Betroffenenrechte - Say Mine Technologies Ltd.

von (Kommentare: 0)

Durch die Einführung der DSGVO 2018 sollten vor allem die Betroffenenrechte gestärkt werden. Hierunter fällt, neben den Rechten auf

  • Information (Art. 12 – 14 und 19 DSGVO)
  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • und der nicht Unterwerfung einer ausschließlich automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22 DSGVO)

auch das Recht auf Vergessen werden bzw. Löschung gem. Art. 17 DSGVO.

Betroffene können sich jederzeit an Firmen oder öffentliche Stellen wenden und von Ihren Rechten Gebrauch machen. Seitens der verantwortlichen Stelle liegt bei derartigen Anfragen immer eine Verpflichtung zur Bearbeitung der jeweiligen Anfrage vor, welche keinesfalls ignoriert werden sollte. Kommt es hier zu einem Verstoß, können die Bußgelder beträchtlich sein.

Löschanfragen über die Say Mine Technologies Ltd.

Seit Monaten werden Firmen mit einer Vielzahl von Löschanfragen konfrontiert, die über das Unternehmen Say Mine Technologies Ltd. mit Firmensitz in Israel initiiert werden. Say Mine unterstützt betroffene Personen, die Löschung ihrer personenbezogenen Daten auf einfache Weise zu verlangen und zu überwachen.

Die Say Mine Technologies Ltd. wurde bereits 2019 mit dem Ziel, einen neuen globalen Datenschutzstandard zu schaffen, gegründet. Das Unternehmen hilft Menschen, ihr Recht auf Löschung (Art. 17 DSGVO) oder ihr Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) durchzusetzen. Dieser Dienst scheint auch bei uns immer bekannter zu werden, was die hohe Anzahl der Löschanfragen bestätigen.

Betroffene Personen nutzen den Dienst, der gezielt die eigenen E-Mail-Postfächer durchsucht. Im Anschluss führt die Technologie auf, bei welchen externen Unternehmen Daten des Nutzers vorliegen. Durch einen einfachen Klick kann der Nutzer diese Firmen (bzw. deren Datenschutzbeauftragte) kontaktieren und die Löschung seiner Daten verlangen.

Wie funktioniert der Say Mine Generator für Löschaufforderungen?

Um den Dienst zu nutzen, benötigt Say Mine Schreib- und Leserechte auf das E-Mail-Postfach. Im ersten Schritt muss sich der Nutzer mit seinem E-Mail-Konto anmelden und registrieren. Aktuell werden 3 Anbieter (Google-Mail, Microsoft-Mail und Yahoo-Mail) unterstützt. War die Anmeldung erfolgreich, benötigt Say Mine im zweiten Schritt den Opt-in des Nutzers für den Zugriff auf das Postfach.

Wurde der Zugriff vom Nutzer zugelassen, scannt Say Mine die gesamte E-Mail-Kommunikation, analysiert Betreff, Textauszüge und Metadaten und erstellt auf Grundlage von KI-basierten Algorithmen einen digitalen Fußabdruck, um die Firmen zu identifizieren. Persönliche E-Mail-Inhalte werden weder gelesen noch gespeichert.

Das Ergebnis der Analyse wird im Dashboard übersichtlich dargestellt.


Jetzt muss der Nutzer aktiv werden, indem er jede von Say Mine identifizierte Firma überprüft und selbst entscheidet, ob er Firmen auf seine Whitelist (I need it) setzt oder eine Löschung (Reclaim) seiner personenbezogenen Daten anstoßen möchte.

Sollen die personenbezogenen Daten bei einer Firma gelöscht werden, genügt ein Klick auf den Button „Reclaim“ und im letzten Schritt ein Klick auf den Button „Send request“, um die vorformulierte englische E-Mail über das Postfach des Nutzers an den Empfänger zu senden.

Say Mine überprüft nicht die Identität des Antragstellers!

Eine Identifizierung über die Zugriffsrechte auf das E-Mail-Postfach genügt dem Dienstleister. Jede Löschaufforderungen kann nur mit einer proaktiven Einwilligung des Antragstellers versendet werden.

Die Löschaufforderungen sind in Englisch und richten sich nicht direkt an den Verantwortlichen, sondern immer an eine Internet-Domain. Dabei wird auf eine erhaltene E-Mail mit Datum verwiesen, weshalb davon ausgegangen wird, dass personenbezogene Daten vorhanden sind. Da das Einfordern von Betroffenenrechten keiner Formerfordernis unterliegt, sollten diese Löschaufforderungen immer sehr ernst genommen werden.

Ein Blick in die Privacy Policy des Unternehmens offenbart die Bemühungen von Say Mine, das Thema Datenschutz auch selbst bestmöglich umzusetzen. In der übersichtlich gestalteten Datenschutzerklärung wird der Leser transparent darüber informiert, auf welche Informationen das Unternehmen im E-Mail-Postfach seiner Kunden zugreift. Das Unternehmen bemüht sich ganz gezielt um eine verständliche Sprache und nachvollziehbare Darstellung der Hintergründe der Datenverarbeitung.

Say Mine versichert zudem, dass es nur die absolut notwendigen Daten seiner Kunden sammelt und verweist auf den gezielten Einsatz von datensparsamen Technologien sowie die Beachtung des privacy-by-design Grundsatzes. Es wird offen kommuniziert, in welchen Fällen personenbezogene Kundendaten mit Dritten geteilt werden (Customer Support, Cloud Dienstleistungen und Web Analyse) und dass manche dieser Dritte (z. B. Customer Service) Daten nicht innerhalb der EU, sondern teilweise auch in den USA, verarbeiten. Say Mine selbst unterliegt als israelisches Unternehmen einem Angemessenheitsbeschluss. Die Server des Unternehmens befinden sich gemäß den Angaben in der Datenschutzerklärung zudem in der EU.

Wie sollten Firmen auf Löschanfragen reagieren?

Das Recht auf Löschung, mit dem sich der EuGH bereits in mehreren seiner Urteile befasst hat, ist eines der bedeutendsten Werkzeuge für Betroffene zur Wahrung ihrer Rechte. Sind Sie zu einer Löschung verpflichtet, so müssen die personenbezogenen Daten in angemessener Art und Weise gelöscht werden und die betroffene Person umgehend, spätestens aber nach 30 Kalendertagen über die Löschung informiert werden. Eine Verlängerung dieser Frist bedarf einer Begründung.

Das Löschersuchen sollte umgehend von Ihnen bearbeitet und dabei wie folgt vorgegangen werden:

  • Identitätsprüfung:
    Bitte prüfen Sie anhand des Namens und der E-Mail-Adresse, ob und welche personenbezogenen Daten bei Ihnen vorliegen. Sofern Ihnen Daten im sensiblen Bereich (wie z. B. Bankdaten, Gesundheitsdaten, usw.) vorliegen, sollten Sie zwingend eine genauere Identitätsprüfung der Person durchführen, bevor Sie die Löschung vornehmen (z. B. durch Abfrage der Kundennummer).

  • Prüfung der Ausnahmen:
    Bitte beachten Sie auch, dass einem Löschverlangen nicht in jedem Fall Folge geleistet werden muss. Aus Artikel 15 Abs. 3 DSGVO können Sie die Ausnahmefälle entnehmen, in denen eine Löschung nicht durchgeführt werden muss. Insbesondere ist von einer Löschung abzusehen, wenn die Speicherung bzw. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlichen ist. Hierunter fallen etwa Fälle, in denen das Gesetz bestimmte Aufbewahrungsfristen vorgibt (z. B. die zehnjährige Aufbewahrungsfrist bei steuerrechtlich relevanten Unterlagen gem. § 147 Abs. 3 AO). Hierüber müssen Sie den Betroffenen ebenfalls informieren und die gewünschte Löschung nach Fristablauf
  • Datenaufbewahrung:
    Beachten Sie bitte auch, dass Sie die geführte Kommunikation zum Identitätsnachweis sowie die Löschbestätigung als Nachweis für 3 Jahre (§§ 195 ,199 BGB) aufbewahren müssen.

Überprüfen Sie auch Ihren Spam-Ordner!

Gelegentlich kommt es vor, dass Ihr System die E-Mails (z. B. anhand der Struktur oder Sprache) als Spam definiert. Aus diesem Grund sollten Sie sicherstellen, dass auch hier regelmäßig der „Posteingang“ geprüft oder eine entsprechende Regel für die Say Mine E-Mails festgelegt wird.

Da eine Nicht-Beantwortung/Bearbeitung von Betroffenenrechten nach Artikel 83 DSGVO bußgeldbewehrt ist und zu einem Schadensersatzanspruch führen kann, sollte das gesamte Geschehen rund um die Anfrage dokumentiert werden (Zeitpunkt des Eingangs, das Antwortschreiben, Zeitpunkt der Antwort etc.). Diese Dokumentation dient dem Nachweis, dass auf die Betroffenenanfrage ordnungsgemäß reagiert wurde. Anfragen und Antworten sollten für einen Zeitraum von 3 Jahren an einem sicheren Ort aufbewahrt bzw. gespeichert werden.

Unterstützung vom Experten

Auch im Bereich der Betroffenenrechte ist beim Datenschutz auf vieles zu achten, da ein Fehler hier schnell zu einer Beschwerde bei der Aufsichtsbehörde führen kann. Ist diese erst einmal alarmiert, erhält Ihre Firma, neben den Fragen zur aktuellen Anfrage, oftmals weitere Fragen, die von Ihnen beantwortet werden müssen (z. B. aktuelle Verzeichnisse der Verarbeitungstätigkeiten, technisch-organisatorische Maßnahmen, Datenschutzkonzept, usw.). Auch hier erhalten Sie seitens der Behörde eine Frist, in der Sie die entsprechend reagieren müssen. Liegen Ihnen die Unterlagen nicht vor, kann der Aufwand und die Ressourcenbindung für Ihre Firma eine Herausforderung darstellen, die zügig zu lösen ist.

Damit Betroffenen- oder Behördenanfragen schnell bearbeitet werden können, beraten wir unsere Kunden in allen Bereichen des Datenschutzes. Wir helfen nicht nur bei den Datenschutz-Basics, die Sie für Ihr Unternehmen umsetzen müssen, sondern auch bei allen spezifischen datenschutzrechtlichen Herausforderungen. Nicht umsonst besteht das Team der dacuro GmbH aus verschiedensten Spezialisten, die sich um alle Themenbereiche des Datenschutzes kümmern. Wir verfügen über das erforderliche juristische und technische Know-how, um unsere Kunden ganzheitlich zu unterstützen. Sollten Sie Fragen haben, können Sie sich gerne an uns wenden.

TAGS

Zurück

Einen Kommentar schreiben

Bitte rechnen Sie 8 plus 1.

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.