Bertelsmann: Datenschutzrechtliche Selbstauskunft nach DSGVO

25.05.2018 – 00:44 Uhr

Ich habe heute von meinem Recht auf Auskunft von personenbezogenen Daten Gebrauch gemacht. Folgende Unternhemen habe ich angeschrieben:

  • Apple, Beitragsservice, Bertelsmann, Boniversum, Bürgel, Deutschen Bahn, Deutsche Telekom, Foodora, Payback, Telefónica, WhatsApp

25.05.2018 – 14:46 Uhr

Bertelsmann hat auf meine Anfrage geantwortet und ist der erste Kandidat für eine Selbstanzeige. ¯\_(ツ)_/¯

Aber der Reihe nach. Zuerst kann Bertelsmann meine Identität nicht eindeutig zuordnen…

…vielen Dank für Ihre Anfrage vom 25.05.2018. Leider konnten wir Ihre Identität nicht eindeutig zuordnen. Um einen Identitätsmissbrauch/-diebstahl auszuschließen und weil uns die Datenschutzgrundverordnung (im Folgenden „DS-GVO“) in ihrem Erwägungsgrund 64 verpflichtet, alle vertretbaren Mittel zu nutzen, um Ihre Identität zu überprüfen, möchten wir Sie bitten, uns zur Prüfung Ihrer Identität beispielsweise eine als Kopie gekennzeichnete Ablichtung Ihres Personalausweises unter Angabe des o.g. Aktenzeichens an die Bertelsmann SE & Co. KGaA, Konzerndatenschutz, Carl-Bertelsmann Str. 270, 33311 Gütersloh zuzusenden. Bitte schwärzen Sie die Informationen, die zur Feststellung Ihrer Identität nicht erforderlich sind…

und wollen von mir eine Kopie des Personalausweises ?

dann folgt viel „Bla, Bla“

…Der Bertelsmann-Konzern besteht aus den acht Unternehmensbereichen…

…Bitte beachten Sie, dass es sich bei der Bertelsmann SE & Co. KGaA um unsere Konzernzentrale handelt…

…Angesichts Ihres Schreibens gehen wir davon aus, dass Sie Ihr Betroffenenrecht nicht gegenüber der Bertelsmann SE & Co. KGaA sondern gegenüber einer unserer Tochterfirmen geltend machen wollen…

Mich wundert nur, dass die datenschutz@-Adresse von Bertelsmann auch auf der Webseite von Arvato (https://www.arvato.com/de/ueber-arvato/datenschutz.html) steht.

An dieser E-Mail ist auch noch die Anfrage einer fremden Person angehangen. Mit allen seinen persönlichen Daten, wie Vorname und Nachname, seine komplette Anschrift, Geburtsdatum und E-Mail Adresse.

Screenshot der E-Mail von Bertelsmann. Die persönlichen Daten der fremden Person werden aus Datenschutzgründen nicht angezeigt.
Screenshot der E-Mail von Bertelsmann. Die persönlichen Daten der fremden Person werden aus Datenschutzgründen nicht angezeigt.

25.05.2018 – 15:24 Uhr

Aufgrund dieser E-Mail von Bertelsmann habe ich das Unternehmen, sowie den Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (kurz: LDI NRW) darüber in Kenntnis gesetzt.

Auszüge meiner E-Mail.

Sehr geehrte Damen und Herren, anbei bin ich Verwirrt, da Sie mir eine Antwort geschickt haben, die sich nicht an mich richtet…

…Verletzung des Schutzes personenbezogener Daten sind der zuständigen Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden, zu melden. https://www.ldi.nrw.de/mainmenu_Aktuelles/Formulare/index.html Neben der Meldung an die Aufsichtsbehörde sind im Falle des Art. 34DS-GVO auch die betroffenen Personen unverzüglich zu informieren. Das ist dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Ob und welche Maßnahmen im Rahmen des Art. 33 Abs. 3 lit. d erfolgten, ist ebenfalls der Aufsichtsbehörde mitzuteilen.

Auch zum Thema Personalausweis, lege ich Einspruch ein: Auch für Wirtschaftsauskunfteien wie die Schufa, Creditreform oder Boniversum gilt der Grundsatz, dass die Anfertigung einer Kopie des Personalausweises verboten ist, wenn der Ausweisinhaber nicht einwilligt. Will die Schufa die Identität des Anfragenden überprüfen, dann erfordert dies nicht zwangsläufig die Anfertigung einer Kopie des Personalausweises. Wirtschaftsauskunfteien als auch die Anfragenden sollten sich daher überlegen, ob im Einzelfall die Vorlage des Personalausweises nicht ausreichend ist und auf eine Kopie verzichtet werden kann.

Meine Datenschutzrechtliche Selbstauskunft nach DSGVO, richtet sich an alle Unternehmen der Bertelmann-Gruppe…

29.05.2018 – 21:05 Uhr

Bertelsmann hat auf meine E-Mail geantwortet.

…haben Sie vielen Dank für Ihre Mitteilung. In der Tat ist bei der Bearbeitung Ihres Auskunftsersuchens ein manueller Fehler im Prozess aufgetreten, weshalb in der an Sie gerichteten Email noch Name, Postanschrift, Geburtsdatum und Email-Adresse einer anderen Person enthalten war. Wir haben letztere Person und die zuständige Datenschutzbehörde über diesen Vorgang informiert. Wir möchten Sie bitten, die an Sie fehlgeleiteten Informationen zu löschen.

Ich möchte ein Lob aussprechen, dass dieser Verstoß der zuständigen Datenschutzbehörde gemeldet wurde. ?

Auf meine weiteren Fragen wurde ebenfalls eingegangen.

Ihrer Argumentation bezüglich der Ausweispflicht können wir uns allerdings nicht anschließen. Eine Auskunft über bei einem Verantwortlichen vorliegende Daten ist ein Betroffenenrecht. Damit man dieses Recht ausüben kann, muss man anspruchsberechtigt sein. Dass Sie dies sind, können wir anhand der uns vorliegenden Informationen über Sie nicht eindeutig feststellen.

In jedem Fall möchten wir Sie daher bitten, uns Ihre Identität nachzuweisen, damit wir ausschließen können, dass jemand unter der Verwendung der E-Mail-Adresse „damnspam@gammagate.de“ versucht, unerlaubt Informationen über Sie zu erhalten. Ein Mittel für einen Identitätsnachweis ist eine Kopie eines Personalausweises, wie in § 20 Abs. 3 Personalausweisgesetz vorgesehen. Ihnen steht es aber auch frei, uns ein anderes Dokument, aus dem sich Ihre Identität zweifelsfrei ergibt, zukommen zu lassen. Dies hatten wir auch bereits in unserer E-Mail vom 25.05.2018 mitgeteilt: „beispielsweise“. Schauen Sie dazu bitte auch in den Erwägungsgrund 64 der Datenschutzgrundverordnung, dann werden Sie sehen, dass diese Argumentation durch das EU-Recht durchaus abgedeckt wird

dann werde ich eine Kopie meiner Meldebestätigung mitsenden.

Darüber hinaus kennt die DSGVO, wie das BDSG-alt zuvor und das BDSG-neu zurzeit, kein Konzernprivileg. Das bedeutet, dass jede einzelne juristische Person (Firma) für die von ihr durchgeführten Verarbeitungen personenbezogener Daten selbst verantwortlich ist. Es würde dem Sinn des Datenschutzes insb. der Zweckbindung gerade zuwiderlaufen, wenn eine zentrale Stelle in einer Unternehmensgruppe Zugang zu allen personenbezogenen Daten der jeweils isoliert zu betrachtenden Konzerntöchter hätte. Wenn Sie daher eine Auskunft über Ihre bei der Bertelsmann SE & Co KGaA gespeicherten personenbezogenen Daten wünschen, dann erteilen wir Ihnen diese gern. Berücksichtigen Sie bitte dabei, dass wir Ihre Daten nur dann gespeichert haben, wenn Sie in einer Beziehung zur Bertelsmann SE & Co. KGaA stehen oder gestanden haben.

Wenn Sie jedoch, wie in Ihrer Mail angedeutet, eine Auskunft über Daten und Datenverarbeitungen bei einer Konzerntochter wünschen, dann ist Ihr Betroffenenrecht allein dieser gegenüber auszuüben.

Da Sie in Ihrem Schreiben Wirtschaftsauskunfteien genannt haben, vermuten wir, dass es Ihnen um eine Selbstauskunft bei der infoscore Consumer Data GmbH gehen könnte. Diese können Sie wie folgt anfordern: https://www.arvato.com/finance/de/verbraucher/selbstauskunft/selbstauskunft-anfordern.html“…

Na, na, also ich will keine klassische Selbstauskunft. Daher werde ich weiterhin auf meine Datenschutzrechtliche Selbstauskunft nach DSGVO bestehen. Aber ich beziehe mich gerne nur auf Arvato. (ง ͠° ͟ل͜ ͡°)ง

31.05.2018 – 00:06 Uhr

Bertelsmann habe ich auch gerade geantwortet und einen Identitätsnachweis mitgeliefert.

…Daher bitte ich Sie meiner Datenschutzrechtlichen Selbstauskunft nach DSGVO, sowie der Löschung meiner Daten, bezogen auf die infoscore Consumer Data GmbH nachzukommen.

Da auf der Datenschutzseite von arvato.com (https://www.arvato.com/de/ueber-arvato/datenschutz.html) nur die E-Mail Adressen info@bertelsmann.de und datenschutz@bertelsmann.de hinterlegt sind, sehe ich keine andere Möglichkeit, die infoscore Consumer Data GmbH direkt anzuschreiben…

Eine automatisierte Rückmeldung habe ich auch gleich erhalten.

I am currently out of the office without regular access to my emails. Your Email is not forwarded. I will respond to all emails as soon as possible.

01.06.2018 – 11:32 Uhr

Bertelsmann hat sich wieder gemeldet.

…Ihre Identität haben Sie nun hinreichend nachgewiesen. Die dazu mitgesendeten Bilder werden nach Abschluss der diesbezüglichen Kommunikation mit Ihnen datenschutzgerecht gelöscht.

Hinsichtlich Ihres Anliegens, eine Auskunft über die bei der infoscore consumer data GmbH (ICD) zu Ihnen gespeicherten Daten zu erhalten, haben Sie nun zwei Möglichkeiten:

1. Sie erteilen uns Ihre Einwilligung Ihr ursprüngliches Schreiben (also ohne die Ausweisdokumente aber mit dem Hinweis, dass wir Ihre Identität überprüft haben) an die Kollegen in Baden-Baden zum Zwecke der Beantwortung weiterleiten.

2. Sie nutzen die Selbstauskunftsfunktion der Infoscore: https://finance.arvato.com/de/verbraucher/selbstauskunft/selbstauskunft-anfordern.html oder aber Sie richten Ihre Anfrage schriftlich an infoscore consumer data GmbH, Rheinstraße 99, 76532 Baden-Baden

Auch meine Frage bezüglich der E-Mail Adresse wurde beantwortet.

Zu Ihrer Information möchte ich Ihnen mitteilen, dass Sie arvato.com deshalb uns als zentralen Ansprechpartner finden, weil wir – die Bertelsmann SE & Co KGaA – einerseits die Webseiten zentral betreiben und für die darauf stattfindenden Datenverarbeitungen verantwortliche Stelle sind. Andererseits fungieren wir unterstützend als zentrale Anlaufstelle, um Betroffenen entgegen zu kommen, die eine Auskunft von einem bestimmten Unternehmen wünschen aber z.B. nicht deren Anschrift kennen oder sich sonst an die falsche Firma wenden würden (wieder das Problem des im Gesetz fehlenden Konzernprivilegs, denn wir sind der Meinung es ist einfacher für den Betroffenen sich an uns zu wenden und zu sagen, worin sein Anliegen besteht, so dass wir Ihn/Sie entsprechend konkret einer Firma zuweisen können und direkt das gewünschte Ergebnis erzeugt wird, anstatt dass er/sie sich an viele Unternehmen wendet und immer lediglich hört „Wir sind nicht zuständig, wir speichern keine Daten über Sie“)…

04.06.2018 – 21:45 Uhr

Ich habe mich auch bei Bertelsmann zurückgemeldet.

…hiermit erteile ich Ihnen die Einwilligung, mein ursprüngliches Schreiben (also ohne die Ausweisdokumente aber mit dem Hinweis, dass Sie meine Identität überprüft haben) an die Kollegen in Baden-Baden zum Zwecke der Beantwortung weiterzuleiten…

07.06.2018 – 09:26 Uhr

Das LDI NRW hat mir den Eingang meiner E-Mail, sowie die Meldung seitens Bertelsmann bestätigt.

…Ich habe heute mit … von der Bertelsmann SE & Co KGaA gesprochen und er teilte mir mit, dass er eine Meldung gem. Art. 33 DS-GVO an meine Aufsichtsbehörde gefertigt hat. Auch liegt mir seine an Sie gerichtete E-Mail vom 29.05.2018 vor. Auf Grundlage dieser Informationen erfolgt eine weitere datenschutzrechtliche Überprüfung.

Ihr Vorgang ist bei mir abgeschlossen und ich verbleibe
mit freundlichen Grüßen…

05.07.2018 – 15:36 Uhr

Ich habe Bertelsmann über das verstreichen der Frist informiert.

…leider wurde die Frist meiner Auskunft verstreichen lassen, auch eine Fristverlängerung wurde nicht kundgetan. Daher möchte ich Sie bitten meine Auskunft mit Nachdruck zu beantworten, des weiteren werde ich auch diesen Vorgang dem LDI NRW mitteilen…

05.07.2018 – 15:40 Uhr

Ich habe eine Beschwerde an das LDI NRW eingereicht, da ich noch keine Auskunft von der infoscore consumer data GmbH (Bertelsmann) erhalten habe.

05.07.2018 – 15:54 Uhr

Da hat Bertelsmann mich falsch verstanden (눈_눈)

vielen Dank, dass Sie sich in dieser Sache noch vor Meldung an das LDI an mich wenden. Ich werde Ihr Auskunftsersuchen noch einmal mit Nachdruck platzieren!

10.07.2018 – 16:07 Uhr

Das LDI NRW Bestätigt mir den Eingang meiner E-Mail bezüglich der infoscore consumer data GmbH (Bertelsmann).

12.07.2018

Ich habe meine Auskunft von der infoscore consumer data GmbH (Bertelsmann) endlich erhalten.