Datenschutzkonform Auskunftsanfrage Detailhaendler

Ich habe bei den grossen Detailhändlern nach meinen Daten gefragt – das ist passiert

Michael Schlotter – Sowohl das Schweizer Datenschutzgesetz (DSG) als auch die Europäische Datenschutzgrundverordnung (DSGVO) gewähren uns das Recht, Auskunft über die Daten zu verlangen, die Unternehmen über uns speichern und verarbeiten. Wie gehen Schweizer Detailhändler mit solchen Anfragen um und können andere Unternehmen davon lernen? Um das herauszufinden, habe ich mich an einige der grössten Detailhändler gewandt und spannende Einblicke gewonnen.


Über das Auskunftsrecht informieren

Unternehmen sind verpflichtet, betroffene Personen in geeigneter Weise darüber zu informieren, welche Rechte ihnen zustehen und wie sie diese ausüben können. Diese Informationen werden üblicherweise in der Datenschutzerklärung auf der Website bereitgestellt. Der erste Schritt besteht daher darin, die Website des Unternehmens aufzurufen und im Footer nach der Datenschutzerklärung zu suchen. Dort finden sich in der Regel die erforderlichen Angaben sowie Kontaktmöglichkeiten.

Bei den geprüften Unternehmen war die Datenschutzerklärung auffindbar, und die jeweiligen Betroffenenrechte waren klar beschrieben. Somit haben alle ihre grundlegenden Verpflichtungen diesbezüglich erfüllt. Auffällig war jedoch, dass einige Detailhändler in der Schweiz in Bezug auf Betroffenenrechte auf die Europäische DSGVO verweisen.

datenschutzkonform Betroffenenrechte

Wie in der Datenschutzerklärung von Lidl ersichtlich, verweisen mehrere Anbieter auf die DSGVO. Zwar stimmen das Auskunftsrecht der DSGVO und des DSG inhaltlich überein, dennoch gibt es Unterschiede zwischen den beiden Regelwerken. Ein Verweis auf das DSG wäre daher angemessen, insbesondere da sich die Mehrheit der Kunden dieser Detailhändler in der Schweiz befindet oder spezifische Länderwebsites für die Schweizer Kundschaft existieren, wie es beispielsweise bei Aldi und Lidl der Fall ist.


Kontaktaufnahme

Sechs der sieben angefragten Unternehmen haben um eine Kontaktaufnahme per E-Mail gebeten. Entsprechend habe ich mich mit einer Kopie meines Ausweises und einer einfachen Anfrage per E-Mail an die jeweiligen Unternehmen gewandt.

datenschuztkonform Auskunftsanfrage

Einzig bei der Migros wird ein Webformular für Auskunftsanfragen verwendet, das unter privacy.migros.ch verfügbar ist. Diesen Ansatz verfolgen wir bei datenschutzkonform.ch ebenfalls mit unseren Kunden, um ein standardisiertes und effizientes Vorgehen sicherzustellen.

Auffällig war ausserdem, dass Coop nach wenigen Tagen ein handschriftlich unterzeichnetes Dokument zur Verifikation der Anfrage angefordert hat. Dabei liesse sich argumentieren, dass die Verifikation bereits durch die Nutzung einer E-Mail-Adresse, die Coop bekannt ist und eindeutig mir zugeordnet werden kann, gewährleistet wäre. Aus Sicht des Risikomanagements ist gegen dieses Vorgehen jedoch nichts einzuwenden. Es führt allerdings dazu, dass die anfragende Person mit zusätzlichem administrativem Aufwand belastet wird.


Wartezeit

Unternehmen sind verpflichtet, Auskunftsanfragen innerhalb von 30 Tagen zu beantworten. Für die angefragten Detailhändler scheint dies keine Herausforderung darzustellen, da alle sieben Anbieter meine Anfrage innerhalb dieses Zeitraums beantwortet haben. In den meisten Fällen wurde der Prozess sogar in weniger als zwei Wochen abgeschlossen.


Übermittlung der Daten – viele Wege führen nach Rom

Bei der Übermittlung der Daten scheint sich bislang keine einheitliche Best Practice etabliert zu haben. Die Antworten der Detailhändler wurden auf unterschiedliche Weise bereitgestellt: per E-Mail (Lidl, Aldi, Volg), eingeschriebener Post (Landi), über ein Portal-Login (Migros, Coop) sowie mittels eines verschlüsselten RAR-Files (Digitec Galaxus).

Das DSG schreibt keine spezifische Form für die Datenübermittlung vor, sodass alle Detailhändler korrekt gehandelt haben. Als Empfänger der Daten empfand ich jedoch den Ansatz des Webportals von Migros und Coop als besonders benutzerfreundlich. Dieses Vorgehen ermöglicht eine Multifaktor-Authentifizierung und ist für beide Seiten unkompliziert.

Das verschlüsselte RAR-File von Digitec Galaxus ist zwar ebenfalls korrekt, könnte jedoch für einige Betroffene eine Hürde darstellen. Auch ich musste zunächst eine passende Software finden, um das RAR-File zu öffnen, was den Prozess erschwerte.


Gesammelte Daten

Ein Vergleich der Antworten ist hier schwierig, da drei der sieben Detailhändler mir mitgeteilt haben, dass sie keine Daten von mir bearbeiten. Ein weiterer entscheidender Faktor ist, ob ich eine Kundenkarte des jeweiligen Detailhändlers besitze oder nicht. Es liegt auf der Hand, dass durch die Nutzung einer Kundenkarte mehr Daten gesammelt werden können als bei reinen Online-Bestellungen.

Positiv hervorzuheben ist, dass die mir mitgeteilten Daten stets im Rahmen der in den Datenschutzerklärungen beschriebenen Verarbeitung lagen – es gab also keine unangenehmen Überraschungen.


Fazit – Webformulare und Portale für mehr Effizienz

Die kontaktierten Detailhändler haben ihre Pflichten im Bereich Datenschutz allesamt erfüllt. Besonders überzeugend war das Vorgehen der Migros, die sowohl ein Webformular als auch ein Portal zur Bearbeitung der Anfrage nutzen. Dieses Verfahren erleichtert die Kommunikation zwischen Anfragenden und Antwortenden erheblich. Rückfragen werden dadurch meist überflüssig, und die sichere Übermittlung der Daten kann dank Multifaktor-Authentifizierung (MFA) gewährleistet werden.


Prozesse testen – kontaktieren Sie uns!

Haben Sie in Ihrem Unternehmen bereits Erfahrungen mit der Bearbeitung von Auskunftsanfragen gesammelt? Überprüfen Sie Ihre aktuellen Prozesse und überlegen Sie, ob Sie diese durch den Einsatz von Webformularen oder Onlineportalen – beispielsweise mit Lösungen von datenschutzkonform.ch – effizienter gestalten können. Wir unterstützen Sie gerne dabei, Ihre Abläufe zu optimieren und finden gemeinsam passende Lösungen.

450 430 datenschutzkonform.ch
Nach Inhalten suchen

Datenschutzeinstellungen

Wenn Sie unsere Website besuchen, können über Ihren Browser Informationen von bestimmten Diensten gespeichert werden, normalerweise in Form von Cookies. Hier können Sie Ihre Datenschutzeinstellungen ändern. Beachten Sie, dass das Blockieren bestimmter Arten von Cookies Auswirkungen auf Ihre Erfahrung auf unserer Website und auf die von uns angebotenen Dienste haben kann.

Aus Leistungs- und Sicherheitsgründen verwenden wir Cloudflare
required

Unsere Website verwendet Cookies, hauptsächlich von Drittanbietern. Definieren Sie Ihre Datenschutzeinstellungen und/oder stimmen Sie der Verwendung von Cookies zu.