Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat in einem Rundschreiben seine Mitglieder vor missbräuchlichen Auskunftsanfragen gewarnt.

Darin werden zwei Szenarien beschrieben:

Bitte um Rückruf über Kontaktformular

Über ein Kontaktformular wird unter Angabe einer Telefonnummer um Rückruf gebeten. Versucht man zurückzurufen, meldet sich niemand. Etwas später fragt eine Person an, welche Daten vom Unternehmen gespeichert werden und verlangt die Löschung der Daten.

Abonnement eines Newsletters

Eine Person abonniert einen Newsletter des Unternehmens. Auch hier fordert der Abonnent danach vom Unternehmen Auskunft über die gespeicherten Daten und um die Löschung.

Sollte in den beiden Fällen den Anfragen nicht nachgekommen werden, meldet sich ein Anwalt und verlangt im Auftrag seines Mandanten Schmerzensgeld in Höhe von bis zu 2.500 Euro und Honorarvergütung in Höhe bis zu 600 Euro. Außerdem wird mit Klage gedroht.

Die GDD berichtet nicht davon, dass mit der Aufsichtsbehörde gedroht wird. Dies lässt den Schluss zu, dass es der betroffenen Person vor allem um die Abschöpfung von Geld geht und nicht um die Durchsetzung ihrer Rechte.

Rechtlicher Hintergrund

Zunächst ist der Anspruch auf Auskunft und Löschung von Daten in Art. 15 bzw. 17 DSGVO geregelt.  Weiter regelt Art. 12 DSGVO, dass die Rechte innerhalb eines Monats, unter bestimmten Voraussetzungen innerhalb von drei Monaten, nach Eingang des Antrags zu erfüllen sind.

Sollte gar nicht, verspätet, falsch oder auch unvollständig beauskunftet oder gelöscht werden, stellt dies einen Datenschutzverstoß dar. Schmerzensgeld kann verlangt werden, wenn der Datenschutzverstoß kausal für einen Schaden ist. Ein Schaden kann bspw. der Kontrollverlust über eigene Daten sein. Die Voraussetzungen für einen Schmerzensgeldanspruch in Fällen wie hier sind aber noch nicht durch die Rechtsprechung geklärt.

Wie reagieren?

Prozess prüfen und Monatsfrist einhalten

Zunächst ist sicherzustellen, dass die Frist von einem Monat eingehalten werden kann. Dazu bedarf es eines Prozesses. Es muss sichergestellt werden, dass klar definiert ist, wer solche Anfragen bearbeitet und beantwortet. Sollte solch ein Prozess nicht bestehen, ist jetzt die Gelegenheit, diesen ins Leben zu rufen. Wichtig dabei ist der Hinweis, dass man anfragende Personen nicht auf einen Kommunikationskanal (nur per E-Mail oder nur schriftlich) festlegen kann. So fordert die Aufsichtsbehörde in Berlin in ihrem Jahresbericht für 2020 auf Seite 166, dass “alle technisch aktiven E-Mail-Adressen (…) überwacht werden [müssen]. Das heißt, dass auch die Kontaktmöglichkeiten im Impressum für solch eine Anfrage genutzt werden können. Auch die Beschäftigten, die eine info@ Adresse überwachen, müssen daher in den Prozess einbezogen werden.

Ist die anfragende und die betroffene Person identisch?

Grundsätzlich kann nur die betroffene Person oder ein von ihr hierzu Bevollmächtigter einen Auskunftsanspruch geltend machen. Daher muss sichergestellt werden, dass vor jeder Beantwortung einer Anfrage, die anfragende Person auch tatsächlich die betroffene Person ist, der das Auskunftsrecht zusteht. So könnte man einen Rechtsanwalt unter unverzüglicher Zurückweisung des Auskunftsersuchen um die Vorlage der Vollmacht bitten. Hierzu hat hat das OLG Stuttgart festgestellt, dass auch im Rahmen einer Auskunft die Original-Vollmacht vorgelegt werden muss. Eine elektronische Form genüge nicht.

Verweigerung der Auskunft möglich?

Unter bestimmten Voraussetzungen bietet das Gesetz die Verweigerung oder Einschränkung der Auskunft an. Das kann zum Beispiel bei Geheimhaltungspflichten der Fall sein. Näheres ergibt sich aus Art. 14 DSGVO und §§ 27 BDSG ff.

Vollständige Auskunft erteilen

Wenn eine Auskunft eingefordert wird, muss eine vollständige Auskunft erteilt werden. Hierzu muss im Unternehmen sichergestellt werden, wo personenbezogene Daten der anfragenden Person vorliegen. Hier kann das Verzeichnis für Verarbeitungstätigkeiten eine Unterstützung sein (sofern dies aktuell ist). Es sind also alle Abteilungen abzufragen, ob über die Person Daten vorliegen.

Über was zu beauskunften ist, regelt Art. 15 DSGVO.

Es gibt keine Negativauskunft!

Es kann keine Auskunft geben, man habe keine Daten über die Person gespeichert. Da man für die Auskunft zwangsläufig einen Kontakt benötigt, besteht damit auch ein personenbezogenes Datum, über das beauskunftet werden muss.

Keine voreilige Löschung

Auch wenn die betroffene Person eine Löschung seiner Daten fordert, heißt das nicht, dass das Unternehmen dies tun muss. Dagegen können beispielsweise gesetzliche Aufbewahrungsfristen aus dem HGB oder der AO stehen. Dies muss dann aber auch so mitgeteilt werden.

Art. 13 Information nicht vergessen

Wenn zu guter Letzt beauskunftet wird, darf die Information über die Datenverarbeitung nach Art. 13 DSGVO nicht vergessen werden. Denn für die Versendung und auch der Protokollierung, dass das Unternehmen der Auskunft oder Löschung nachgekommen ist, werden personenbezogene Daten verarbeitet.

Fazit

Wo man schnelles Geld wittert, ist Missbrauch leider nicht fern. Unternehmen können sich dagegen vor allem dadurch schützen, indem geregelt ist, auf welchen Wegen solche Anfragen das Unternehmen erreichen können und die Beschäftigten zumindest so sensibilisiert sind, dass sie solche Anfragen an die relevanten Stellen sofort weiterleiten. Ein Monat ist manchmal schneller rum, als man denkt.