicht?

Dann Sie schon ein ganzes Stück weiter gekommen. Nehmen Sie jetzt am besten den Beispielbrief der Aufsichtsbehörde aus dem Teil 1 dieser Lektion. Auf den wollen wir jetzt antworten.

Auch wenn Sie – wie ich übrigens auch eher optional veranlagt sein sollten – sollten Sie ein Schreiben einer Aufsichtsbehörde immer prozedural beantworten, wenn ein Fragenkatalog enthalten war. Eher optional veranlagte Menschen nehmen sich gerne die Freiheit heraus, die Fragen ungegliedert im Fließtext zu beantworten oder lassen auf andere Weise Kreativität walten. Sie sollten daran denken, dass Sie möglicherweise mehrere Monate in dieser Sache mit der Aufsichtsbehörde kommunizieren, und da macht eine Nummerierung von Fragen oder Fragenkomplexen die Übersicht einfach leichter. Also beantworten Sie die Fragen prozedural – Schritt für Schritt.

Sie könnten der Aufsichtsbehörde Folgendes schreiben:

Ihr Schreiben vom: 23.08.2010: Aufsicht nach § 38 BDSG
Beschwerde: Max Mustermann, 12345 Musterstadt

Sehr geehrte Damen und Herren,

vielen Dank für Ihr Schreiben vom 23.08.2010 und die telefonisch gewährte Fristverlängerung zur Stellungnahme um zwei Wochen.

Wir haben den Vorfall des Petenten hier im Hause mit den betreffenden Sachbearbeitern und den Fachabteilungen besprochen und können nun Ihre Fragen beantworten:

  1. Welche Daten werden von Kunden konkret und standardmäßig erhoben?
  2. Von Kunden, die – wie der Petent – über unseren Internetshop erstmals Kontakt mit uns aufgenommen haben, erheben wir nachfolgende personenbezogene Daten:
    • Pflichtfelder:
      • Name, Vorname
      • E-Mail-Adresse
      • Anschrift (Straße, Hausnummer, PLZ, Ort)
      • Bankverbindungsdaten (wir arbeiten bei Bestellungen über das Internet für den Versand von Waren nur mit Lastschrift und benötigen daher Kontonummer und BLZ)
      • Benutzername
      • Passwort (wird verschlüsselt gespeichert)
    • Freiwillige Angaben:
      • Telefonnummer
      • Mobilfunknummer
      • Zustimmung zur Zusendung unseres Newsletters
    • Web-Analyse-Daten:
    • Zur bedarfsgerechten Gestaltung unseres Internetshops setzen wir ein Web-Analyse-Tool ein. Es handelt sich um eine Applikation, die wir auf unserem eigenen Webserver installiert haben: Piwik
      Auf Veranlassung Ihres Schreibens haben wir intern herausfinden können, dass die von uns verwendete Piwik-Version standardmäßig IP-Adressen protokolliert. Uns ist bewusst, dass zumindest statische IP-Adressen personenbezogene Daten darstellen können. Wir haben daher unverzüglich nach Kenntnis die Protokollierung von IP-Adressen gestoppt und über eine individuelle Konfiguration sichergestellt, dass künftig keine IP-Adressen mehr gespeichert werden. Bereits in der Vergangenheit protokollierte IP-Adressen haben wir gesperrt, indem wir die Daten aus der aktuellen Datenbank auf einen separaten Datenträger exportiert haben und dann in der aktuellen Datenbank gelöscht haben. Für den Fall, dass Sie den Datenträger für Prüfzwecke benötigen, bitten wir um einen Hinweis binnen vier Wochen nach Zugang dieses Schreibens. Wir werden den Datenträger für den Fall, dass wir keine Nachricht von Ihnen erhalten, dann nach Ablauf der Vier-Wochen-Frist vernichten.

      Durch das Web-Analyse-Tool Piwik wird auf dem Endgerät von Besuchern der Website ein Cookie gesetzt, das dazu dient, die Statistiken für die bedarfsgerechte Gestaltung der Internetseite zu erstellen. In unseren Datenschutzhinweisen auf der Shopseite werden die Besucher der Seite über den Einsatz von Cookies informiert. Sie werden insbesondere auch darüber informiert, wie Sie das Setzen von Cookies in Ihrem Browser blockieren können. Das Akzeptieren von Cookies ist keine Bedingung für die Inanspruchnahme unseres Internetdienstes.

      Eine Ausnahme hiervon sind jedoch die Session-Cookies unseres Shop-Systems, die für die Bestellung von Waren und die Benutzerführung erforderlich sind. Die Session-Cookies werden aber automatisch nach dem Besuch unserer Internetseiten gelöscht.

      Aus den generierten Daten ist uns ein Personenbezug nicht möglich.

      Von Kunden, die Waren gekauft haben, speichern wir auch die getätigten Käufe. Im vorliegenden Fall hat der Petent jedoch keine Ware bestellt.

  3. Welche dieser Daten werden gespeichert?
    Alle unter 1.) genannten Daten werden gespeichert.

  4. Wie werden die Daten gespeichert?
    Die Daten werden auf einem dedizierten, selbst gewarteten Server in einem Rechenzentrum in Hamburg gespeichert. Das Rechenzentrum ist nach ISO 27001 zertifiziert.

  5. Für welchen Zweck werden die Daten gespeichert?
    Die Daten werden für Zwecke der Anbahnung und Durchführung des Vertragsverhältnisses mit dem Kunden gespeichert.

  6. Wie und für welche Zwecke werden die Daten ausgewertet?
    Eine Auswertung von Kundendaten findet zwar statt. Vor einer Analyse werden jedoch die personenbezogenen Daten bis auf die Postleitzahl eliminiert. Die Postleitzahl wird zudem um die letzten beiden Stellen gekürzt. Die Daten werden für eine bessere Ansprache und Verbesserung des Shopangebots genutzt.

  7. Findet eine Übermittlung oder Weitergabe der Daten an Dritte oder andere Unternehmen statt?
    Eine Übermittlung personenbezogener Daten an Dritte findet statt, soweit es für die Erbringung unserer vertraglichen Pflichten erforderlich ist. Dritte, die Daten erhalten, sind Zahlungsinstitute (Banken) und Paketdienstleister (DHL, UPS, Hermes).

  8. Auf welche Rechtsgrundlage(n) stützen Sie die vorgenommene Verarbeitung und Nutzung personenbezogener Daten?
    Wir halten die Erhebung, Verarbeitung und Nutzung von Bestandstaten nach § 28 Abs. 1 Nr. 1 BDSG für zulässig.
    Die von uns vorgenommene Besucheranalyse auf der Internetseite stützen wir auf § 15 Abs. 3 TMG.

  9. Wann werden die Daten gelöscht und wie wird die Einhaltung der Löschfristen sichergestellt?
    Die Bestandsdaten werden grundsätzlich für die Dauer des Vertragsverhältnisses gespeichert. Bei Bestandsdaten prüfen wir jeweils nach 4 Jahren zum Ende des Kalenderjahres, ob der Kunde noch aktiv ist und ob ggf. noch nicht abgeschlossene Gewährleistungsfälle des Kunden bestehen. Hat der Kunde in den letzten 4 Jahren keinen Kauf getätigt und liegen keine Gewährleistungsfälle vor, dann löschen wir die Daten, soweit keine handels- oder abgabenrechtlichen Aufbewahrungspflichten bestehen. Bestehen Aufbewahrungspflichten werden die Daten im aktuellen Kundensystem gesperrt.

Wir haben einen betrieblichen Datenschutzbeauftragten bestellt. Die Bestellungsurkunde ist als Anlage beigefügt.

Wir bedauern sehr, dass der Petent den Eindruck gewonnen hat, dass wir rechtswidrig von diesem Daten erheben, ohne dass dieser im Shop eingekauft hat. Der Petent hat sich jedoch in Kenntnis unserer AGB, denen er durch aktives Setzen einer “Checkbox” zugestimmt hat, in unserem Shopsystem angemeldet und hat der Zusendung von Newslettern durch eine gesonderte Erklärung zugestimmt.

Das Einverständnis zur Zusendung unseres Newsletters ist jedoch auch dann wirksam erteilt, wenn ein Kunde nach Anmeldung in unserem Shopsystem keine Ware bestellt.

Wir sind gerne bereit, die personenbezogenen Daten des Petenten in unserem Shopsystem vollständig zu löschen, sofern der Petent uns gegenüber diesen Wunsch ausdrückt.

Für Rückfragen stehen wir jederzeit gerne zur Verfügung.

Mit freundlichen Grüßen

Wenn Sie das Schreiben aufmerksam lesen, dann werden Sie zu Recht den Eindruck gewinnen, dass die Angelegenheit wohl mit diesem Schreiben beendet sein wird. Die Wahrscheinlichkeit ist hoch, dass die Aufsichtsbehörde den Petenten/Beschwerenden entsprechend informiert und die Sache für erledigt erklärt.

Beachten Sie insbesondere den positiven Effekt, den die Selbsterkenntnis und das selbstinitiierte Treffen von Sofortmaßnahmen (hier: Speichern von IP-Adresse im Web-Analyse-Tool) haben wird. Das zeigt hohes Problembewusstsein und datenschutzrechtliches “Mitdenken”. So können Sie auf einfache Weise einen Problempunkt vom Tisch bekommen und sogar Pluspunkte sammeln.

Sie könnten das natürlich auch unter den Tisch fallen lassen. Eine gut aufgestellte Aufsichtsbehörde mit kompetenten Mitarbeitern wird bei einem Internetshop aber selbst das Thema IP-Adressen ansprechen und Informationen anfordern. Wenn Sie dann Ihre Hausaufgaben noch nicht gemacht haben, kann der Verlauf der Sache deutlich schlechter werden.

Sicher es gibt viele andere Möglichkeiten, auf das Schreiben zu antworten. Dies ist ein Beispiel, und – wie ich finde – ein recht Gutes. Viele Kollegen werden das Eine oder Andere anders machen, aber die Schreiben finden Sie eben nicht frei verfügbar im Netz. Sie dürfen sich also mit diesem zufrieden geben.

Ich hoffe, Ihnen haben diese drei Teile ein wenig gefallen. Falls ja, ich freue mich immer über Lob und Verbesserungsvorschläge. Auch Anregungen zu Themen sind gerne gesehen.

Bis zum nächsten Tipp…

Letzte Aktualisierung | letzter Aktualisierungscheck: 29.05.2016