Haben Sie Fragen?
 0251 149891-0

Missbräuchliche Geltendmachung von Betroffenenrechten - Praxistipps für Unternehmen

Charlott Plett, M.Iur.

Was vielen Unternehmen im Zusammenhang mit missbräuchlichen Abmahnungen im Wettbewerbsrecht bereits bekannt ist, betrifft derzeit eine Vielzahl unserer Mandanten im Bereich der Datenschutz - Grundverordnung (DS-GVO). In den vergangenen Wochen häuften sich die Fälle, in denen Unternehmen Anfragen zu Betroffenenrechten gem. Art. 15 - 22 DS-GVO erhielten, die jedoch allein zum Ziel hatten unter Aufbau einer Drohkulisse die Zahlung eines Schadensersatzanspruchs durchzusetzen.

Aufgrund dieser aktuellen Entwicklungen zeigen wir Ihnen in diesem Artikel, wie Sie solche Anfragen erkennen und mit diesen umgehen können.

Anhaltspunkte für eine missbräuchliche Geltendmachung der Betroffenenrechte

Folgende Vorgehensweisen sind bisher besonders aufgefallen:

Anfrage über ein Kontaktformular
Über das Kontaktformular auf der Website des Unternehmens meldet sich eine Person mit der Bitte um einen Rückruf. Das Unternehmen versucht unter der angegebenen Rufnummer die Person zu erreichen, jedoch ohne Erfolg. Der Anruf wird nicht angenommen. Nach ein paar Wochen meldet sich die Person bei dem Unternehmen zurück und erfragt, welche Daten über sie gespeichert worden sind und verlangt die Löschung dieser Daten.

Newsletter-Abonnement
Eine Person trägt sich in den Newsletter des Unternehmens ein. Das Unternehmen wird kurz darauf von der Person kontaktiert und wird aufgefordert, Auskunft über gespeicherte Daten zu geben und diese zu löschen.

Welche Risiken bestehen bei solchen Anfragen für Unternehmen?

Folgende Reaktionen können für Unternehmen ein Risiko darstellen:

  • Das Unternehmen löscht unmittelbar die personenbezogenen Daten der Person, erteilt jedoch nicht wie gefordert Auskunft über die personenbezogenen Daten.
  • Das Unternehmen reagiert nicht auf die Anfrage der Person.
  • Die Person erhält die Auskunft vom Unternehmen, es seien keine personenbezogenen Daten der Person verarbeitet worden, obwohl die Rufnummer und die E-Mail-Adresse der Person gespeichert worden sind.

Eine unvollständige Auskunft, eine falsche Auskunft oder sogar gar keine Auskunft können einen Verstoß gegen die DS-GVO darstellen.

Nach solchen Reaktionen meldet sich ein Rechtsanwalt bei dem Unternehmen. Der Rechtsanwalt macht im Auftrag seines Mandanten wegen der Verletzung von Betroffenenrechten einen Schadensersatzanspruch - oftmals in vierstelliger Höhe - geltend. Begleitet werden diese Forderungen von der Androhung weiterer Kosten, die durch ein gerichtliches Verfahren entstehen können.

Betroffene haben eine Vielzahl von Rechten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit etc.). Die Bearbeitung und Beantwortung solcher Anträge kann schwierig sein. Wir helfen Ihnen dabei zu prüfen, ob das geltend gemachte Recht besteht, und den Antrag entsprechend zu beantworten.
Unsere Rechtsanwaltsgesellschaft hat sich auf den betrieblichen Datenschutz spezialisiert. Bei uns stehen Ihnen erfahrene Anwälte als Berater und externe Datenschutzbeauftragte zur Seite: www.kanzlei-meibers.de
Wie sieht die Rechtslage aus?

Nach den Bestimmungen der DS-GVO hat eine Person gegen das Unternehmen einen Schadensersatzanspruch, wenn durch die Verletzung der Betroffenenrechte ein Schaden entstanden ist. Das Unternehmen haftet für den Schaden außer es kann den Nachweis erbringen, in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich zu sein.

Was können Unternehmen tun?

Um missbräuchlich gestellten Anfragen die Angriffsfläche zu nehmen, können Unternehmen folgende Maßnahmen ergreifen:

Mitarbeiter für Anfragen sensibilisieren
Eine Anfrage zur Wahrnehmung der Betroffenenrechte kann in sämtliche Abteilungen des Unternehmens, die über öffentliche Kontaktadressen verfügen, wie zum Beispiel das Sekretariat, die Personalabteilung oder der Kundenservice, eingehen. Dann jedenfalls ist es wichtig, Mitarbeiter dafür zu sensibilisieren, sich im ersten Schritt an den für den Datenschutz verantwortlichen Mitarbeiter im Unternehmen zu wenden.

Überblick über die betroffene Person verschaffen
Im zweiten Schritt sollte die betroffene Person identifiziert werden. Auf der Webseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg findet sich eine empfehlenswerte Übersicht zu Methoden der Identifizierung von Betroffenen.
Um keine falsche Auskunft über personenbezogene Daten zu erteilen, sollten im Unternehmen alle Systeme dahingehend überprüft werden, ob Daten der Person gespeichert worden sind. Ein Newsletter-Abonnent kann beispielweise in einem anderen System gespeichert sein. Das Überprüfen der Kundendatenbank allein würde dann zu einer falschen Auskunft führen.

Genaue Bearbeitung der Anfrage
Unternehmen sollten die Anfrage zunächst sorgfältig erfassen. Alle geltend gemachten Betroffenenrechte müssen beachtet und bearbeitet werden. Ersucht die betroffene Person die Löschung und Auskunft über ihre personenbezogenen Daten, dürfen die personenbezogenen Daten nicht vorschnell gelöscht werden ohne zuvor zu erfassen, welche Daten überhaupt gespeichert worden sind. Nach Eingang der Anfrage hat das Unternehmen einen Monat Zeit für die Bearbeitung. Bei Erhalt eines Anwaltsschreibens sollte das Unternehmen unbedingt reagieren.
Um sich als Unternehmen auf solche missbräuchlich gestellten Anfragen besser vorzubereiten, empfiehlt es sich auch, über sämtliche Kommunikationskanäle eine Testanfrage zu stellen und die Abläufe mit den Mitarbeitern durchzugehen.

Über die Autorin

Charlott Plett, M.Iur. ist Juristin und sorgt zusammen mit unseren Anwälte dafür, dass Ihre Texte rechtssicher und immer up to date sind. www.kanzlei-meibers.de

Zurück