Zitat aus einer typischen E-mail Antwort von Unternehmen, die bei einer DSGVO-Auskunftsanfrage erst mal ohne Grund die Übersendung der Kopie eines Personalausweises anfordern:
“
Sehr geehrte Frau …../Herr ….
danke für Ihr Schreiben vom xx.mm.yyyy (Ihr Zeichen 12345/20) mit dem Sie mein DSGVO-Auskunftsersuchen vom xx.mm.yyyy leider nicht beantwortet haben, sondern in unzulässigerweise ohne begründete Zweifel – rein standardmäßig – die Übersendung einer Kopie meines Personalausweises anfordern.
Es ist zwar richtig, dass Sie zunächst Auskunftsersuchen nach Art. 15 DSGVO nur nach Prüfung der Identität erteilen, damit Auskünfte nur an die Betroffenen und nicht an unbefugte Dritte erteilt werden. Die Anforderung zusätzlicher Daten oder Dokumente ist aber nur bei Mitteilung begründeter Zweifel zulässig. Aber hier habe ich mit der gleichen E-mail max.musterman…….@…..de, die auch im Rahmen des Online-Verfahrens bei Ihnen für die Bestätigung und weitere Kommunikation verwendet wurde (siehe unten Bestätigung von career@hr.xygmbh.com an mich vom xx.mm.yyyy) mein Auskunftsersuchen mitgeteilt. Auch liegt Ihnen die Anschrift vor, an die Sie ja auch die Rückfrage gesendet haben.
Mein Name und die Kontaktdaten haben sich zwischenzeitlich auch nicht geändert. Insofern sind keine Zweifel ersichtlich und haben Sie unzulässigerweise rein standardmäßig die Personalausweiskopie angefordert.
Sie können ohne weiteres an diese hinterlegten Kontaktdaten entweder per E-mail oder per Post die Auskunft erteilen, ohne dass irgendein Missbrauch Dritter ersichtlich ist, noch haben Sie überhaupt begründete Zweifel mitgeteilt. Die Übermittlung einer Kopie des Personalausweis bedeutet für mich ein unnötiges zusätzliches Risiko. Zwar versuchen Sie das dadurch zu entschärfen, indem ich nun diese Anfertigen und die nicht benötigten Daten und Foto schwärzen soll, sodass nur noch Name und Adresse vorliegt, dann ist aber die Kopie des Personalausweises wohl auch sowieso wertlos und erscheint dies daher eher als eine Schikane als eine geeignete Massnahme zur Authentifizitätsprüfung.
Zudem stehen mir keine kostenlosen Tools zum sicheren Schwärzen zur Verfügung, diese sind in der Regel kostenpflichtig und erfordern zusätzliche Installationsmassnahmen.
Ich bitte daher nunmehr um Erteilung der geforderten Auskunft.
Ergänzend darf ich noch darauf hinweisen: Auch nach Ansicht der Aufsichtsbehörden ist nach meinen Informationen die standardmäßige Anforderung von Personalausweisen zur Legitimation als unzulässig eingestuft worden (vgl. ZD 2020, 279).
Im Übrigen muss ich inzwischen auch beanstanden, dass die xyz AG auf Ihren Karriereseiten ohne die erforderliche Einwilligung Google Analytics und anderen Tracking-Tools einsetzt und damit Nutzerdaten an Drittanbieter übersendet und so zur Profilbildung aller Nutzer der Webseiten ungefragt bei Google beiträgt. Eine vorherige Einwilligung ist jedoch erforderlich (vgl. zuletzt BGH-Cookie II Urteil). Diesem Datentransfer in ein unsicheres Drittland wie die USA ist auch spätestens seit dem Urteil vom 16.07.2020 des EUGH im Urteil “Schrems II” ausdrücklich die Rechtsgrundlage für solche Drittlandstransfers ohne Einwilligung der Betroffenen entzogen, jedenfalls ohne eine ausdrückliche Einwilligung des Betroffenen, weil das US Privacy Shield infolge der Massenüberwachung ungültig ist und die EU-Standardvertragsklauseln faktisch von Google nicht eingehalten werden oder werden können. Für den Einsatz von Trackern wie Google Analytics auf Webseiten ist aber ohnehin ein Cookie-Constent-Management-Tool einzusetzen, dass vor der freiwilligen Auswahl keine Cookies setzt – das ist bei Ihnen nicht der Fall, da die Cookies bereits bei Aufruf trotz des Cookie-Banners gesetzt werden. Siehe screenshot (erkennbar an der Ziffer 4 rechts im Screenshot – gemessen mit dem Tool Ghostery). Bitte passen Sie das rechtskonform an.
Ihrer fristgerechten Antwort bis zum 30.09.2020 sehe ich entgegen und behalte mir wegen der gerügten Themen weitere Betroffenenrechte vor….mit freundlichen Grüssen….”
