Datenweitergabe ohne Nachfrage des Dritten

Wenn ich den Gesetzestext richtig interpretiere, darf eine Behörde im Rahmen von „Topf Secret“-Anfragen nach § 5 Abs. 2 S. 4 VIG „Namen und Anschrift des Antragstellers“ nur „auf Nachfrage des Dritten“ offenlegen, d. h. eine Bekanntgabe ohne Auskunftsersuchen des Dritten wäre m. E. rechtswidrig. Nun hat der Kreis Steinfurt in einer „Mission-Fleisch“-Anfrage einen identischer Bescheid sowohl an mich, als auch den Betrieb versandt, ohne das (soweit mir bekannt) vorher ein Drittbeteiligungsverfahren durchgeführt wurde.

Macht es daher ggf. Sinn, nach einer erfolgten Anfrage bei der Behörde anzufragen, ob Name und Anschrift übermittelt wurden und falls ja, Akteneinsicht in das Auskunftsersuchen zu verlangen? Wurden die Daten ohne „Nachfrage des Dritten“ offenlegt, könnte dann ja eine Beschwerde / Schadenersatz nach DSGVO in betracht kommen.

1 „Gefällt mir“

Die Behörde hat dieses doch aber ausgeführt – oder zumindest hier gesagt, dass sie es ausführen wollte. Der Bescheid kam dann zwar relativ schnell, aber ich denke du meinst, dir ist unklar, ob der Betrieb deinen Namen/Adresse angefragt hat, oder? (Bei der kurzen Zeitspanne sehe ich diese Zweifel durchaus als berechtigt an… :stuck_out_tongue_winking_eye:)

Im Template steht ja:

Ich weise Sie daraufhin, dass eine Weitergabe meiner personenbezogenen Daten an Dritte im Sinne von § 5 Abs. 2 S. 4 VIG nur dann zulässig ist, wenn betroffene Dritte ausdrücklich nach einer Offenlegung fragen. In diesem Fall erkläre ich mich mit der Datenweitergabe einverstanden und bitte um Weiterbearbeitung des Antrags.

(Hervorhebung von mir)

Und du bezweifelst, dass das so war? (Was sich aus dem Text der Behörde wirklich nicht herauslesen lässt, aber die Anschrift schon vermuten lässt, dass Daten weitergegeben wurden.)

Klar, über deine Rechte nach der DSGVO hat dich die Behörde ja sogar belehrt.
Bzw. du benötigst wohl keine Akteneinsicht, sondern eine Frage an den/die DSB oder so sollte auch ausreichen mit der Bitte, den Sachverhalt zu prüfen.

Klar, also zumindest eine Beschwerde (mit Schadensersatz nach DSGVO kenne ich mich nicht aus, da lasse ich gerne andere sprechen), zuerst einmal bei dem/der internen Datenschutzbeauftragte/n. Und wenn das wirklich nicht helfen sollte, dann bei der „Aufsichtsbehörde”, also der LfDI.

Disclaimer: Wie immer stellt dies keine Rechtsberatung, sondern nur meine persönliche Ansicht/Idee/Vorgehensweise dar. IANAL.
Wenn dir dieser Beitrag gefallen hat, markiere ihn gerne mit einem Herz und wenn ein Beitrag dein Problem löst, markiere ihn als „gelöst”.

Moin! Das ist eine interessante Frage. Ich würde eine Vermittlung bei der Datenschutzbeauftragten NRW hier für angebracht halten. Schreib sie doch einmal an und bitte darum, beim Kreis nachzuhaken.

Es gilt zu differenzieren zwischen Akteneinsicht und Auskunftsrecht nach DSGVO, aber ja - Auskunftsanfrage macht auf jeden Fall Sinn. Die Auskunftsanfrage (kannst du per eMail stellen) kannst du allgemein halten, dann müssen sie dir eine Datenvollauskunft zukommen lassen, oder du fragst spezifisch nach der Teilauskunft: Haben Sie personenbezogene Daten und Informationen (deine Anfrage) an das Unternehmen xy weitergegeben, ja oder nein? Wenn ja, welche Daten und Informationen genau, wann und wie, und basierend auf welcher Rechtsgrundlage nach Art. 6 DSGVO.
So oder so muss die Behörde unverzüglich antworten. Die Unverzüglichkeit hat Standard zu sein und bereits ein Ausschöpfen der 1-Monatsfrist wäre schadenbewehrt, wenn die Behörde keine rechtmässigen Gründe hat. Grad keine Zeit oder so, reicht nicht. Personenbezogene Daten und Informationen sind von Verantwortlichen so zu speichern und vorzuhalten, dass sie jederzeit auf Knopfdruck abrufbar sind, das ist technisch unkompliziert möglich.

Erst wenn du die Auskunft hast, kann du auf Schadenbewehrtheit nach Art. 82 DSGVO prüfen. Ich bevorzuge den immateriellen Schadenersatz, weil er ausdrücklich auch das Genugtuungsbedürfnis Betroffener befriedigen soll und die Verantwortlichen eine Verschuldensquote von 0% nachweisen müssen, nur dann sind sie nicht haftbar.
Oberste Regel: Egal ob bei Geldbußen, Sanktionen oder Schadenersatz - die DSGVO verpflichtet mehrfach und unverhandelbar dazu, dass Verstöße von Verantwortlichen in jedem Fall und in jedem Einzelfall wirksam und abschreckend zu ahnden sind, nur das ist verhältnismäßig.

1 „Gefällt mir“

An den Datensachutzbeauftragten würde ich mich nicht wenden, denn das hat sich meiner Erfahrung nach nicht als hilfreich erwiesen, weil sie Verstöße eher zu verteidigen und vertuschen versuchen, als zu beheben geschweige denn zu ahnden. Zumal es häufig externe Dienstleister sind.
Ich würde mich immer an den Verantwortlichen direkt wenden. Wenn der dann seine Datenschutzbeauftragte für ihn sprechen lassen möchte, ist das seine Sache, aber dass du dich an die Datenschutzbeauftrage wenden musst oder sollst - falls ein Verantwortlicher das behauptet - dann kannst du das Angebot auch dankend ablehnen.

Hier möchte ich gerne Widersprechen. Ich find es wichtig, dass die zuständige Aufsichtsbehörde bei vermuteten Verstößen herangezogen wird. Aktuell sind die Aufsichtsbehörden leider überlastet, weshalb es vermutlich bei geringfügigen Verstößen zu der erwähnten “vertuschung” oder “verteidigung” kommt, die ich im Kontext der Unterbesetzung nachvollziehen kann. Wenn Datenschutzverstöße nicht mehr bei der Aufsichtsbehörde gemeldet werden, dann wird die Behörde auch bestimmt nicht mehr Personal bekommen, um sich besser um die Eingaben kümmern zu können. Außerdem entsteht somit ein noch größeres Dunkelfeld, weil nicht alle die Ressourcen besitzen, um wegen jedem Datenschutzverstoß vor Gericht zu ziehen und schwächen damit meiner Auffassung nach die Durchsetzung des Datenschutzes an sich.

Juhuu, Irrtum. Ich sprach von Datenschutzbeauftragten nach Art. 37 DSGVO https://dsgvo-gesetz.de/art-37-dsgvo/ Das sind die Personen oder outgesourcten Unternehmen/Personen, die als Datenschutzbeauftragte für die Verantwortlichen (Firmen oder Behörden) arbeiten.
Du meinst die Datenschutzaufsichtsbehörden nach Art. 51 ff DSGVO. Zu denen es auch so einiges tragische zu sagen gäbe. Ganz besonders folgendes: Die sind nicht überfordert, weil sie so viel zu tun haben, sondern die haben so viel zu tun, weil sie die DSGVO nicht wirksam umsetzen - also schlicht, weil sie unkonsequent sind. Sie machen die DSGVO unwirksam. Manche mutwillig, manche aus alter schlechter Gewohnheit. Und die Gewohnheit ist halt, das Verantwortliche gebauchpinselt werden und man sich mit Ahndung besonders schwer tut.
Die DSGVO ist aber nicht neutral, sondern sie ist zugunsten Betroffener weit auszulegen - so sagt man in der Fachssprache. Nach DSGVO heisst es durchweg “Im Zweifel für die Betroffenen”.
Allein: Das leben die Datenschutzaufsichtsbehörden nicht.

Hier mal ein kleiner Auszug aus den Pflichten nach DSGVO:

“Es ist den Behörden untersagt, systematisch von einer Geldbuße abzusehen” -Ehrmann/Selmayr, DS-GVO, 2018, Art. 83 Rn. 7 - der Kommentaband, der übrigens maßgeblich von den Entwicklern der DSGVO mitverfasst wurde, was ihn so aussergewöhnlich macht.
“Es ist den Behörden untersagt, eine schlechte wirtschaftliche Lage eines verantwortlichen Unternehmens als relevant zu bewerten, da daraus nur ein ungerechtfertigter Wettbewerbsvorteil von rechtswidrigem Verhalten entstünde” - dito, Art. 83 Rn. 15

Und? Schonmal davon gehört, dass das angewendet wird?
Realität ist: Keine Ahndung keine Ahndung keine Ahndung.

Man bedenke: Wir reden hier zum einen über das höchste und schützenswerteste aller Grundrechte überhaupt - den Persönlichkeitsschutz, und auf der anderen Seite über Big Data und die erheblichen Gefahren.
Aber wer kennt sich schon mit Big Data aus? Die Aufsichtsbehörden jedenfalls offensichtlich nicht.

Vielen Dank für das Feedback. Ich habe nun zunächst einmal bei der Behörde angefragt, ob meine Daten weitergegeben wurden (da der Betrieb ja auch einen geschwärzten Bescheid erhalten haben kann) und falls ja um Herausgabe des entsprechenden Antrages gebeten.

1 „Gefällt mir“

Ja, das ist richtig, da bin ich durcheinander gekommen. Jetzt ergibt der Satz mit dem externen Dienstleister in deinem Beitrag auch auf einmal Sinn :slight_smile:. Und ja, ich stimme dir zu, die betrieblichen Datenschutzbeauftragten kann man eigentlich… ignorieren.

Hmm, ich weiß jetzt nicht wie es genau in so einer Datenschutzbehörde aussieht, aber ich würde denen keine Absicht unterstellen. Aber das wäre jetzt ganz stark am Thema vorbei, daher spar ich mir das.

2 „Gefällt mir“

In der Tat gilt es bei den Datenschutzaufsichtsbehörden und auch bei den für sie zuständigen Gerichten zu unterscheiden zwischen Fahrlässigkeit und Mutwilligkeit; erwiesen ist soweit aber, dass beides im Übermaß vorhanden ist.

Ich habe heute den Antrag des Lebensmittelunternehmens auf Herausgabe meiner Daten zugesandt bekommen. Eine Herausgabe meiner Daten scheint demnach rechtmäßig gewesen zu sein.

Interessant ist aber auch, was das Unternehmen geschrieben hat. Hierbei insbesondere die Empfehlung an die Behörde, mir die Kosten zuzurechnen und auch einen Vorschlag für die Formulierung der Auskunftserteilung - welche übernommen wurde.

1 „Gefällt mir“

Oha, die Stellungnahme hat es ja in sich:

und ein rechtsmissbräuchlicher Charakter der über die Plattform gestellten Anfragen ist evident.

Auch:

Die Plattform ist so gestaltet, dass die Angabe von Namen der Antragsteller nicht erforderlich
ist,

…ist ja eine krasse Falschbehauptung. Das wird bei Topf Secret beides immer mitgesendet.

Außerdem wird der Behörde eingeredet es wären drei Anträge (Wtf?) und „angesichts des Aufwandes, den Sie offenkundig hinsichtlich der Auswertung und Zusammenfassung der Kontrollberichte betreiben mussten, halten wir eine kostenfreie Auskunft für unwahrscheinlich”.

Auch beharrt der Betrieb darauf, dass ja bei keinen Abweichungen nur diese Information und nicht der Kontrollbericht herausgegeben werden soll.

Eventuell wäre so etwas sinnvoll, immer mit anzufragen? Könnte Topf Secret das Template nicht erweitern, auch die Stellungnahme des Betriebs mit zu erhalten?
Im positiven Fall führt dies für den Betrieb zur Möglichkeit der sinnvollen Stellungnahme, warum die letzte Kontrolle bspw. schlecht ausfiel.
Oder, wie hier, dazu, um zu zeigen, mit welchen komischen Argumenten eine Herausgabe verhindert werden soll.

Das finde ich auch sinnvoll. Ich hatte auch schon einige Fälle, in denen der Betrieb auf mich bzw. die Behörde zukam, um Stellung nehmen zu können. Und in gerade solch einem Fall ist es denke ich auch sehr gut, solch Argumentationen offen zu legen, in welchem Argumente z. T. einfach sachlich falsch sind.

1 „Gefällt mir“

Ich finde die Stellungnahme ist ja quasi eine Aufforderung weitere Berichte anzufordern.
Ich habe mal eine Anfrage für den Shop vor Ort gestellt, da ist mir nicht ganz klar ob das beim Landkreis als eigener Betrieb geführt wird.
Zudem könnte man ja auch die Berichte aus den Vorjahren anfragen, um herauszufinden ob es in den Vorjahren zu Beanstandungen kam.

2 „Gefällt mir“

Lass dem Betrieb doch einmal den Erlass des Landesministeriums zukommen. Dort ist die Rechtslage eindeutig dargelegt und widerlegt die Darstellung des Betriebes.

Für den Shop habe ich folgende Auskunft bekommen:

unter der angegebenen Adresse finden keine Tätigkeiten statt, die einer Lebensmittelkontrolle unterliegen.

Einamüsanter Zwischenstand: Die Städteregion Aachen möchte für die Beantwortung einer solchen Frage a) einen gesonderten Antrag und b) droht mit Kosten. Ich werde mal freundlich auf Art. 15 DSGVO hinweisen, den zumindest ein Teil meiner Anfrage betrifft.

3 „Gefällt mir“