Aktiver Missbrauch von Betroffenenrechten

… für provozierte Schadensersatzansprüche!

Wir sind in mehreren Fachkreisen aktiv. Einerseits sind wir damit Teil eines starken Verbunds an Datenschutzbeauftragten in ganz Deutschland und zudem findet dadurch ein regelmäßiger Austausch zwischen uns und unseren Berufskollegen statt.

Einer dieser Fachkreise ist die Gesellschaft für Datenschutz und Datensicherheit e.V. Der GDD e.V. sind aus dem Kreis der Mitglieder vermehrt Meldungen über vermutlich missbräuchliche Betroffenenanfragen mitgeteilt worden.

Ziel dieser Betroffenenanfragen ist es Fehler in den Antworten zu ermitteln und diese unter Androhung rechtlicher Schritte dazu zu verwenden, um vom Unternehmen einen immateriellen Schadensersatz zu verlangen.

Der geforderte Schadensersatz liegt dabei regelmäßig im 4stelligen Bereich, dazu kommen angeblich entstandene Rechtsanwaltskosten.

Wir nehmen dies nochmals zum Anlass, Sie über die Betroffenenrechte, speziell zum Auskunftsrecht, aufzuklären.


Jeder Betroffene hat das Recht gem. Art. 15 DSGVO über die zur Person gespeicherten personenbezogenen Daten Auskunft zu verlangen. Zudem ist dem Betroffenen zu erläutern, warum die Daten verarbeitet werden (Zwecke), ob die Daten weitergegeben werden (Empfänger/Drittland) und wie lange die Daten gespeichert werden. Sofern die Daten nicht vom Betroffenen stammen, muss über die Herkunft der Daten informiert werden. Zudem muss der Betroffene über seine weiterführenden Rechte aufgeklärt werden, wozu auch das Beschwerderecht bei einer Aufsichtsbehörde gehört.

Für eine fristgerechte Auskunft hat das Unternehmen einen Monat Zeit. Sofern eine Auskunft mit höherem Aufwand verbunden ist, kann die Frist mit Ankündigung einmalig auf insgesamt drei Monate verlängert werden.

In der Regel stellt es für die Unternehmen kein Problem dar, aus den Kernprozessen heraus alle notwendigen Informationen für eine Auskunft zur Verfügung zu stellen. Warum also funktioniert die angesprochene Masche mit den Schadensersatzansprüchen?

Einfallstor für diese Forderungen sind in der Regel „Nebenprozesse“. Drei maßgebliche Wege sind bisher festzustellen:
  1. Der Betroffene meldet sich für einen Newsletter an, steht aber ansonsten in keinerlei Geschäftsbeziehung zum Unternehmen.
  2. Auch die Nutzung eines bereitgestellten Kontaktformulars wird gerne für solche Tricks verwendet.
  3. Zuletzt gibt es noch die Möglichkeit einen Rückrufwunsch bei der Telefonzentrale des Unternehmens zu hinterlassen. Die Rückrufe selbst werden in der Regel nicht beantwortet und der Vorgang gerät in Vergessenheit.

Bei allen drei Varianten erreicht das Unternehmen dann nach einer Weile, durchaus auch nach einigen Wochen, eine Betroffenenanfrage.


Und hier entstehen nun drei Fehlerquellen, die die Angriffspunkte der Betrüger darstellen:
  1. Es werden kurz die Kernprozesse geprüft und es wird festgestellt, dass dort keine Daten zur Person vorliegen. Es wird daher vorschnell eine Negativauskunft verschickt, da die Kontaktanfragen vergessen worden sind oder die Nebenprozesse (Newsletter) nicht geprüft werden.
  2. Entweder weil die Meldekette im Unternehmen nicht funktioniert hat oder weil man vermeintlich keine Daten zur Person hat, unterbleibt die Antwort gänzlich. Eine Antwort ist jedoch immer notwendig, auch wenn diese negativ ausfällt!
  3. Auskunftsersuchen können sich auch in anderen Kommunikationen verstecken und werden daher übersehen. So kann eine Löschanfrage mit einem Auskunftsersuchen verknüpft sein, oder im allgemeinen Kundengespräch auftreten. Der Betroffene könnte beispielsweise ein Auskunftsersuchen im Rahmen einer regulären Reklamation mitteilen.

Daher möchten wir Ihnen folgende Ratschläge und Empfehlungen mit auf den Weg geben, damit Betroffenenanfragen in Ihrem Unternehmen hoffentlich nicht zur Schadensersatzfalle werden:
  1. Unterrichten Sie alle Ihre Mitarbeiter nochmals, dass die Wahrnehmung von Betroffenenanfragen äußerst wichtig ist. Sobald ein Betroffener seine Betroffenenrechte einfordert, muss umgehend eine Information an den Datenschutzkoordinator oder direkt an uns als Ihre Datenschutzbeauftragten erfolgen.
  2. Dokumentieren Sie alle Betroffenenanfragen! Im Streitfall sind Sie durch die Beweislastumkehr in Art. 82 Abs. 3 DSGVO nachweispflichtig, dass der Betroffene keinen Schaden erlitten hat. Zudem werden entsprechende Nachweise sinnvoll sein, wenn die Aufsichtsbehörde auf die Rechenschaftspflicht des Unternehmens nach Art. 5 Abs. 2 DSGVO hinweist.
  3. Bearbeiten Sie Betroffenenanfragen priorisiert und gründlich. Achten Sie auch auf die Nebenprozesse, in denen Daten von Betroffenen gespeichert sein können.
  4. Achten Sie auf die Identifizierung der anfragenden Person. Nur wenn die Person zweifelsfrei identifiziert ist, darf eine weitere Beauskunftung erfolgen!

Wie können wir Sie bei der Einhaltung der Betroffenenanfragen unterstützen?
  1. Wenn ein Anspruch bei Ihnen auftritt und Sie Zweifel an der Richtigkeit der Anfrage haben: Sprechen Sie mit uns!
  2. Etablieren Sie, wie von uns immer wieder empfohlen, das Datenschutzhandbuch im Unternehmen. Innerhalb des Datenschutzhandbuches stellen wir Ihnen, in Verbindung mit unserem zentral bereitgestellten DSMS, ein digitales Meldeformular bereit, womit jeder Mitarbeiter Ihres Unternehmens entsprechende Betroffenenanfragen umgehend an uns und den Datenschutzkoordinator weitergeben kann. Zudem sind entsprechende Anfragen dadurch automatisch und nachweisbar dokumentiert.

Wenn Sie weitere Fragen zu den Betroffenenrechten oder zur Umsetzung des Datenschutzhandbuches haben, nehmen Sie bitte Kontakt mit uns auf!

Quelle:
https://www.gdd.de/downloads/aktuelles/stellungnahmen/21MGInfounredlicheBetroffenenbegehren.pdf

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Start typing and press Enter to search

pexels-erik-mclean-5736536 - modifiedhttps://pixabay.com/de/users/klausaires-1440363/