 Zunächst mal schön, dass ihr da seid. Ich stelle mich mal kurz vor. Mein Name ist Andreas. Ich mache so IT, Software-Entwicklung und der ganze Rest, der dazu gehört. Du stellst dir ein bisschen selber vor. Ja genau, ich bin Ramona. Ich habe in Heidelberg Jura studiert und promoviere jetzt gerade zur Teilautomatisierung von betroffenen Anfragen nach der DSGVO. Genau. Da haben wir uns bei einem Hackathon kennengelernt und irgendwie seither arbeiten wir da so ein bisschen zusammen. Genau, vorab mal eine Frage an euch, Liebes Publikum. Wer hat denn schon mal eine DSGVO-Anfrage gestellt? Einmal Hand hoch. Okay, doch ein paar. Mehr als ich gedacht habe. Wer hat fünf gestellt oder mehr als fünf? Okay, 100. Gut, sonst wären wir gegangen, wenn wir jetzt solche. Wir werden auf jeden Fall versuchen, alle mitzunehmen, ob ihr jetzt schon eine Anfrage gestellt habt oder noch nicht. Wir fangen mit den Basics an und werden euch ein bisschen die Studie, die wir gemacht haben, vorstellen. Wir werden den üblichen Ablauf von so einer Auskunftsanfrage durchspielen. Wir werden auf die Probleme, die man da haben kann, eingehen und werden die relevanten Stellen aus unseren Fällen zeigen. Wir haben in etwa 100 Anfragen gestellt zusammen. Das heißt, wir werden wirklich nur die Stellen zeigen, wo es wirklich gehakt hat, sonst würden wir hier nicht fertig. Und ja. Genau, also wir sind hier, weil uns Datenschutz genauso wie euch wahrscheinlich ein Riesenanliegen ist. Wir haben wirklich keine Kosten und Mühen geschaut und uns in den letzten Monaten dadurch gebissen. Also wir machen das Ganze jetzt seit, schon fast seit Mai 2018, kann man halt sagen, wo das Ganze in Kraft getreten ist. Genau, wir haben ein paar Visualisierungen mitgebracht, erst mal von unserer Studie. Wie gesagt, die ist noch nicht fertig. Und es liegt einfach daran, dass es doch wieder erwartend mehr Schriftverkehr ist, so eine Anfrage durchzukriegen, als man denkt. Aber wir können euch so ein bisschen mit reinnehmen, was wir jetzt schon rausgefunden haben und das wollen wir euch einfach auch zeigen. Genau, schauen wir da doch einfach mal so grob über das, das geht mein Präsenter nicht, drücke doch Leertaste. Schauen wir doch mal über das, worüber wir so gestolpert sind, unsere 100 Anfragen. Davon ist so etwa ein Drittel zu unserer Zufriedenheit abgeschlossen, da waren wir auch relativ gutmütig. So ein Viertel ist noch offen, da warten wir einfach noch auf die Antwort und oder sind noch im Gespräch. Und etwa ein Achtel davon ist im Prinzip so schlecht, dass wir gesagt haben, da wollen wir Datenschutzbeschwerde einreichen oder Klage einreichen. Wir haben uns auch mal angeschaut, wie sind so die Antwortzeiten in Tagen von den Leuten, die uns zurück schreiben und haben das nach Branchen aufgegliedert. Interessanterweise, also viel ist in dem Fall schlecht. Interessanterweise sind die Online-Versandhändler ganz schlecht, doch wo die eigentlich sehr gut Dinge verschicken können und schnell. Und die Behörden sind eigentlich im oberen Mittelfeld, was mich auch ein bisschen erstaunt hat, weil die ja sonst immer ewig brauchen, bis die Anfragen beantworten. Also insofern, die haben sich da einfach besser vorbereitet. Wir haben das auch mal ein bisschen nach Branchen aufgeschlüsselt. Aufwählig ist, die Polizei hat gar nicht bisher geantwortet, außer schickt mal eine Ausweiskopie. Die Verkehrsbranche war am Auskunftsunfreudigsten. Deswegen sind da auch die meisten Klagen und Beschwerden von uns. Und ja, wie sieht das denn so aus, wenn wir so eine Anfrage anfangen? Genau, also wir haben ja entsprechend dem Motto uns vorbereitet. Wir wollen jetzt mal mit euch einfach mal so einen ganzen Weg durchgehen, so eine Anfrage durchspielen, angefangen vom Antrag bis hin zu wirklich Rechtsbehelfen, die ich dann ergreifen will, wenn ich sage, das funktioniert so gar nicht. Sprich, wir fangen beim Antrag an. Da fängt es auch schon an mit den Problemen. Den Antrag, wenn ich jetzt in Artikel 15 schaue, wo mein Auskunftsrecht geregelt ist, les ich dort nichts von Antrag. Das liegt daran, dass es in der DSGVO eben so aufgebaut ist, dass diverse Vorschriften sozusagen vor die Klammer gezogen wurden. Die finde ich jetzt zum Beispiel in Artikel 12. Auch da steht es nicht unbedingt explizit drin, sondern da steht dann irgendwie irgendwas auf Antrag, so, also man findet es. Und das gilt dann aber für alle betroffenen Rechte. Genauso muss ich mit einbeziehen, dass zum Beispiel Begriffsbestimmung ganz am Anfang irgendwo stehen, die Rechtmäßigkeit der Verarbeitung steht auch irgendwo ganz am Anfang. Das heißt, ich habe so ein ganzes Sammelsurium, wo ich mir erstmal so ein bisschen zusammensuchen muss, was brauche ich überhaupt alles. Wichtig ist, als Betroffener braucht man eigentlich was gar nichts aus, sondern einen Antrag. So diverse kleine Probleme sehen wir dann später noch. Da wollen wir jetzt auch mal anfangen, und zwar mit einer Anfrage, die Andi gestellt hat an die Stadt Mannheim, also an eine Gebietskörperschaft. Also wir sind sozusagen jetzt auf dem Gebiet des öffentlichen Rechts. Wir haben nämlich auch geguckt, dass wir so ein bisschen splitten und unsere Anfragen vielleicht so 70, 30 auf dem Gebiet des öffentlichen Rechts und auch auf dem privaten Sektor zu stellen. Damit wir auch ein bisschen sehen, gibt es da Unterschiede, gibt es da Dinge, die ich beachten muss? Ja genau, und den hatte ich einfach mal geschrieben, weil ich in Mannheim wohne, was hat denn die Stadtverwaltung so über mich gespeichert, schickt mir doch mal die Informationen zu. Und da war ich dann schon überrascht, weil diese netten Schreiben hingen dann noch an. Das sind unsere Fachbereiche und Dienststellen, muss ihr jetzt gerne im Detail lesen können, das sind viele. Sag uns doch bitte, welche Informationen du gerne hättest. Darauf bin ich natürlich gerne eingegangen, ich habe das da mal angekreuzt und so zurückgeschickt. Aber die Frage ist natürlich, muss ich das so präzisieren, muss ich das denn tatsächlich helfen? Das passiert tatsächlich relativ oft, dass schon das erste Schreiben, was zurückkommt, heißt, was willst du eigentlich genau? Sag uns doch mal, wir wissen nicht, was wir tun sollen. Ich will noch einen Schritt früher ansetzen. Ich habe eben schon gesagt, öffentlicher privater Sektor. Die DSGVO ist ja, wir wissen eine Verordnung, ja, die gilt unmittelbar, aber sie gilt eben nur da unmittelbar, wo sie gilt. Und zwar haben wir ganz am Anfang in Artikel 2 Vorschriften, die sagen, okay, das und das und das sind Bereiche, da gilt die DSGVO nicht. Und da sind wir dann zum Beispiel gerade bei so Behörden mit Sicherheitsaufgaben, so was wie vielleicht das BKA oder sonstige Strafverfolgungsbehörden, so was. Da sind wir dann nicht in der DSGVO, sondern gegebenenfalls im BDSG, wir müssen vielleicht auch mal noch ins LDSG gucken, wobei da nicht wirklich viel drin steht. Das heißt, das ist schon die erste Schwierigkeit, dass man manchmal vielleicht gar nicht in der DSGVO ist, obwohl man denkt, oh, da müsste ja jetzt eigentlich alles geregelt sein, das ist nicht der Fall. Für den Betroffenen macht es gar nicht so ein Riesenunterschied. Die Verantwortlichen müssen sowieso auslegen, was man will. Wir haben auch im BDSG und hatten auch schon Vorgeltungen der DSGVO, auch dort Auskunftsrechte. Da gibt es kleine Abweichungen, kleine Besonderheiten, die man mal beachten kann. Vor allem bei den Präzisierungserfordernissen ist das BDSG wesentlich strenger für den Betroffenen. Da muss man sogar ermöglichen, dass die das finden, was ich haben will und bis es bei Papierakten vielleicht gar nicht so einfach. Genau, auch in der DSGVO kann es solche Präzisierungserfordernisse mal geben. Das steht aber wieder nicht im Gesetz, sondern nur im Erwägungsgrund. Ich glaube es ist 57 Satz 3 oder irgendwie sowas. Und da steht dann drin, bei großen Datenmengen sollte der Verantwortliche verlangen können, dass man ein bisschen präzisiert. Ja, seid ihr die besseren Experten dafür, was ist jetzt eine große Datenmenge? Das ist auch wieder ein Riesenproblem der DSGVO. Leider ist super viele unbestimmte Rechtsbegriffe, weil man versucht hat, alles unter einen Hut zu kriegen. Das sorgt extrem für Rechtsunsicherheit. Ja, das muss man wirklich sagen. Quintessenz daraus. Präzisieren, von mir aus, alles ankreuzen. Der Verantwortliche muss damit umgehen im Zweifelsfalle. Wenn ihr präzisieren könnt und nur was Spezielles wollt, zum Beispiel bei der Löschung, wo man dann wirklich sollte man vielleicht schon sagen, na ja, ich möchte jetzt gerade dieses eine Datum gelöscht haben. Das möchte ich nicht mehr. Und dann kann man dann mal sagen, okay, aber bei einer Auskunftsanfrage, ja, im Zweifelsfalle benutzt man eh ein Muster und dann hat sich das Ganze. Ja, genau. Ich finde, das mit dem Präzisieren ist ja auch bei Google schön. Da klickt man das auch alles an und im Zweifel klickt man halt alles an. Wir haben auch mal geschaut, ah, wir sind ja hier in Darmstadt. Die haben ein schöneres PDF, wo man auch... Kann man sogar digital klicken. Ja, genau, da kann man digital klicken und das dann ausdrucken und hinschicken. Es sind ein paar mehr Seiten. Ich habe jetzt nur mal eine, damit man sieht, das ist ein bisschen schöner. Aber kommen wir doch mal zu so einem Antrag, der relativ normal läuft. Wie stelle ich den denn am besten? Du hattest deine Anträge auf elektronischem Weg gestellt. Ich glaube, da hast du bei den meisten direkt die Eingangsbestellung gekommen. Gar nicht mal so oft. Also da passieren dann auch wieder blöde Dinge wie, oh, lieber Betroffene, wir schauen hier nicht regelmäßig in dieses E-Mailfach. Schreiben Sie doch bitte hier und hier und hier und hierhin und dann war wieder nichts von diesen E-Mail-Adressen dabei, was annähernd mein Auskunftsersuchen irgendwie umfasst hätte. Ihr geht definitiv auf Nummer sicher, wenn ihr Übergabe einschreiben macht, das kostet Geld. Ja, ich glaube, ich kann es mal zeigen, so sahen meine Anträge aus. Ich habe mir dann die immer einzeln bei der Post abgegeben als Einschreiben-Einwurf bei für mich etwa 50, 60 Anfragen, weil das schon ein bisschen teuer und habe dann immer den Zettel aufgehoben und mir angeguckt, ist es tatsächlich angekommen, ist der teurer Weg, aber auch der sicherere Weg und derantwortliche hat dann tatsächlich 30 Tage Zeit, darauf zu reagieren. Er kann das nochmal um zwei Monate in komplexen Fällen, was auch immer das sein mag, verlängern und wenn man dann im Prinzip nach einem Monat nix von denen hört auch nicht, hey, das ist ein komplexer Fall, dann kann man im Prinzip die nächste Stufe gehen und es kann dazwischen aber auch schon zu anderen Problemen kommen, also es kommt nicht direkt, wir geben dir nix oder wir geben dir was, sondern es kommt häufig auch so zu dem Fall, dass sie eben sagen, hey, wir können dich gar nicht genau identifizieren, schick uns mal eine Ausweiskopie, das kennen sich ja den einen oder andere, wenn ihr eine Anfrage gestellt habt, dass es bei vielen Firmen wohl so eine Standardanfrage ist. Ich habe mal zum Beispiel hier beispielhaft die Firma Payone GmbH, wer kennt die Firma Payone GmbH? Ah, okay, einer, zwei, gut. Für alle anderen, das ist, wenn man bei Lidl mit Karte zahlt, da hatte ich einfach mal gefragt, hallo, liebe Firma Lidl, ich würde gerne zu meiner EC-Karte nochmal so und so wissen, was habe ich wann gekauft, dann haben die gesagt, oh, das machen wir gar nicht selber, das macht die Firma Payone GmbH, sollen wir das weiterleiten? Ich sagte ja und dann kam von dieser Payone GmbH ein Schreiben zurück mit, Füll bitte dieses Formular hier mal aus und schick uns gleich noch ein Ausweiskopie mit, da habe ich etwas gestaun und gedacht, das ist ja schön, ich habe da einen betroffenen Recht und dann soll ich eine Ausweiskopie mit schicken, ich glaube jeden ist klar, dass das Identitätsdiebstahl eigentlich Tür und Tor öffnet, wie gehe ich denn mit so was um, ist das denn rechtens? Das passiert auch wirklich sehr oft dieses Thema mit der Ausweiskopie. Dazu muss man folgendes sagen, da muss man fast schon ein bisschen in den Land zu brechen für verantwortlich, weil das Thema wirklich schwierig zu lösen ist und zwar ist es so, dass die DSGVO sagt, naja, man darf zusätzliche Identifikationsmittel verlangen, wenn berechtigte Zweifel oder begründete Zweifel an der Identität des Antragstellers bestehen. Das ganze füllen wir wieder nicht im Ausgustrecht, sondern in Artikel 12, das passt jetzt wieder schön dazu, was ich vorhin gesagt habe. Wann habe ich berechtigte Zweifel als verantwortlicher? Auch dazu sagt die DSGVO noch mal ein bisschen näher was und zwar, dass grundsätzlich mal das, vor allem wenn ich jetzt zum Beispiel ein Online-Versand-Händler bin und ich habe da ein Kundenkonto, dass grundsätzlich diese Daten, die ich benutze für mein Online-Konto, um da eben Bestellungen abzuwickeln oder ja, irgendwas anderes zu machen, dass das grundsätzlich auch umgekehrt eben reichen muss für den Weg der Daten, der wieder zu mir zurückkommt. Das heißt, es ist so ein bisschen so, es hält sich die Waage zwischen, ich gebe dir am Anfang unseres Vertrags oder unsere Rechtsbeziehungen Daten und das ganze reicht nachher auch, wenn ich was von dir möchte. Das steht wiederum wieder nur im Erwägungsgrund, wenn ich es richtig weiß, vielleicht weiß es gerade auch nicht. Erwägungsgrund 63, ja. Das heißt, es hängt sich alles an dem Begriff auf berechtigte Zweifel. Jetzt ist es so, stellen wir uns vor, wir haben einen total laschen Verantwortlichen, der guckt nicht so wirklich doll auf seine Datenschutzvorschriften und schickt die Auskunft an jemand verkehrt das raus. Er ist natürlich fatal, geschweige denn, wenn ich mal meine Daten dann plötzlich im Internet finden kann. Dann habe ich natürlich sofort irgendwie die Persönlichkeitsrechtsverstöße, ich habe plötzlich die Sanktionen der DSGVO, vor denen wirklich jeder Angst hat, im Extremfall. Das heißt, ich bin als Verantwortlicher einem enormen Risiko eigentlich ausgesetzt, wenn ich das nicht richtig handhaben. Stellen wir uns aber auch vor, ich habe einen Verantwortlichen, der macht das Ganze zu gründlich und verlangt gleich mal irgendwie auf einem zwei Wegeverfahren mit Ausweiskopie mit. Ich hätte gerne noch den Namen deiner Mutter, deiner Oma des Enkels von so und so. Das ist auch verkehrt, weil dann verstoße ich gegen den Datenminimierungsgrundsatz. Ich verstoße gegebenenfalls, wenn ich die Identifikationsdaten noch weiter verwende gegen die Zweckbindung und ich verstoße, was hatte ich noch gegen das Erleichterungsgebot, das eben auch noch gilt. Das heißt, ich bin als Verantwortlicher total in der Zwickmühle und ich kann das voll verstehen, dass da viele überfordert sind und sagen, ach nee, dann bin ich doch lieber einen Schritt zuvor, sichtig und verlangen die Ausweiskopie. Das heißt, wir haben jetzt geklärt, bei Online-Kennungen, solchen Dingen, wo es eben schon Identifikationsdaten gibt, dann muss ich zuerst mal die abprüfen. Obwohl ich keine Pflicht zu Identifikation habe, aber man sollte es eben doch irgendwie sicherstellen, wenn da Zweifel da sind. Bei so was wie Payone war jetzt eben das Problem, dass die eine Ausweiskopie wollten, obwohl die ja eigentlich nur seine Kartendaten haben. Das heißt, die hatten jetzt überhaupt nichts zum Abgleich. Also was wollen die mit meiner Körpergröße, mit meinem Gewicht machen, um sicherzustellen, dass ich der Antragsteller bin? Das ist so ein bisschen das Problem. Das heißt, die Ausweiskopie, die gerade doch noch eher das Standardmittel zur Identifikation ist, ist in vielen Fällen gar nicht wirklich dazu geeignet. Und da wird man eben noch abwarten müssen, wie sich das Ganze jetzt klärt. Ich persönlich finde, dass das eben oder das ist unser Rechtsverständnis, dass das nicht das Standardmittel sein darf, sondern dass man sich halt wirklich überlegen muss, was ist in dem konkreten Fall so ähnlich wie bei einer Verhältnismäßigkeit das mildeste Mittel für den Betroffenen, was aber geeignet ist, die Identität sicherzustellen. Also das wäre so der Mittelweg, aber das ist eben dann eine Einzelfallentscheidung in den meisten Fällen, wobei als Online-Versandhändler hat man wahrscheinlich dann oder als man hat ja öfters mal gleiche Formen von Anfragen. Das heißt, man kann sich da schon ein System etablieren, wobei dann sagt okay, das ist für uns jetzt so sichergestellt, möglichst noch dass die Identitätsüberprüfung im Verarbeitungsverzeichnis vielleicht noch mit drin ist. Das muss ich ja auch alles protokollieren. Dann hätte ich ja was in der Hand. Das wäre so der Idealfall, aber es ist tatsächlich rechtlich schwierig. Ja und das habe ich tatsächlich auch wirklich häufig gesehen. Jetzt lese ich manchmal so Formeln, wie Sie können Ihre Daten in Ihrem Kundenportal entnehmen, laden Sie sich die da einfach runter, kriegt mal einfach ein Brief zurück anstatt die Auskunft und da muss man auch ganz klar sagen, die Informationspflichten sind getrennt von den Betroffenen Rechten zu sehen und du hast jetzt eben erzählt, Daten wie größer Gewicht, Augenfarbe gehen die nix an. Bei meinem nächsten Fall, die hatten das tatsächlich schon, denn ein Freund, der meinen Namen hat, hat sich hier bei der Firma Elite Partner wohl einen Account erstellt. Keine Ahnung, wie das passieren konnte und ich habe dann einfach mal gefragt, dieser Freund, der meinen Namen hat und bei mir wohnt, welche Daten habt ihr denn da über mich und da habe ich von denen die Antwort bekommen, eine Datenauskunft können Sie jederzeit auf unserem Portal beantragen. Ja, aber ich meine, wenn ihr jetzt irgendwie von ein paar Jahren irgendwo euch mal ein Account erstellt habt oder so, dann weiß man das vielleicht gar nicht mehr. Also meiner Meinung nach ist das nicht korrekt beantwortet. Das ist auch tatsächlich was, wo ich glaube ich an die Datenschutzaufsichtsbehörden gegangen bin und ja. Das ist auch so ein bisschen so ein Zwiespalt. Bei gesichertes Online-Portal ist eigentlich erwünscht nach der DSGVO so, dass man es eben sicherstellen kann, dass es auch sicher übermittlungsfähige sind, aber Erleichterungsgebot, also ich persönlich denke, dass es gerade noch so, aber es sollte natürlich eigentlich schon auf den Antrag direkt auch was kommen und nicht nur sucht ihr bitte deine Antworten selbst zusammen. Genau, aber schauen wir uns doch mal ein bisschen positivere Beispiele an, so eine Auskunft, die tatsächlich mal funktioniert hat. Welche Möglichkeiten gibt es da? Wir haben verschiedene Dinge gesehen. Ich komme noch mal zurück auf die Stadt Mannheim. Die hatten mir freundlicherweise geschickt. Hier ist ein Link. Geht auch bitte da drauf. Paar Tage später haben sie auch das Passwort zu diesem Link geschickt, um sich das runterzuladen. So toll, den muss man von Hand abtippen. Das macht richtig Laune. Ja, der war schon lang. Aber ich sage mal so fünf im Ansatz richtig, weil hat leider nicht geklappt, aber netter Versuch. Tatsächlich haben sie mir dann später, nachdem ich das an den Datenschutz beauftragten, der Stadt geschickt hat, hey, das funktioniert nicht, haben sie es mir dann doch ausgedruckt und zugeschickt. So jetzt weiß ich auf jeden Fall, wann ich die letzten drei Mal Spermöl bestellt habe. Unglaublich wichtige Information oder ein anderes Beispiel ist zum Beispiel bei der Bundesdruckerei hatte ich angefragt, weil ich gedacht hab, hey, ich hab schon mal ein paar Ausweise bestellt, wie vermutlich jeder. Speichern die denn meine Daten und vergleichen die, wollte ich einfach mal wissen. Interessanterweise haben die mich dann auch angerufen und gesagt, ja, wir sind nicht sicher, sind sie derjenige, welcher und haben keine Ausweiskopie verlangt, haben sich ja selber einen erstellen können. Und haben wir dann geschrieben, ja, nein, wir speichern keine Daten von dir. Das ist sozusagen das, was man unter dem Stichwort Negativ Auskunft findet, ist im Prinzip auch das, wozu jeder verpflichtet ist. Das heißt, theoretisch könnt ihr an jeder Firma in ganz Europa eine Anfrage stellen und sagen, hey, hast du Daten über mich gespeichert und die müssen sagen, nein, haben wir nicht, weil in dem Artikel, der DSGV steht, muss, der verantwortlich muss sagen, ob Daten gespeichert sind. Genau, nicht nur in Europa, auch überall auf der Welt, wenn hier gemäß dem Marktortprinzip eben Geschäfte getrieben werden oder irgendwie gehandelt wird. Genau. Jetzt kommen wir noch mal zum Stichwort Datenkopie, die ja in einem absoluten Lieblingsfall, muss ich sagen, auch gekommen ist. Und zwar ist die Firma American Express, weil ich eine Bezahlkarte habe, meinem Auskunftsanspruch nachgekommen, die hat dann ganz viele Sachen hier geschickt. Ich kann mal ansatzweise zeigen, aus dem Talk-over-Kicks vorgestern habe ich gelernt, das ist auch so ein alten IBM Großrechner-System, immer noch diese 80 mal 25 Maske und die haben die einfach gescreenshottert und ausgedruckt. Und von Hand geschwärzt. Von Hand geschwärzt. Ich kann das auch mal, ich habe das extra mal mitgebracht, weil man kann es einfach nicht auf dem Screen, also es ist wirklich sehr, sehr viel, was die geschickt haben. Zum Thema Handschwerzen, wenn man es halt gegen's Licht hält, kann man das doch durchsehen. Also am besten kleiner Tipp noch mal kopieren, aber ansonsten muss ich sagen, sehr vorbildlich. Das war für mich interessant. Da waren Sachen drin, wie was weiß ich, was Account-Overview und in welchen Monaten gab es Transaktionen. Es waren Sachen drin, wie zum Beispiel hier, dass ich eine auch Ersuchendatenauskunft gestellt habe. Eine DSGVO-Anfrage. Super schön dokumentiert. Es sind aber relativ viele Daten und ich habe nicht wirklich den Überblick, was bedeuten diese Daten. Gibt's denn da irgendwie, was, was mache ich denn? Was ist denn da der Unterschied? Also das muss nicht so aussehen. Ganz oft hat man auch das CSV-File, wo man dann wirklich irgendwie, weiß ich nicht, wild 200 Zeilen, 300 Spalten. Also genau das Thema Datencopies mit eines der größten Streitthemen in juristischer Sicht und ich denke auch in der Praxis, weil das tatsächlich neu ist. Das gab's vor Geltung der DSGVO nicht. Wir haben jetzt in 15 Absatz 3 diesen Satz der Verantwortliche stellt eine Kopie der personenbezogene Daten zur Verfügung. Jetzt sind sich alle unsicher. Was heißt denn das? Bleibt alles so wie vorher. Solche Leute gibt's, die sagen dann, ach ich gebe jetzt irgendwie die Auskunft raus. Das ist ja hier nur eine Voranvorschrift. Es gibt Leute, die sagen, ich gebe einfach eine Datenkopie raus. Das erfüllt meine Auskunft. Nein. Da ist überhaupt der Kern des Auskunftsrechts gar nicht enthalten. Nämlich zum Beispiel die Verarbeitungszwecke. Wie lange speichern wir deine Daten? Wofür verwenden wir die? Geben wir die weiter? Machen wir automatisiertes Profiling oder irgendwas damit? Das erschließt sich aus sowas fast nie. Und deshalb ist mein rechtliches Verständnis davon bislang, obwohl das wirklich noch sehr, sehr umstritten ist, dass man so eine Art Kombi-Ansatz hat. Das heißt, das eine ist die Datenkopie. Ich kann gucken, die müssen nicht aufbereitet werden. Die dürfen nicht mal aufbereitet werden, weil sonst würde das ja alles wieder hinten runterfallen, was da an Informationen drin steckt. Einmal kann ich mir einen ungefilterten Eindruck machen, was an Daten da ist. Das kann manchmal eindrucksvoll sein, wenn viele Daten da sind. Und einmal habe ich diese erklärende Information, die so ein bisschen ähnlich ist zu den Informationspflichten, die es eben auch gibt, die man dann so kennt, was dieses Ganze, was eigentlich keiner lesen will. Aber durchaus eben dann mit den ganz persönlichen Daten passiert, was es mir wirklich erklärt. Wir haben Zahlungsdaten von dir. Wir nutzen die zur Abwicklung von Bestellvorgängen. Solche Sachen, das muss wirklich verständlich sein. Das hier kann für den Einzelnen verständlich sein, für den anderen, aber vielleicht nicht. Und das ergänzt sich. Ja, genau. Aber da ja American Express mein absolutes Lieblings- positiv Beispiel ist, haben die natürlich auch was richtig gemacht. Die haben noch dazu eine Erklärung, was bedeutenden diese Zahlen. Das heißt, sieht man hier vielleicht schlecht. Das ist toll. Das haben wir bislang nur bei American Express gesehen. Ein Inhaltsverzeichnis für die Datenkopie. Was natürlich schön ist, weil das ist alles auf Englisch. Ich kann damit vielleicht nicht besonders viel anfangen. Solange die Auskunft noch da ist, muss man dazu sagen, ist so ein bisschen Hilfe mit, hier finden Sie die Transaktionen und hier finden Sie vielleicht Ihre Personendaten, Ihre Kontaktdaten. Das ist ganz schön hilfreich bei so einen. Wie viele Seiten waren das jetzt? 47. Hat mich geschwärzt. Möchte ich noch mal betonen. Muss man wirklich loben. Ja, da hat sich jemand wirklich sehr viel Mühe gemacht. Daher wirklich noch mal vielen Dank an die Firma American Express, ohne Werbung zu machen. Aber der jetzt geht vor Ort, technisch absolut vorbildlich. Jetzt ist es nicht immer so gut gelaufen. Logisch, ich habe jetzt angenommen, ich habe so eine Auskunft und die entspricht nicht meinen meinen Vorstellungen. Das heißt, irgendwas fehlt. Ich bekomme etwa gar keine Antwort oder die Antwort ist unvollständig, offensichtlich oder ich bekomme gar keine Daten, Kopie. Ja, ich glaube, ich schaue einfach mal in meinen nächsten Fall, den ich mitgebracht habe. Das ist die Deutsche Bahn auch ein Unternehmen, was vermutlich jeder kennt. Ich habe da mal angefragt, habe da auch so knapp 20 Seiten bekommen. Unter anderem ganz viele Seiten, diese Bahnkarts hattest du, diese Ersatzkarten hast du dann und dann bekommen. Und unter anderem auch, weil ich natürlich die Punkte sammle. Ich habe mal den Rest geschwärts, weil, wo ich wann war, ist mir doch ein bisschen zu persönlich, aber die haben auf jeden Fall alle Fahrten aufgelistet, wo ich wann war. Und ich dachte so, okay, das ist ja schön. Aber jeder kennt das ja im zugekauften Online-Ticket und das wird irgendwie gescannt und registriert, dass das auch kontrolliert wurde, damit man sich das nicht, nicht wieder zurückerstatten kann. Genau. Und das hat hier gefehlt. Deswegen ist es meiner Meinung nach unvollständig und da haben wir uns gefragt, was kann man denn tatsächlich machen, wenn so eine Auskunft nicht unseren Anforderungen entspricht, nicht korrekt ist. Und ja, wir haben uns überlegt, man kann erst mal mit Liebe nachfragen. Dann kann man mit einem bisschen Gewalt beim Datenschutzbeauftragten eine Beschwerde einreichen, der dann auch nochmal nachhaken kann und auch Bußgelder verhängen kann. Im Übrigen ist das auch die kostengünstige Variante, weil das nix kostet und man kann mit richtig viel Gewalt, sprich mit einem Gerichtserfahren den Verantwortlichen dazu zwingen, diese Auskunft zu vollführen, aber das kostet halt einfach Geld. Haben wir auch probiert, läuft noch. Ja. Aber, ich zeige hier mal Exemplarecht. Das war bei der Deutschen Bahn. Da hatten wir das an den hessischen Beauftragten für Datenschutz Informationsfreiheit geschickt und der hat dann auch gesagt, okay, wegen der Beschwerde, also da gab es ein paar Schreiben hin und her und der letzte Stand ist, daher habe ich ihre Beschwerde zum Anlass genommen, mir das Verfahren der Kontrolle eines Online-Tickets bei der Deutschen Bahn genauer anzuschauen. Diesen Zusammenhang erfolgt am 17.6. ein Termin mit dem Konzerndatenschutz der Deutschen Bahn, in dem das Thema Kontrolle eines Online-Tickets und Vorgänge, die ein Hintergrundsystem ablaufen, nochmals genauer dargestellt wurden, ist aktuell noch im Verfahren der Prüfung. Und kann man nur raten, wenn man sowas macht, gleich möglichst, also nicht mit Informationen geizen. Die Datenschutzbeauftragten, die müssen natürlich jetzt auch, die haben ein Sammelsurium, ein Potpourri an verschiedenen Problemen, die jetzt auf Sie zukommen. Es ist eher ungünstig, wenn die noch dreimal nachfragen müssen. Wie haben Sie das gemeint? Was wollen Sie jetzt genau? Was ist denn genau das Problem? Also wenn man Belege hat, wenn man Sachen hat, einfach mit schicken und möglichst viele Infos mitgeben, dass man diesen ganzen Schriftwechsel nicht unbedingt hat. Denn wir haben nach wie vor nicht besonders viele Datenschutzbeauftragte. Das heißt, die sind ganz schön am arbeiten und das dauert auch seine Zeit. Ja, wer viel gibt, kriegt doch viel zurück. Jetzt in einem anderen Fall bei der Lufthansa, die hatte ich auch mal gefragt, die wollen ja auch relativ viele Daten von einem, wenn man mit denen fliegt. Und da wollte ich einfach mal meine Daten zurückhaben. Die hatten jetzt gar nicht geantwortet. Deswegen habe ich mich persönlich für das Mittel der Klage mal entschieden. Einfach ums auch mal. Ich habe eine Auskunft von dem. Online hat es wohl geklappt. Per E-Mail, per Post hat es nicht so gut funktioniert. Und da bin ich auch tatsächlich im Klageverfahren auf das nächste Problem gestoßen. Nämlich, dass das Gerichtsverfahren durchaus nicht ganz klar ist, wie es der Streit wird. Denn in deutschen Gerichten orientiert er sich ja immer nach einem wirtschaftlichen Interesse. Und hier hatte ich in einem leicht anderen Verfahren, aber es ist im Prinzip sehr ähnlich mal die Nachfrage. Hierzu mögen Sie bitte die Höhe der Forderung angeben und damit wir den Streitwert berechnen können. Genau, dann fragt das Gericht zurück. Was ist denn Ihr Streitwert? Und dann fragt man sich plötzlich selbst. Es gibt keine konkrete Forderung. Es ist ein Auskunftsrecht. Was ist da mein Streitwert? Jetzt hatten wir natürlich schon, ja gesagt, schon vor der DSGVO Auskunftsanträge, die man stellen konnte. Und dabei ist es jetzt ungefähr mal so, dass alles dabei war von 300 Euro bis 4.000 Euro, je nach Fall. Und ich denke, da ist es auch ein Unterschied, ob ich jetzt nur einen normalen Auskunftsanspruch habe oder ein Löschungsersuchen, wo vielleicht schon Schaden entstanden ist. Da wird man sagen können, also unsere Erfahrung jetzt ist einfach in so ein normaler Auskunftsanspruch, wo keine Antwort erfolgt. Das sind so ungefähr 500 Euro. Also da kann man sich zumindest mal dran festhalten. Damit kann man eigentlich, bislang ist das immer angenommen worden, oder? Hast du da überhaupt schon eine Antwort? Ich weiß es gar nicht. Doch, doch das wurde so. Das wurde angenommen. Ja, also so in etwa 500 Euro kann man drüber leben, kann man drunter liegen, weil es eben bei so Rechten gar nicht so einfach festzuleben. Genau, das ist auch beim Widerspruch und bei anderen troffenden Rechten kann das halt auch anders sein. Und eine wichtige Sache noch. Wer Anträge stellt gegen Behörden? Wenn da eine Ablehnung erfolgt, eine Ablehnung der Löschung, Ablehnung der Berichtigung, keine An- also eine Ablehnung vom Auskunftsersuchen zum Beispiel auch, was durchaus mal der Fall sein kann, haben wir einen Verwaltungsakt. Das heißt, wir sind nicht wie bei den normalen Auskunftsansprüchen gegen Onlineversandhändler vor dem Zivilgericht, sondern wir müssen vor SVG. Und da ist das mit dem Streitwert auch wieder eine andere Geschichte. Nur, dass man daran denkt, dass man nicht ans falsche Gericht schreibt. Im normalen, also im Privatrechtsbereich sind wir eben vom Amtsgericht. Das ist eigentlich noch nie vorgekommen, dass man da jetzt mal vor das Land gerichten musste. Von daher braucht man auch kein Anwalt und so. Also, dass man das im Hinterkopf hat. Ja, dazu fallen mir noch zwei Dinge ein. Das eine ist, dieser, vielleicht kannst du was zu dem Streitwerk ab 600 Euro sagen, weil ich glaube, wenn es über 600 Euro ist, kann man auch Berufung oder Revision und drunter geht das nicht. Das heißt, man kann sich schon vorher überlegen. Soll ich mir ein Streitwert für 500 Euro aus, dann ist dieses Urteil halt endgültig und ich kann nichts mehr dagegen machen. Erst mal bin aber relativ günstig mit dem Gerichtskosten. Und wenn ich halt denke, es könnte ein bisschen strittig sein, dann ist es hier, glaube ich, besser, wenn man sagt, OK, 1000 Euro. Wenn man so viel klagen will wie du, ja. Mir ist übrigens auch noch was bei dem Fall Lufthansa war. War tatsächlich das Gericht erst mal der Meinung, OK, sind wir überhaupt örtlich zuständig. Dazu auch noch kurz der Hinweis, es ist das Gericht am Wohnort des Betroffenen. Also da, wo ihr wohnt, könnt ihr Klage einreichen. Auch wenn das Gericht euch vielleicht erst mal sagt, ah, wollt ihr nicht wissen, dass ich das verweise oder so. Das ist die Rechtspraxis, fehlt halt einfach auch vielen Gerichten. Die fehlt wirklich noch. Uns fehlen auch viele konkretisierende Urteile des EUGH, der bestimmte, unbestimmte Rechtsbegriffe mal ein bisschen konturiert, dass man da einfach sich entlangern können. Die Gerichte orientieren sich natürlich auch nach der höheren Rechtsprechung. Das fehlt und das merkt man einfach. Das ist aber, das wird sich aber auch fügen. Du schaffst da jetzt Präzidentsfälle. Ja, genau. Im Prinzip, das ist ja auch mein Ansinnen, da ein bisschen Rechtspraxis auf beiden Seiten zu bekommen. Deswegen haben wir das Ganze mal angefangen und geschaut, OK, wie sind da so die Antworten? Deswegen möchten wir dazu anregen, dass ihr mitmacht, noch kurz vielleicht ein Wort zu den Vorlagen, die ich benutzt habe. Ich habe hier einfach mal so eine Mustervorlage, Datenschutzrechtliche Selbstauskunft, die ist auch in dem Tool verlinkt, was ich an den Talk hier gehängt habe. Wir haben so Standardsachen wie beantwortet, denn wenn meine Ausweiskopie einfach mal so angefordert wird. Das ist eben der Punkt. Also Vorlagen findet man ja almost mittlerweile. Aber es ist eben so, dass man fast nie nur mit dieser Vorlage durchkommt, sondern immer wieder so dieselben Muster auftauchen, die wir jetzt angesprochen hatten, mit Identifikationen, mit Präzisierung, solche Sachen. Und da haben wir eben auch so ein paar Templates gemacht, dass man sich vielleicht ein bisschen Arbeit ersparen kann und das schneller wieder rausschicken kann. Weil man darf durchaus auch mal nachfragen, wo liegen denn ihre berechtigten Zweifel an meiner Identität und dann den Ball eben wieder zurückspielen? Ja, nochmal kurz, dass es das Tool verlinkt, benutzt es, haut Anfragen raus. Hätte ich mir das nicht in ... Also es ist kein tolles Tool, aber es funktioniert. Ich habe damit, ich glaube mal, eine 30er oder 40er Anfragen, nachdem ich nach 10 Stück keine Lust mehr hatte, immer dasselbe zu tippen, gemacht. Wir haben ein paar Standardfälle aufgenommen. Die kann man mal durchprobieren, kann die mal aus an die Hand. Und auch Feedback geben, sehr gerne. Das ist natürlich auch alles ein Lernprozess für uns. Und für die Verantwortung und für andere Betroffene kann man eigentlich nur davon lernen. Ja, das ist im Prinzip auch mein nächstes Stichwort, die Bitte an euch macht mit. DSGVO ist ein Multiplayer-Game, spielt mit. Es soll für alle ein bisschen Praxis und Spaß bringen. Es kann ja nicht der Standard sein, dass die Firmen das Hand schwärzen müssen. Die müssen da auch einfach mal ins Machen kommen. Deswegen von uns, die Bitte an euch, stellt mehr Anfragen. Und wenn ihr bekloppte Beispiele bekommt, schickt uns gerne eure geschwärzten Antworten, die ihr so bekommt. Wir helfen da auch gerne. Und was meinen Generator, den ich da in einem Wochenende zusammengeschustert habe, angeht. Also wer da Lust drauf hat, forkt ihn auf GitHub, helft mir beim entwickeln. Und falls ihr tatsächlich Juristen seid, dann helft uns auch gerne bei den Vorlagen. Und ihr sagt, hey, da stimmt was nicht. Oder die Vorlage würde ich mir noch wünschen. Und so könnte ich mir vorstellen, schickt sie uns. Gerne auch auf Englisch. Und der weitere Ausblick für mich ist, vielleicht, dass man auch irgendwie analog zu fragt, den Staat mal ein Portal macht, wo man so ein paar Sachen veröffentlichen kann. Ist alles offen. Wie gesagt, die Bitte an euch, helft uns dann, macht mit, schickt uns was und ja. Uns ist eben ganz wichtig, wir wollen jetzt nicht die Verantwortlichen alle in den Dreck ziehen, sondern wir wollen wirklich so eine Basis schaffen, auf der man arbeiten kann für alle Seiten. Also das sind einfach Erfahrungswerte jetzt. Und ich denke da, ich sehe Kopfschüttel. Nein, also das ist alles ein Lernprozess. Das ist immer noch frisch. Also man darf das nicht vergessen. Da sind ja alle aus den Wolken gefallen, als die DSGVO plötzlich in Kraft getreten ist. Zwei Jahre rum. Genau, also das sind so unsere Erfahrungswerte. Wir freuen uns auf interessante Gespräche mit euch und vielleicht auch eure Erlebnisse. Genau, vielen Dank. Dafür vielen Dank an euch, dass ihr euch das jetzt angetan habt. Gibt es denn noch Fragen vielleicht im Publikum? Haben wir ein Mikro? Ich kann auch Mainz abtreten. Ah, da kommt schon einer. Das ist natürlich näher. Wollt ihr Mainz? Ja, vielen Dank erstmal, dass ihr die Spielregeln zu diesen Spielnamens DSGVO ein bisschen erläutert habt. Sehr schön, fand ich sehr praxisorientiert. Ganz wunderbar, vielen Dank. An einem Punkt möchte ich allerdings nochmal nachhaken. Am Anfang Identitätsnachweis. Du hast dargelegt, im Prinzip ist das ja schon mal berechtigt, dass sie wissen wollen, bin ich auch der, der ich vorgebe zu seinen USA. Gibt es ja bereits eine systematische Ausforschung von Leuten über solche Anfragen. Das heißt, man gibt vor über Identität jemanden anders zu sein und bekommt dann die Details von jemanden anders. Was mich interessieren würde, die Antwort auf, schicken Sie mal bitte Ihren Personal, weil es ein Kopie, das gibt es ja drei Möglichkeiten. Entweder ich sage, nee, ich komme gar nicht in Frage. Oder ja, ich schicke einfach eine Kopie hin mit den üblichen Bedenken. Oder als drittes, eine starke, schwarze Version. Da gibt es im Internet auch interessante Anleitungen, was man schwarzen darf und was nicht. Da würde ich jetzt gerne nochmal nachhaken, was ist jetzt eure Position auch aus restlicher Sicht. Sollte man grundsätzlich keinen schicken, sollte man, ist man grundsätzlich eigentlich schon verpflichtet, den zu schicken, wenn da gelegt wird, warum die rechtlichen Bedenken bestehen. Oder sollte man einfach mal per se einen geschwärzten Hinschicken und sagen Leute, das ist jetzt aber die Information, die rechtlich ausreicht. Und bitte, jetzt kommt in Quark. Wie beurteilt ihr diesen Identitätsnachweis? Ja, da ist wirklich auch das Problem. Ich bin kein Freund des ungeschwärzten Personalausweis- der ungeschwärzten Personalausweis-Kopie. Da sind einfach Sachen drauf, die sind eigentlich nie Not. Also ich hab noch keinen Fall gesehen, in dem wirklich eine, weiß ich nicht, die Körpergröße eine Rolle gespielt hätte oder sowas. Also geschwärzte Personalausweis-Kopie will ich nicht von vornherein ausschließen. Aber es muss eben auch wirklich dann im konkreten Fall das einzig taugliche mildeste Mittel sein. Also ich persönlich bin ein Freund, wobei das wieder nicht gut für die Rechtssicherheit ist, der Verhältnismäßigkeit und wirklich da diesen Datenminimierungsgrundsatz in Waage zu bringen, mit wie riskant sind die Daten. Zum Beispiel jetzt auch, wenn ich mal, gehen wir mal in Artikel, was war das, Artikel 9, besonders, weiß ich nicht, wie es stimmt jetzt, besondere Kategorien, personenbezogener Daten, wenn es da um Gesundheitsdaten geht, wenn es da um, wenn da ein Riesenschaden entstehen würde, wenn meine Daten an den Falschen rausgehen, wäre ich eher damit einverstanden, noch eine Ausweis-Kopie geschwärzt hinterher zu schicken, bevor da irreversible Probleme entstehen nachher. Also da muss man, also da sagen wir Juristen ja gerne, es kommt darauf an und ich bin da auch tatsächlich jetzt in diesem Fall nicht schwarz oder weiß. Aber in dem Fall, den wir jetzt hier hatten, war halt die Frage, was, was bringt denn das? Macht es das wirklich sicherer, dass ich einen Ausweis habe? Ja, es ist ein Legitimationsmittel, das gerne verwendet wird und es ist, da gibt es dann auch wieder Leute, die sagen, na ja, ich kann den ja easy peasy schwarzen, nee, nicht schwarzen, felschen. Ja, genau, eine Kopie ist ja wirklich nicht geeignet, die Identität nachzuweilen, jeder der Photoshop kann, kann das ja felschen, deswegen ist es ja quatsch. Da ist leider wenig Informationen der DSGVO drin, das Einzige, was die DSGVO noch sagt, ist am Telefon, wenn es um Telefonauskünfte geht, dann reicht es nicht, wenn ich sage, hallo, ich bin Frau Müller, ich hätte gern Auskunft. Das ist fast schon das Einzige, was die dazu sagen und ansonsten eben der Erwägungsgrund. Also, es ist schwierig, eine schwarze oder weiße Antwort darauf zu geben, aber die Schwerzung muss nach meinem Rechtsverständnis möglich sein. Also, was mir halt häufig so vorkam ist, die Verantwortlichen haben so ein bisschen Angst, deswegen ist es so ein Standardverfahren. Positive Beispiele sind zum Beispiel, ich hätte bei eBay meine Daten angefragt, die haben mich angerufen und haben gesagt, DSGVO Anfrage, was machen wir jetzt? Ich bin jetzt ein bisschen schockiert, was wollen Sie denn von uns? Können wir denn vielleicht das so machen, dass ich Ihnen einfach das Perpost schicke oder Ihnen jetzt ein Passwort per Post schicke und den Rest per E-Mail und wir klären einfach so ein paar Sachen wie Geburtstatement am Telefon ab, finde ich, ist ein adäquates Mittel und ansonsten auch nochmal der Hinweis an die Verantwortlichen. Es gibt sowas wie Einschreiben, Eigenhänden, Handelkern, da prüft der Brief Träger, Ausweis, Name, Foto, Name auf Brief, stimmt, checken. Warum macht das keiner? Kostet. Kostet. Kostet. Und das ist halt wirklich auch ein Nachteil für den Verantwortlichen, dass die erste, also zumindest die erste Datenkopie auch immer kostenfrei sein muss. Wenn ich mir jetzt überlege, das ist natürlich ein Riesenaufwand, wenn sich da jemand hinsetzt und irgendwie 50 Seiten Handschwerts und die kriegen noch nicht mehr Geld dafür. Ist ein Prinzip der DSGVO, was eben festgelegt wurde. Und ich denke ganz oft, das ist bei den Identifikationsthemen für den Verantwortlichen eben auch ein Thema. Oh, ich habe was in meinem Verarbeitungsverzeichnis stehen. Weil natürlich ist die Identitätskontrolle ja auch eine Datenverarbeitung, schreibe ich rein. Dann kann ich nachher sagen, oh, ich habe es gemacht, besser als hätte ich nichts gemacht. Gut, gibt es noch weitere Fragen? Okay, dann was ja gut, dass wir so ausführlich auf die eine eingegangen sind. Dann darf ich mich nur mal bedanken dafür, dass ihr alle hier wart und stellt Anfragen und kommt gerne nochmal auf uns zu. Dankeschön.