Missbräuchliche Geltendmachung von Betroffenenrechten!

In der letzten Zeit gibt es hohe Zahl von Meldungen über missbräuchlich anmutende Anfragen zu Betroffenenrechten gem. Art. 15-22 DS-GVO. Das Vorgehen zielt hierbei darauf ab, unter Aufbau einer Drohkulisse Verantwortliche zur außergerichtlichen Zahlung eines immateriellen Schadensersatzes in vierstelliger Höhe an den Betroffenen zu bewegen sowie zur Erstattung der angeblich entstandenen Rechtsanwaltskosten.

Folgende zwei Szenarien sind bislang bekannt:

(1) Anfrage über ein Kontaktformular: Bei diesem Szenario meldet sich eine Person über das auf der Webseite des Unternehmens geschaltete Kontaktformular und bittet um Rückruf. Versucht das Unternehmen dann im Nachgang die entsprechende Person unter der angegebenen Rufnummer zu erreichen, wird der Anruf nicht angenommen. Ein paar Wochen später meldet sich die Person wieder. Diesmal wird gefragt, welche Daten das Unternehmen gespeichert hat und es wird die Löschung der Daten verlangt.

(2) Newsletter-Abonnement: Eine Person abonniert einen Newsletter auf der Webseite des Unternehmens. Kurz darauf wird das Unternehmen kontaktiert und um Auskunft über gespeicherte Daten gebeten und ebenfalls wieder um Datenlöschung.

Die Herausforderungen, mit denen sich die Verantwortlichen in diesen Fällen konfrontiert sehen, sind häufig identisch:

  • Die personenbezogenen Daten werden direkt gelöscht, dem Auskunftsersuchen wird nicht entsprochen.
  • Es wird beauskunftet, dass keine personenbezogenen Betroffenendaten verarbeitet werden, obwohl zumindest die Rufnummer/E-Mail-Adresse des Betroffenen vorliegt.
  • Es wird nicht reagiert.

Zeitlich nachgelagert meldet sich bei den Unternehmen ein Rechtsanwalt, welcher namens und im Auftrag seiner Mandantschaft wegen mutmaßlicher Verletzung der Betroffenenrechte (unvollständige Auskunft, falsche Auskunft, vorschnelle Löschung – keine Auskunft) immateriellen Schadensersatz in vierstelliger Höhe (meist zwischen 1.500 € – 2.500 €) geltend macht und darüber hinaus die Vergütung für seine anwaltliche Tätigkeit einfordert (zwischen 500 € – 600 €). Weiterer Druck wird auf die Unternehmen durch Androhung eines mit angeblich zwangsläufig weitaus höheren Kosten verbundenen gerichtlichen Verfahrens aufgebaut.

Das Unternehmen kann sich danach von der Schadenersatzpflicht nur befreien, wenn es nachweist, dass es „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.” Dies wiederum ist dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DS-GVO) in aller Regel nur möglich, wenn er die von ihm getroffenen Maßnahmen zur Bearbeitung von Betroffenenbegehren im erforderlichen Umfang dokumentiert.

Der Verantwortliche hat einen Monat nach Eingang des Antrags Zeit, um die betroffene Person über die aufgrund des Betroffenenbegehrens ergriffenen Maßnahmen zu unterrichten. Zu beachten ist, dass Anträge zur Wahrnehmung der Betroffenenrechte über verschiedenste Kommunikationskanäle eingereicht werden können. Verantwortliche sollten, um eine falsche Negativbeauskunftung Betroffener zu vermeiden, nicht nur alle Unternehmensbereiche erneut sensibilisieren, sondern auch eine Erhebung über mögliche Datenpools im Unternehmen aus sämtlichen Fachabteilungen anfertigen.

Alle Mitarbeiter/innen die über eine öffentliche Kontaktadresse/-nummer verfügen, sollten bei Fragen über gespeicherte Daten direkt den Kontakt zu der mit den Datenschutzthemen beauftragten Person im Unternehmen (betriebliche/externe Datenschutzbeauftragte, DS-Koordinator/innen, DS-Manager/innen etc.) suchen und Rücksprache halten.

Wichtig bei der Herangehensweise sind folgende Schritte:

  • Identifikation der betroffenen Person (ggf. Art. 11. Abs. 2 DS-GVO beachten)
  • Überprüfung der personenbezogenen Daten in allen Systemen – ggf. sind Newsletter-Abonnenten nicht in der Kunden-/Mitgliederdatenbank zu finden oder es gibt andere Kundenbindungs-/Werbesysteme
  • Beachtung aller angesprochenen Betroffenenrechte – nicht die Daten zuerst löschen und dann angeben, dass keine personenbezogenen Daten vorhanden sind
  • Beachtung der 1‐Monats‐Frist, ggf. über Notwendigkeit der Fristverlängerung informieren

Bei Erhalt eines solchen Anwaltsschreibens sollte das Unternehmen unbedingt reagieren und – soweit möglich – das Bestehen des Anspruchs sachlich begründet bestreiten. Untätigbleiben kann zu einem Mahn-/Vollstreckungsbescheid und im Falle eines Einspruchs gegen Letzteren zu einem Zivilprozess vor dem zuständigen Mahngericht führen. Hilfreiche Hinweise bei der Abwehr entsprechender Ansprüche kann dabei ggf. auch eine Internetrecherche bzgl. der konkret abmahnenden Stelle liefern.

Sollten Sie Anfragen erhalten oder ein Anwaltsschreiben, informieren Sie bitte umgehend die mit den Datenschutzthemen beauftragte Person im Unternehmen. Lieber einmal zu viel als einmal zu wenig!