Skip to content

CNIL veröffentlicht Statistik zur DS-GVO

Die französische Datenschutzbehörde CNIL hat sich kürzlich zum Arbeitsaufwand seit der Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) geäußert. Die Zahlen finde ich recht beeindruckend.

Sie schreiben, dass im Gesamtjahr bisher 9.700 Beschwerden eingegangen sind. Davon sind etwa 6.000 seit dem 25. Mai entstanden. Das heißt, es gab einen enormen Anstieg der Beschwerden seit der Anwendbarkeit der DS-GVO.

Interessant finde ich auch die Zahl der gemeldeten Datenpannen. Sofern ich den Artikel richtig verstehe, gab es durchschnittlich sieben Meldungen am Tag oder insgesamt 1.000. Weiterhin gibt es 32.000 Datenschutzbeauftragte.

Der Bericht listet dann weitere Maßnahmen, die das CNIL gemacht hat. Insgesamt finde ich das sehr interessant und mich würde interessieren, wie die Lage in Deutschland ist. Vielleicht äußern sich die Aufsichtsbehörden in den nächsten Tagen.

(Übersetzung kam von Google Translate bzw. Deepl ;-))

Benötigt die Universität meine Einwilligung für die Bewerbung?

Stellenausschreibung OVGU
Stellenausschreibung von der Otto-von-Guericke-Universität Magdeburg

Ich stolperte vor kurzem über Stellenauschreibungen. Rechts seht ihr beispielhaft eine Ausschreibung der Otto-von-Guericke-Universität in Magdeburg (OVGU). Am Ende des Textes findet sich folgende Anmerkung:

Zur Verarbeitung Ihrer Bewerbung ist gemäß der Datenschutz-Grundverordnung sowie des Bundesdatenschutzgesetzes (neu) Ihre Einwilligung zur zweckgebundenen Speicherung Ihrer personenbezogenen Daten schriftlich beizulegen. Die Zustimmung kann jederzeit widerrufen werden.

Jetzt stellt euch vor, ihr interessiert euch für die Stelle und macht eure Unterlagen fertig. Neben Anschreiben, Lebenslauf, Zeugnissen etc. muss natürlich auch die Einwilligung mitgeschickt werden. Doch woher bekommt ihr die?

Meine Annahme war, dass diese auf den Seiten der Universität zu finden ist. Eine Suche nach dem Schlagwort ergab zwar mehr als 250 Treffer. Soweit ich es sah, fand sich darunter kein relevantes Formular. Ihr sagt euch nun, früher benötigte auch niemand eine Einwilligung und schickt eure Unterlagen einfach so raus.

Doch was muss der Sachbearbeiter an der OVGU tun bzw. denken? Er öffnet eure Unterlagen und hat eine Vielzahl von personenbezogenen Daten vor sich. Im Sinne der Datenschutz-Grundverordnung verarbeitet er diese. Aber hat die Universität nicht oben erklärt, dass diese meine Einwilligung benötigt? Ohne diese wäre doch dann eine Verarbeitung nicht rechtmäßig und der Sachbearbeiter müsste eventuell alle personenbezogenen Daten unverzüglich löschen!

Die Situation klingt ganz schön vertrackt und man könnte durchaus auf die Idee kommen, auf die DS-GVO zu schimpfen, weil sie ja alles so kompliziert und unpraktikabel macht. Natürlich könnte man auch auf die Idee kommen, sich zu fragen, ob eine Einwilligung überhaupt das richtige Mittel ist. Denn erst dadurch entstehen die oben geschilderten Probleme. In der Tat bietet der Artikel 6 der DS-GVO andere Rechtsgrundlagen. Eine Bewerbung wird ja eingereichtet, mit dem Ziel einen Vertrag abzuschließen. Zu dem Zweck dürfen personenbezogene Daten auch ohne Einwilligung verarbeitet werden. Das wäre doch für diesen Fall perfekt.

Das heißt, aus meiner Sicht macht es sich die OVGU hier unnötig schwer. Vielleicht sind sie ja nicht ohne Grund gerade auf der Suche nach einem Datenschutzmanager. :-)

Eine Auskunft nach der DS-GVO bitte

Viele von euch werden Ende Mai viele E-Mails erhalten haben. Firmen wollten unbedingt Informationen über deren hervorragenden Datenschutz loswerden und in einigen Fällen wurde dazu aufgerufen, in irgendetwas einzuwilligen. Doch ging es euch auch so, dass da Firmen dabei waren, von denen ihr noch nie gehört habt?

Mir ging es so. Ich bekam einige E-Mails von Firmen, die ich nicht kenne und wo ich mich nicht erinnern kann, mit denen in einer Beziehung zu stehen. Ein Blick in die Datenschutz-Grundverordnung zeigt, dass es da ein wichtiges Recht für mich als Bürger gibt: das Auskunftsrecht.

Also werde ich das jetzt mal anwenden. Mit dem untenstehenden Muster schreibe ich die Firmen an und bitte um Auskunft. Falls ihr mögt, könnt ihr dies ebenfalls verwenden. Das lässt sich aber auch noch erweitern bzw. anpassen.

Sehr geehrte Damen und Herren,


die untenstehende E-Mail erreichte mich auf meiner persönlichen E-Mail-Adresse <FOO@example.com>. Nach Art. 15 DS-GVO habe ich ein Auskunftsrecht über meine personenbezogenen Daten.


Bitte teilen Sie mir daher gemäß Art. 15 Abs. 1 DS-GVO mit, ob Sie personenbezogene Daten verarbeiten und geben Sie ggf. Auskunft über diese Daten. Insbesondere möchte ich Sie bitten, mir die folgenden Informationen mitzuteilen:

  1. Welche Daten über meine Person sind bei Ihnen gespeichert oder werden durch Sie verarbeitet?
  2. Zu welchem Zweck wurden diese Daten verarbeitet?
  3. Welchen Empfängern oder Kategorien von Empfängern wurden meine personenbezogenen Daten offengelegt?
  4. Sofern die personenbezogenen Daten nicht bei mir erhoben wurden, geben Sie mir bitte alle verfügbaren Informationen über die Herkunft der Daten.
  5. Falls meine personenbezogenen Daten an ein Drittland oder eine internationale Organisation übermittelt wurden, bitte ich Sie, mir mitzuteilen, welche Garantien gemäß Art. 46 DS-GVO vorgesehen sind.

Gemäß Art.15 Abs. 3 DS-GVO bitte ich um eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.


Ich bitte Sie, mir diese Auskunft unverzüglich zu erteilen. Sollte ich binnen eines Monats nach Versand dieser E-Mail keine Rückmeldung erhalten, werde ich mich an die zuständige Aufsichtsbehörde wenden.

Mit freundlichen Grüßen

Der oben zitierte Art. 15 bietet noch das Recht auf mehr Informationen. Die in dem oben genannten Schreiben sind mir aber die wichtigsten Punkte. Daher habe ich das etwas eingekürzt.

Wenn ihr den Brief ebenfalls verwendet, würde ich mich über eure Erfahrungen freuen. Ich werde ggf. ebenfalls interessante Begebenheiten bloggen.

cronjob