Dateneinsicht von Firmen und Behörden richtig fordern

Behörden und Unternehmen speichern Daten von Bürgerinnen und Bürgern. Solche Datensammlungen können so umfangreich und aussagekräftig sein, dass zum Beispiel die Post meinte, daraus sogar das Wahlverhalten einzelner Personen einschätzen zu können. Firmen und öffentliche Stellen müssen den Datenbesitzern detaillierten Einblick in gespeicherte persönliche Informationen gewähren.

Sendungshinweis

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1.

Jetzt auch als Podcast.

Nach einer Berechnung der ARGE-Daten, der Österreichischen Gesellschaft für Datenschutz mit Sitz in Wien, sind alle Österreicherinnen und Österreicher bei etwa 400 bis 500 Datenverarbeitern registriert. Persönliche Informationen seien also in Form von Datensätzen von diesen Stellen erfasst und gespeichert worden, sagt der Vorstand der ARGE-Daten, Hans Zeger.

Behörden und Unternehmen müssen Auskunft geben

Gemäß der Datenschutzgrundverordnung (DSGVO) sind Behörden und Unternehmen aber auch auskunftspflichtig. Sie müssen Einblick in persönliche Daten gewähren, sofern ein entsprechender Antrag gestellt wird. Zeger empfiehlt, von diesem Recht Gebrauch zu machen und vor allem administrative Datensätze in Augenschein zu nehmen. Also etwa Daten, die bei den Sozialversicherungen aufliegen. Auch ein Einblick in Informationen, die auf Magistraten oder Gemeindeämtern gespeichert sind, können so manche Überraschung zutage fördern, sagt Zeger. Das Gleiche gilt für Daten, die bei Kreditschutzverbänden oder der Polizei abgefragt werden können.

Auge in dem sich ein Facebook Logo spiegelt

dpa - Bildfunk

Unternehmen müssen Auskunft zu Cookies geben, die sie verwenden

Die DSGVO ist seit dem 25. Mai 2018 in Kraft. Neu sei unter anderem, dass der gewünschte Datenauszug in einer detaillierten und strukturierten Form zur Verfügung gestellt werden müsse, so Zeger. Etwa als Liste oder auch in digitaler Form, wenn man die Daten in irgendeiner Form weiterverarbeiten oder einem anderen Datenverarbeiter zur Verfügung stellen möchte.

Das Wissen der Cookies

Unternehmen sind auch dann dazu verpflichtet, Auskunft über gespeicherte Informationen zu geben, wenn diese mit keinem konkreten Personennamen verknüpft sind. Onlineanbieter und Webseitenbetreiber verwenden Cookies, um Informationen über ihre Nutzer zu erhalten. Cookies sind kleine Dateien, die auf dem PC oder dem Smartphone gespeichert werden. Seit Inkrafttreten der DSGVO müssen Webseitenbetreiber ihre Nutzer darüber informieren, wenn sie Cookies einsetzen, die Cookies selbst verstecken sich dann aber meist in wenig bekannten Ordnern und bleiben für den Endanwender unsichtbar.

Internetbrowser bieten in ihren Einstellungen die Möglichkeit, Cookies anzuzeigen und gegebenenfalls zu löschen. Manche Browser geben dem Anwender auch die Möglichkeit, die Cookiedateien zu kopieren, um sie anschließend beispielsweise als E-Mail-Anhang versenden zu können. Auf diese Weise könne man die Cookies dann an die Unternehmen senden, die es auf dem Rechner gespeichert haben. Wer beispielsweise ein Facebook-Cookie auf seinem Rechner findet und mit der Bitte um Datenauskunft an Facebook schickt, dem müsse Facebook darüber Auskunft geben, wozu dieses bestimmte Cookie verwendet wurde und welche Informationen damit gespeichert oder übertragen wurden, sagt Datenexperte Zeger.

Hartnäckigkeit führt zum Ziel

Ein wenig Geduld sollte man mitbringen, wenn man einen Antrag auf Einblick in persönliche Datensätze stellt, meint der ARGE-Daten-Obmann. Man müsse sich darauf einstellen, dass Behörden und Unternehmen zunächst eher passiv mit derartigen Auskunftsansuchen umgehen. Zunächst erhalte man meist gar nichts oder nur sehr wenig. Mit ein wenig Hartnäckigkeit würde man im Laufe der Zeit aber tatsächlich eine durchaus brauchbare Auskunft bekommen, so Zeger.

Laut Datenschutzgrundverordnung dürfe es Bürgerinnen und Bürgern nicht schwer gemacht werden, die Anfrage nach ihren Daten zu stellen, sagt der ARGE-Daten-Obmann. In welcher Weise so eine Anfrage eingebracht wird, bleibe dem Antragsteller überlassen. Dies könne sowohl per E-Mail als auch per Post oder Fax erfolgen. Die ARGE-Daten empfiehlt, zunächst einen solchen Weg einzuschlagen, wenn man eine Datenauskunft haben möchte. Sollten sich Probleme ergeben, etwa, dass eine Antwort der Behörde oder des Unternehmens ausbleibt, rät Zeger dazu, der Anfrage mittels Einschreiben Nachdruck zu verleihen.

Keine unnötigen Hürden

Damit die Informationen nicht in unbefugte Hände geraten, muss natürlich die Identität des Antragstellers überprüft werden. Die Identitätsfeststellung dürfe aber nicht dazu missbraucht werden, unnötige Hürden aufzubauen. Wer etwa in seine Bankdaten Einblick nehmen möchte und über einen Onlinezugang verfügt, dem dürfen keine zusätzlichen Dokumente wie etwa Ausweiskopien abverlangt werden. Schließlich könne man in so einem Fall auch große Überweisungen mit Hilfe der Kundennummer und einer TAN-Nummer durchführen. Da diese Form der Kundenidentifikation ausreiche, um hohe Beträge zu transferieren, müsse sie auch genügen, wenn man eine Datenauskunft haben möchte, so Zeger.

Auf Anfrage von help.orf.at bestätigt Franz Rudorfer, Geschäftsführer der Bundesparte Bank und Versicherung in der Wirtschaftskammer Österreich (WKO), dass in solchen Fällen eine Identifikation mittels Pin und TAN ausreichend sei und die Banken keine weiteren Dokumente verlangen würden.

Zeger: Österreich schlampig im Umgang mit Ausweisen

In manchen Fällen ist es dennoch notwendig, dass man dem Unternehmen die Kopie eines amtlichen Lichtbildausweises zukommen lässt. Etwa, wenn man in keinem Vertragsverhältnis zu dem Unternehmen steht, von dem man eine Datenauskunft haben möchte. Will man beispielsweise von der Post wissen, über welche personenbezogenen Informationen sie verfügt, muss man eine Ausweiskopie mitschicken. Hans Zeger hat mit dem leichtfertigen Umgang mit Ausweiskopien wenig Freude. Österreich pflege generell einen schlampigen Umgang mit Personaldokumenten. Diese würden viel zu häufig kopiert, die Informationen würden dann „hin und her geschickt“, so Zeger. Auf diese Weise bestünde die Gefahr, dass die Dokumente in falsche Hände gelangen.

Ausweiskopien mit digitalem Wasserzeichen schützen

Hans Zeger empfiehlt, einen digitalen Ausweis zu nutzen. Dieser kann online, beispielsweise beim Zertifizierungsdienstanbieter Global Trust, dem Hans Zeger vorsteht, beantragt werden. Im Gegensatz zur Handy-Signatur sei ein solcher digitaler Ausweis europaweit gültig, er ist allerdings kostenpflichtig Alternativ dazu kann man die Ausweiskopie mit einem digitalen Wasserzeichen versehen, auf dem der Verwendungszweck der Kopie vermerkt wird. So ein Wasserzeichen kann mit gängigen Bildbearbeitungsprogrammen erstellt werden. In jüngster Zeit ist es allerdings vorgekommen, dass zum Beispiel Bankinstitute keine Dokumente akzeptiert haben, die mit einem digitalen Wasserzeichen versehen waren. Bankenvertreter Rudorfer meint, dass es sich hier um Einzelfälle gehandelt habe. Mittlerweile sollten Bankmitarbeiter ausreichend geschult sein und daher auch gesicherte Ausweiskopien akzeptieren, so Rudorfer.

Datenschutzbehörde muss bei Beschwerden prüfen

Wer nach Erhalt seiner Daten das Gefühl hat, dass wichtige Informationen fehlen, die Daten also unvollständig sind, kann sich formlos und kostenfrei bei der Datenschutzbehörde beschweren. Diese sei gesetzlich dazu verpflichtet, jeden Fall zu prüfen und könne gegebenenfalls auch eine Prüfung am Firmensitz des betroffenen Unternehmens in die Wege leiten.

Man müsse sich darüber im Klaren sein, dass in der Onlinewelt faktisch jeder Mausklick gespeichert werde. Wer von einem Onlineunternehmen also weniger erhalte, als eine komplette Auflistung sämtlicher Mausklicks, könne davon ausgehen, dass die Daten unvollständig sind, so Zeger.

Polizei darf Daten zurückhalten

Auch Behörden sind gegenüber den Bürgerinnen und Bürgern auskunftspflichtig. Hier kann es allerdings zu Einschränkungen kommen. Polizeibehörden haben eventuell Gründe, Daten zurückzuhalten, und sind in bestimmten Fällen auch berechtigt, das zu tun. Etwa bei laufenden Ermittlungen. In solchen Fällen erhalte man in der Regel ein Informationsschreiben, das besagt, dass „keine der Auskunftspflicht unterliegenden Daten vorliegen“, erklärt Datenexperte Zeger.

Wer Auskunft über Daten haben möchte, die bei der Polizei gespeichert sind, kann sich an das Bundesministerium für Inneres (BMI) oder auch an eine zuständige Landespolizeidirektion (LPD) wenden. Oft könne es sinnvoll sein, sich gleich an die zuständige Landesbehörde zu wenden, da vieles Ländersache sei und nicht alle Daten bundesweit erfasst würden, heißt es dazu aus dem Innenministerium. Die Anfrage müsse schriftlich und mit eigenhändiger Unterschrift vorgebracht werden. Auch hier ist ein Identitätsnachweis in Form eines amtlichen Lichtbildausweises vonnöten. Wenn es um Informationen zu Straftaten gehe, bei denen die Ermittlungsverfahren bereits abgeschlossen sind, sei in weiterer Folge die zuständige Staatsanwaltschaft die „Herrin der Daten“, so das Innenministerium gegenüber help.ORF.at.

Dass Behörden mutwillig Daten zurückhalten, glaubt der Obmann der ARGE Daten, Hans Zeger, nicht. Er habe selbst einmal bei der Polizei um Datenauskunft angesucht. Man habe ihn daraufhin kontaktiert und erklärt, dass der Umfang der verfügbaren Daten zu groß sei, um diese per Post zuzustellen. Ein Beamter habe ihm dann ein Konvolut bestehend aus etwa drei Kilo Papier persönlich vorbeigebracht, erzählt Zeger. Geschwärzt seien lediglich die Personennamen gewesen.

Paul Urban Blaha, help.ORF.at

Links:

Mehr zum Thema: