Der richtige Umgang mit missbräuchlich anmutenden Betroffenenanfragen

Inzwischen sehen sich immer häufiger Unternehmen mit Betroffenenanfragen auseinandergesetzt, die nach einem bestimmten Schema vorgehen. Wie Sie am besten mit solchen dubiosen Anfragen umgehen, ohne Ihrem Unternehmen zu schaden, hat unser Berater für Datenschutz Alexander Vogel für Sie zusammengefasst. 

Immer häufiger verwenden betroffene Personen ihr Auskunftsrecht zu personenbezogenen Daten (Art. 15-22 DSGVO) missbräuchlich, um Profit daraus zu schlagen und einem Unternehmen vor allem finanziell zu schaden. Dabei wird in erster Linie digital gehandelt, sprich der Betroffene wendet sich per E-Mail oder über ein Kontaktformular an das Unternehmen. Dabei gibt der Betroffene entweder seine E-Mailadresse oder seine Telefonnummer preis, um dann kurz darauf Auskunft über seine personenbezogenen Daten einzufordern.  

Die Gesellschaft für Datenschutz und Datensicherheit e.V. hat das Dilemma des Unternehmens genauer betrachtet: „Die Herausforderungen, mit denen sich die Verantwortlichen in diesen Fällen konfrontiert sehen, sind häufig identisch: 

• Die personenbezogenen Daten werden direkt gelöscht, dem Auskunftsersuchen wird nicht entsprochen. 
• Es wird beauskunftet, dass keine personenbezogenen Betroffenendaten verarbeitet werden, obwohl zumindest die Rufnummer/E-Mail-Adresse des Betroffenen vorliegt. 
• Es wird nicht reagiert“ (Gesellschaft für Datenschutz und Datensicherheit e.V.). 

Daraufhin fordert der Betroffene über einen hinzugezogenen Anwalt immateriellen Schadensersatz, mit der Begründung, dass eine unvollständige, falsche oder keine Auskunft gegeben wurde bzw. die Daten zu schnell gelöscht wurden (Art. 82 DSGVO). Dieser Schadensersatz bewegt sich in der Regel im vierstelligen Bereich. Auch die Übernahme der Anwaltskosten wird unter Androhung wesentlich höherer Kosten bei einem gerichtlichen Verfahren verlangt. Bei einem folgenden Zivilprozess wird laut Art. 82 DSGVO „der Verantwortliche oder der Auftragsverarbeiter [nur dann] von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“  

Daher ist ein gutes Datenschutz-Managementsystem mit einem geregelten und im Unternehmen kommuniziertem Umgang mit Anfragen zu den Betroffenenrechten notwendig. Dazu zählt vor allem, dass die Verantwortlichkeiten und Zuständigkeiten für die Durchführung der Betroffenenrechte klar formuliert sind. Das bedeutet, es ist unter anderem eindeutig geregelt, wer dem System Daten entnehmen und weitergeben darf und wer Daten löschen darf. Genauso wichtig ist es, eindeutig zu formulieren, wie die Dokumentation der Durchführung und Bearbeitung der Betroffenenrechte erfolgt. Dabei gilt eine Aufbewahrungsfrist für die Dokumentation der Durchführung von Betroffenenrechten von drei Jahren.  

Zudem muss – vor allem auch bei einer Negativauskunft – beachtet werden, dass hierbei Daten von Betroffenen verarbeitet werden: „Auskunft ist auch dann zu erteilen, wenn keine Daten vorhanden sind – so genannte ‚Negativauskunft‘. Dann empfiehlt es sich, die Antwort zu präzisieren: Bisher – also bis zum Zeitpunkt der Anfrage – war kein Datensatz über den Antragssteller vorhanden, etwa als Kunde, Geschäftspartner, Bewerber oder Beschwerdeführer. Die Prüfung lasse daher den Schluss zu, dass auch sonst keine Daten über die Antragstellerin oder den Antragsteller vorlägen“ (LDI NRW). Daher muss zu jedem Antwortschreiben (mindestens jedoch zum ersten) die Informationspflicht gem. Art. 13 DSGVO erfüllt werden. Ansonsten kann die nächste Abmahnung drohen.