Du solltest hier §13 UklaG ins Spiel bringen und insbesondere darauf bestehen das die Daten nach Art. 17 nicht gelöscht werden sondern nach Art. 18 DSGVO in der Verarbeitung eingeschränkt werden. Bei einer Löschung werden nämlich etwaige Sperrvermerke gleich mit gelöscht und als Betroffener hast du das Recht auf die Wahl.
Insofern solltest du den LDSB deutlich darauf hinweisen das man den Betroffenenrechten nicht nachgekommen ist und entgegen deiner Aufforderung zur Sperrung die Daten gelöscht hat. Das ist ein Bußgeld bewährter Verstoß nach Art. 83. Da würde ich ganz klare Worte finden bei der Aufsichtsbehörde und direkt auch den Vertrag nach Art.28 prüfen lassen für den Auftragsverarbeiter und die Eignung des Verarbeiters nach §11 BDSG prüfen lassen.
Ganz WICHTIG: Du solltest Dein Recht nach Art. 20 auf Datenübertragbarkeit wahrnehmen. Denn damit müssen dir alle vorhandenen Daten bereitgestellt werden die bei denen gespeichert sind. So weißt du dann welche Daten dort überhaupt vorlagen und kannst gezielt nachbohren. Diese Daten müssen vollständig und im PDF oder einem sonstigen Format zur Verfügung gestellt werden.
Ich denke das damit einiges offengelegt werden muss. Vielleicht erhält man so eine Idee wo die Daten herstammen. Auf jeden Fall dürfte es für alle Beteiligten peinlich werden, wenn jemand mehr Daten hat als der andere Beteiligte. Damit kannst du die Kette gut aufdröseln und auch nette Argumente für den Datenschutzbeauftragten des Bundeslandes erhalten.
Hier mal die Rechtsgrundlagen
Verlangt der Betroffene eine Auskunft über die Personen der Dritten, so ist diese unverzüglich zu erteilen (Art. 17 Abs. 2 i.V.m. Art. 19 DSGVO).
Hier mal die Rechte nach Art. 18
Eine Einschränkung der Verarbeitung ist fortan dann vorzunehmen, wenn der Betroffene es verlangt und
er die Richtigkeit der personenbezogenen Daten bestreitet, wobei die Einschränkung dann für die Dauer zu bewirken ist, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen oder
die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt oder
der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder
Widerspruch gegen die Verarbeitung gemäß Artikel 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen
Achtung: erwirkt der Betroffene die Einschränkung der Verarbeitung, begründet dies für den Verantwortlichen die Informationspflicht, den Betroffenen vor der Aufhebung der Einschränkung über diese zu unterrichten.
Auch im Falle der Einschränkung ist der Verantwortliche gemäß Art. 19 DSGVO zusätzlich verpflichtet, Dritte, an welche die Daten übermittelt wurden, zu informieren, damit diese ihre Verarbeitungsprozesse selbst einschränken können. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortlichen nicht unzumutbar ist.
Verlangt der Betroffene eine Auskunft über die Personen der Dritten, so ist diese unverzüglich zu erteilen.
Der Betroffene kann insofern entweder nach Art. 20 Abs.1 DSGVO die vom Verantwortlichen die Herausgabe der erhobenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen und diese – ohne dass der Verantwortliche dies behindern darf – eigenständig einem anderen übermitteln.
Alternativ kann der Betroffene aber auch direkt vom Verantwortlichen verlangen, die Übermittlung ohne seine eigene Zwischenschaltung unmittelbar an den bestimmungsgemäßen Empfänger zu veranlassen, Art. 20 Abs. 2 DSGVO.
Allerdings ist – um schützenswerte Interessen des herausgabepflichtigen Verantwortlichen zu wahren – die zulässige Ausübung des Rechts auf Datenübertragbarkeit durch den Betroffenen auf die Fälle begrenzt, in denen
entweder seine Einwilligung in die originäre Verarbeitung erforderlich war oder aber die Daten ohne Einwilligung zur Durchführung eines Vertragsverhältnisses rechtmäßig genutzt werden durften oder
(wie im Online-Handel regelmäßig) die Datenverarbeitung mithilfe automatisierter Verfahren erfolgt ist
Online-Händler, die personenbezogene Daten erheben und verarbeiten, werden sich in Ansehung des neuen Betroffenenrechts zukünftig Nutzerbegehren fügen müssen, in welchen die Übermittlung von erhobenen Daten an einen Dritten verlangt wird. Gleichzeitig werden sie in der mehr als zweijährigen Übergangsfrist gehalten sein, interoperable Formate zu entwickeln und einzurichten, welche eine reibungslose Datenübertragbarkeit ermöglichen (vgl. auch Erwägungsgrund 68).
Widerspruchsrecht bei einwilligungsloser Verarbeitung zur Wahrung berechtigter Interessen, Art. 21 DSGVO.
Erfolgt eine Datenverarbeitung durch den Verantwortlichen ohne Einwilligung aufgrund der gesetzesmäßigen Wahrnehmung berechtigter Interessen, so steht dem Betroffenen fortan das Recht zu, dieser Verarbeitung zu widersprechen.
Im Online-Handel dürfte das neue Widerspruchsrecht vor allem dann Bedeutung entfalten, wenn eine Datennutzung zu (berechtigten) Direktmarketingzwecken erfolgt, ohne dass der Betroffene eingewilligt hätte, und der Betroffene unter Verarbeitung seiner Daten mithin mit Werbemaßnahmen konfrontiert wird.
Grundsätzlich ist einem Widerspruch nur stattzugeben, wenn dieser unter Darlegung persönlicher Versagungsgründe erfolgt, welche die berechtigten Interessen des Verantwortlichen überwiegen.
Im Falle der Direktwerbung jedoch ist einem Widerspruch in die werbetechnische Datenverarbeitung auch ohne Angabe von Gründen und ohne Interessenabwägung stets folge zu leisten, Art. 21 Abs. 2 und 3 DSGVO. Der Widerspruch erstreckt sich in diesem Falle auch auf sämtliche Maßnahmen zur Erstellung von Nutzerprofilen, die mit der Werbung in Zusammenhang stehen.
Legt der Betroffene gegen die Datenverarbeitung zu Werbezwecken Widerspruch ein, so hat der Verantwortliche unverzüglich sicherzustellen, dass eine diesbezügliche Nutzung der personenbezogenen Daten fortan unterbleibt.
Lesezeichen