GDD-Information Missbräuchlich motivierte Geltend- machung von Betroffenenrechten

Zum Sachverhalt:

In der letzten Zeit sieht sich die Gesellschaft für Datenschutz und Datensicherheit e.V. aus dem Kreis ihrer Mitglieder vermehrt mit Meldungen über missbräuchlich anmutende An- fragen zu Betroffenenrechten gem. Art. 15-22 DS-GVO konfrontiert.

Das Vorgehen zielt hierbei darauf ab, unter Aufbau einer Drohkulisse Verantwortliche zur außergerichtlichen Zahlung eines immateriellen Schadensersatzes in vierstelliger Höhe an den Betroffenen zu bewegen sowie zur Erstattung der angeblich entstandenen Rechtsan- waltskosten.

Die hohe Zahl gleichgelagerter Fälle nimmt die GDD zum Anlass, ihre Mitglieder über die Vorgehensweise zu informieren.

Folgende zwei Szenarien wurden der GDD bislang geschildert:

Anfrage über ein Kontaktformular
Bei diesem Szenario meldet sich eine Person über das auf der Webseite des Unterneh- mens geschaltete Kontaktformular und bittet um Rückruf. Versucht das Unternehmen dann im Nachgang die entsprechende Person unter der angegebenen Rufnummer zu er- reichen, wird der Anruf nicht angenommen. Ein paar Wochen später meldet sich die Per- son wieder. Diesmal wird gefragt, welche Daten das Unternehmen gespeichert hat und es wird die Löschung der Daten verlangt.
(2) Newsletter-Abonnement
Eine Person abonniert einen Newsletter auf der Webseite des Unternehmens. Kurz da- rauf wird das Unternehmen kontaktiert und um Auskunft über gespeicherte Daten gebe- ten und ebenfalls wieder um Datenlöschung.Die Herausforderungen, mit denen sich die Verantwortlichen in diesen Fällen konfrontiert sehen, sind häufig identisch:
1. Die personenbezogenen Daten werden direkt gelöscht, dem Auskunftsersuchen wird nicht entsprochen.
2. Es wird beauskunftet, dass keine personenbezogenen Betroffenendaten verarbeitet wer- den, obwohl zumindest die Rufnummer/E-Mail-Adresse des Betroffenen vorliegt.
3. Es wird nicht reagiert.

Zeitlich nachgelagert meldet sich bei den Unternehmen ein Rechtsanwalt, welcher namens und im Auftrag seiner Mandantschaft wegen mutmaßlicher Verletzung der Betroffenen- rechte (unvollständige Auskunft, falsche Auskunft, vorschnelle Löschung – keine Auskunft) immateriellen Schadensersatz in vierstelliger Höhe (meist zwischen 1.500 € – 2.500 €) gel- tend macht und darüber hinaus die Vergütung für seine anwaltliche Tätigkeit einfordert (zw. 500 € – 600 €). Weiterer Druck wird auf die Unternehmen durch Androhung eines mit angeblich zwangsläufig weitaus höheren Kosten verbundenen gerichtlichen Verfahrens aufgebaut.

Hinweise der GDD:

Grundsätzlich kann jeder Verstoß gegen die DS-GVO zu einem Anspruch auf Ersatz des ma- teriellen und/oder immateriellen Schadens führen (konkret bezogen hierauf also ggf. die falsche Auskunft

oder die unbefugte Löschung personenbezogener Daten). Voraussetzung für einen solchen Schadensersatzanspruch nach Art. 82 DS-GVO ist, dass ein Schaden entstanden ist, der An- spruchsgegner hierfür kausal geworden ist sowie schuldhaft gehandelt hat. Die Darle- gungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt nach allge- meinen zivilprozessualen Grundsätzen der Anspruchsteller. Eine Beweislastumkehr ist al- lerdings in Art. 82 Abs. 3 DS-GVO bezüglich Verschuldens vorgesehen. Das Unternehmen kann sich danach von der Schadenersatzpflicht nur befreien, wenn es nachweist, dass es

„in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwort- lich ist.” Dies wiederum ist dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DS-GVO) in aller Regel nur möglich, wenn er die von ihm getroffenen Maßnahmen zur Bearbeitung von Betroffenenbegehren im erforderlichen Umfang dokumentiert (vgl. Art. 5 Abs. 2 und 24 DS- GVO).

Seit Inkrafttreten der DS-GVO haben sich diverse Gerichte mit immateriellen Schadensan- sprüchen befasst, die ergangene Rechtsprechung hierzu ist jedoch bislang uneinheitlich.

Eine übersichtliche Auflistung aktueller gerichtlicher Entscheidungen können Sie hier ab- rufen: https://de.lw.com/thoughtLeadership/Latham-DSGVO-Schadensersatztabelle

Daher ist bei der Bearbeitung von Betroffenenanfragen Sorgfalt geboten. Der Verantwortli- che hat gem. Art. 12 Abs. 3 S. 1 DS-GVO einen Monat nach Eingang des Antrags Zeit, um die betroffene Person über die aufgrund des Betroffenenbegehrens ergriffenen Maßnahmen zu unterrichten. Ist der Aufwand zur Abhilfe des Betroffenenbegehrens überschaubar, muss der Verantwortliche innerhalb der 1-Monats-Frist die geforderten Informationen gem. Art. 15 DS-GVO zur Verfügung stellen oder auch die Wahrnehmung der Betroffenenrechte gem. Art. 16 f. DS-GVO ermöglichen.

Sollte die Bearbeitung des Betroffenenbegehrens innerhalb dieser Frist nicht möglich sein, besteht – allerdings nur bei Vorliegen der Voraussetzungen des Art. 12 Abs. 3 S. 2 DS-GVO – die Möglichkeit, die 1-Monats-Frist um weitere zwei Monate zu verlängern. Der Verantwort- liche muss dazu die betroffene Person über die Fristverlängerung und die Gründe für die Verzögerung gem. Art. 12 Abs. 3 S. 3 DS-GVO unterrichten (z.B. faktisch hoher Aufwand, Lockdown-bedingter Personalmangel, hoher Krankenstand, sehr hohe Anzahl an gleichzei- tigen Betroffenenbegehren).

GDD-Praxishinweis:

Zu beachten ist, dass Anträge zur Wahrnehmung der Betroffenenrechte über ver- schiedenste Kommunikationskanäle eingereicht werden können. Verantwortliche sollten, um eine falsche Negativbeauskunftung Betroffener zu vermeiden, nicht nur alle Unternehmensbereiche erneut sensibilisieren, sondern auch eine Erhebung über mögliche Datenpools im Unternehmen aus sämtlichen Fachabteilungen anfertigen. Mitarbeiter/innen im Kundenservice, im Sekretariat, in der HR-Abteilung etc., die über eine öffentliche Kontaktadresse/-nummer verfügen, sollten bei Fragen über gespeicherte Daten direkt den Kontakt zu der mit den Datenschutzthemen beauftragten Person im Unternehmen (betriebliche/externe Datenschutzbeauftragte, DS-Koordinator/innen, DS-Manager/innen etc.) suchen und Rücksprache halten.

Wichtig bei der Herangehensweise sind folgende Schritte:

Identifikation der betroffenen Person (ggf. 11. Abs. 2 DS-GVO beachten)
Überprüfung der personenbezogenen Daten in allen Systemen – sind Newsletter- Abonnenten nicht in der Kunden-/Mitgliederdatenbank zu finden oder es gibt andere Kundenbindungs-/Werbesysteme
Beachtung aller angesprochenen Betroffenenrechte – nicht die Daten zuerst löschen und dann angeben, dass keine personenbezogenen Daten vorhanden sind
Beachtung der 1‐Monats‐Frist, über Notwendigkeit der Fristverlängerung informieren

GDD-Praxishinweis:

Bei Erhalt eines solchen Anwaltsschreibens sollte das adressierte Unternehmen unbedingt reagieren und – soweit möglich – das Bestehen des Anspruchs sachlich begründet bestreiten. Untätigbleiben kann zu einem Mahn-/Vollstreckungsbescheid und im Falle eines Einspruchs gegen Letzteren zu einem Zivilprozess vor dem zuständigen Mahngericht führen. Hilfreiche Hinweise bei der Abwehr entsprechender Ansprüche kann dabei ggf. auch eine Internet- recherche bzgl. der konkret abmahnenden Stelle liefern.

Fazit: Unabhängig davon, ob eine Stelle selbst bereits betroffen war, sollte die aktuelle Häufung von missbräuchlich motivierten Betroffenenbegehren zum Anlass genommen werden, die betrieblichen Datenschutzprozesse einem praktischen Belastungstest (vergleichbar dem Mystery Shopping) zu unterziehen und die betrieblichen Prozesse zur Erkennung und Bear- beitung von Betroffenenbegehren gem. Art. 15 bis 22 DS-GVO auf ihre faktische Wirksam- keit hin zu überprüfen.