Im Rahmen der Geltendmachung von Betroffenenrechten kommt es häufig vor, dass Dritte in Vertretung der betroffenen Person datenschutzrechtliche Ansprüche in dessen Namen geltend machen wie bspw. durch Rechtsanwälte. In diesem Zusammenhang ist es wichtig zu wissen, auf was Verantwortliche achten müssen.
Die Vollmacht
Generell sind die Anforderungen an eine Vollmacht kein datenschutzrechtliches, sondern ein zivilrechtliches Thema. Die Datenschutz-Grundverordnung (DSGVO) regelt diese Frage leider nicht, sodass nationale Rechtsvorschriften über die rechtmäßige Vertretung heranzuziehen sind. Hierbei können insbesondere Normen aus dem BGB eine Rolle spielen. Aber es können auch andere Rechtsvorschriften auf nationaler Ebene in Betracht kommen, die besondere Anforderungen an den Nachweis der Berechtigung zur Stellung eines Antrags im Namen der betroffenen Person vorgeben können.
Obwohl das Auskunftsrecht in der Regel von den betroffenen Personen selbst ausgeübt wird, ist es eben auch möglich, dass ein Dritter im Namen der betroffenen Person einen Antrag stellt. Gleiches gilt auch beim Widerruf einer Einwilligung. Auch dies ist in Vertretung möglich. Aus datenschutzrechtlicher Sicht sollte bei der Geltendmachung von datenschutzrechtlichen Ansprüchen vor allem dem Auskunftsersuchen in Vertretung folgendes berücksichtigt werden.
Geltendmachung datenschutzrechtlicher Ansprüche in Vertretung
Geht dem Verantwortlichen eine Vollmacht zu, sollte er aus datenschutzrechtlicher Hinsicht darauf achten, dass diese sowohl echt, aktuell und nachweisbar ist als (auch) die Geltendmachung datenschutzrechtlicher Ansprüche umfasst. So sieht dies beispielsweise auch der bayerischen Landesbeauftragte für den Datenschutz in dessen Orientierungshilfe (OH) „Recht auf Auskunft nach der Datenschutz Grundverordnung“ unter Rn29f.
Echtheit und Nachweisbarkeit
Wird ein Auskunftsbegehren durch einen Rechtsanwalt für einen Mandanten eingebracht, ist dem Auskunftsbegehren die Vollmacht des Mandanten stets anzuschließen. Hier sollte man sich stets die Vollmacht im Original vorlegen lassen. Bestehen Zweifel an der Echtheit einer Vollmacht, muss der Verantwortliche versuchen, diese Zweifel auszuräumen (Art. 12 Abs. 6 DSGVO). Unter bestimmten Umständen kann eine Überprüfung der Identität der auskunftsberechtigten Person sowie deren Befugnis, im Namen der betroffenen Person zu handeln, erforderlich sein, wenn dies angemessen und verhältnismäßig ist. So sieht dies auch der europäische Datenschutzausschusses in seiner Leitlinie 01/2022, Version 2.1 und führt wie folgt aus: „Nach dem Grundsatz der Rechenschaftspflicht sowie anderen Datenschutzgrundsätzen muss der Verantwortliche nachweisen können, dass eine entsprechende Berechtigung für die Stellung eines Antrags im Namen der betroffenen Person und den Erhalt der angeforderten Informationen vorgelegen hat, es sei denn, das nationale Recht enthält abweichende Regelungen (z. B. besondere Vorschriften über die Vertrauenswürdigkeit des Anwalts), sodass der Verantwortliche nur die Identität des Bevollmächtigten überprüfen muss (indem er z. B. im Falle des Anwalts dessen Zulassung über die Anwaltskammer prüfen kann).“
Aktualität
Das Datum der Erteilung sowie die Unterschrift des Vollmachtgebers sind wichtig, um die Gültigkeit der Vollmacht zu bestätigen.
Bestenfalls sollte die Vollmacht genau festlegen, welche Rechte der Bevollmächtigte in Vertretung geltend machen kann – wie insbesondere das Recht auf Auskunft. Soweit bspw. die Auskunft an die Vertreterin oder den Vertreter erteilt werden soll, muss dies auch in der Vollmacht enthalten sein bzw. alternativ aus den Umständen zweifelsfrei dem Willen der Vollmachtgeberin oder des Vollmachtgebers entsprechen. Wenn nicht eindeutig feststeht, was die Vertretungsmacht umfasst, so gilt im Falle rechtsgeschäftlich erteilter Vollmachten, dass dies im Zweifel durch Auslegung zu ermitteln ist. Siehe hierzu neben den Ausführungen des bayerischen Landesbeauftragte für den Datenschutz in dessen OH „Recht auf Auskunft nach der Datenschutz Grundverordnung“ unter Rn29f. auch Rn 110 der OH Einwilligung nach der Datenschutz-Grundverordnung des bayerischen Landesbeauftragten für den Datenschutz.
Fazit
Zusammenfassend lässt sich festhalten, dass die Anforderungen an eine Vollmacht im datenschutzrechtlichen Kontext vor allem durch nationale Regelungen bestimmt werden. Die Sicherstellung der Echtheit und Nachweisbarkeit von Vollmachten sowie deren konkretem Umfang ist unerlässlich, um die Rechte der betroffenen Personen zu schützen und rechtliche Unsicherheiten zu vermeiden. Verantwortliche sollten daher sorgfältig darauf achten, dass Vollmachten aktuell und klar definiert sind, um die Vertretungsbefugnis im Rahmen der Geltendmachung von Betroffenenrechten wie insbesondere Auskunfts- und Widerrufsrechten zu gewährleisten. Nur durch eine präzise Handhabung dieser Aspekte kann der verantwortliche Umgang mit personenbezogenen Daten im Einklang mit den datenschutzrechtlichen Vorgaben sichergestellt werden.