Brief an Facebook – Was wissen Sie über mich?
Die DSGVO gibt EU-Bürgern das Recht, Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Unser Mitarbeiter Thomas Konrad hat von diesem Recht Gebrauch gemacht und Facebook einen Antrag auf Auskunft geschickt.
Seit heute ist die neue Datenschutz-Grundverordung (DSVGO) in Kraft, laut der Einwohner der EU Unternehmen gegenüber Rechte bezüglich der Verarbeitung persönlicher Daten geltend machen können. Dazu gehört auch eine Auskunfstspflicht und die Pflicht der Unternehmen, auf Antrag bestimmte Daten zu löschen.
Ich habe heute einen Brief an den Datenschutzbeauftragten (Data Protection Officer, DPO) in der Europazentrale von Facebook in Irland gesendet, um umfassende Auskunft darüber zu bekommen, was Facebook über mich weiß. Ich fand es enttäuschend, trotz intensiver Suche auf den Facebook-Seiten nirgends eine E-Mail-Adresse des DPO zu finden. So habe ich den Antrag auf Auskunft gemäß Artikel 15 DSGVO eben mit der Post verschickt – natürlich per Einschreiben.
Das Schreiben (Original in Englisch) findet ihr unten.
Ich werde euch über den weiteren Fortgang der Ausübung meiner in der DSGVO verbrieften Rechte auf dem Laufenden halten!
An:
Facebook Ireland Ltd.
–Data Protection Officer–
4 Grand Canal Square
Grand Canal Harbour
Dublin 2 IrelandAntrag auf Auskunft gemäß Art. 15 DSGVO
München, 25. Mai 2018
Sehr geehrte Damen und Herren,
als EU-Bürger mit Wohnsitz in der EU bitte ich Sie, mir alle Daten zur Verfügung zu stellen, die Ihr Unternehmen (einschließlich aller verbundenen Unternehmen) über mich gesammelt hat – inklusive aller Daten, die Ihrem Unternehmen von Dritten zur Verfügung gestellt wurden und die Ihr Unternehmen mit Tracking-Skripten oder anderer Software auf Websites oder in Apps anderer Anbieter gesammelt hat. Mich interessieren auch alle pseudonymisierten Daten, die irgendeine Art Online-Identifikator (online identifier) enthalten. Bitte senden Sie mir alle auf Ihren Servern gespeicherten „Rohdaten“ (inklusive aller URLs, Identifikatoren, Zeitstempel und Verhaltensdaten) unverändert und vollständig zu.
Außerdem interessiert mich, was Ihr Unternehmen aus diesen Daten ermittelt. Bitte senden Sie mir die Endprodukte der Verarbeitung der oben genannten Daten zu, einschließlich aller Informationen über den Zweck und die Kategorisierung der verarbeiteten Daten. Bitte senden Sie mir auch Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik zu.
Bitte teilen Sie mir mit, in welchem Land die oben genannten Daten von Ihrem Unternehmen gespeichert und verarbeitet werden. Ich bitte zudem um Auskunft, ob Ihr Unternehmen die oben genannten Daten in einer Weise speichert, die es ermöglicht, die Daten über meine Internet-, Shopping-, Reise- und andere Aktivitäten auf und außerhalb von Facebook (z.B. durch Verwendung von Identifikatoren, Fingerprinting, sitzungsbasierten oder anderen Technologien) meinem Facebook-, WhatsApp- und Instagram-Konto zuzuordnen oder anderen von Ihrem Unternehmen verwendeten Formen der Identifizierung. Teilen Sie mir in diesem Zusammenhang bitte auch mit, ob und wie Ihr Unternehmen diesen Konten oder Identitäten zugeordnete Daten kombiniert.
Ich fordere ferner Informationen darüber an, ob und wie Ihr Unternehmen Technologien einsetzt oder eingesetzt hat, um Daten zu deanonymisieren, die Online-Identifikatoren zugeordnet sind, so dass sie mir zugeordnet werden könnten oder mich als einen bestimmten Benutzer oder eine konkrete Person identifizieren.
Ich bitte Sie zudem um Auskunft darüber, ob Ihr Unternehmen Daten über meine Online-Identitäten bei nicht von Ihrem Unternehmen betriebenen Diensten (z.B. mein Google-, Twitter-, Amazon- oder E-Mail-Konto) speichert und verarbeitet. Mich interessiert ggf. auch der Zweck dieser Datenverarbeitung.
Sammelt oder sammelte von Ihrem Unternehmen eingesetzte Software (z.B. APIs oder Tracking-Skripte) Daten über den Inhalt von Websites oder Anwendungen, die nicht von Ihrem Unternehmen betrieben werden? Falls ja, werden diese Daten zusammen mit irgendeiner Art Online-Identifikator gespeichert? Sammelt oder sammelte die Software Ihres Unternehmens (z.B. APIs oder Tracking-Skripte) Daten über das Verhalten eines Internetnutzers (z.B. Klicks, Scrollvorgänge) und/oder die Eingaben eines Internetnutzers auf Websites oder in Apps (z.B. beim Eintragen persönlicher Informationen in ein Webformular) zusammen mit irgendwelchen Online-Identifikatoren? Sollte dies der Fall sein, beantrage ich Zugang zu diesen Informationen gemäß Art. 15 DSGVO.
Informationen zu meinen Konten bei Ihrem Unternehmen
Facebook: https://www.facebook.com/[Kontoname]
Instagram: [Kontoname]
WhatsApp: [Mobilfunknummer]
Als Identitätsnachweis habe ich eine Kopie meines Ausweises beigelegt.Leider habe ich keine Kontaktinformationen gefunden, um diesen Antrag auf elektronischem Wege zu stellen (was, nebenbei bemerkt, nicht sehr vebraucherfreundlich ist). Ich wäre Ihnen dankbar, wenn Sie mir die angeforderten Informationen und Antworten auf meine Fragen in elektronischer Form zukommen ließen, sei es durch eine sichere Downloadmöglichkeit (bevorzugt) oder in Form eines physischen Datenträgers. Meine E-Mail-Adresse lautet [name@domain]. Teilen Sie mir bitte mit, wie ich Ihren Datenschutzbeauftragten für die weitere Kommunikation auf elektronischem Wege kontaktieren kann.
Zusätzlich zu meinem Antrag auf Auskunft gemäß Art. 15 DSGVO beantworten Sie mir bitte folgende Fragen:
Haben irgendwelche Dritte (unbeabsichtigt oder absichtlich) Zugriff auf personenbezogene Daten (einschließlich pseudonymisierter Daten in Verbindung mit irgendwelchen Identifikatoren) erhalten, die Ihr Unternehmen über mich oder mein Verhalten gesammelt hat?
Welche anderen Online-Identifikatoren außer der Konto-ID speichert und verarbeitet Ihr Unternehmen und zu welchem Zweck?
Wie kann ich die oben genannten Daten korrigieren, löschen oder übertragen?
Wie kann ich einer weiteren Datenerhebung durch Ihr Unternehmen widersprechen, wenn ich Websites oder Apps nutze, die nicht von Ihrem Unternehmen betrieben werden?
Mit freundlichen Grüßen
Thomas Konrad