Die Gesellschaft für Datenschutz und Datensicherheit (GDD) warnt seit kurzem vor provozierten Schadensersatzansprüchen, aufgrund missbräuchlicher anmutender Anfragen zu Betroffenenrechten gem. Art. 15-22 DSGVO.
Ziel dieserart Missbräuche sind außergerichtliche Zahlungen eines immateriellen Schadenersatzes zzgl. Rechtsanwaltkosten.
Mitarbeiter des GDD habe eine Vermehrung gleichartiger Fälle bemerkt und konnten so eine bestimmte Vorgehensweise feststellen:
- Eine Kontaktperson versucht auf irgendeine Weise mit Ihrem Unternehmen in Kontakt zu treten und dabei seine personenbezogenen Daten zu hinterlassen. Ideal dafür sind Kontaktformulare oder Newsletter-Abonnements.
- Nach einigen Wochen meldet sich die Kontaktperson bei Ihrem Unternehmen und fordert Auskunft, wie auch Löschung der gespeicherten Daten (Betroffenenanfrage).
Im Umgang mit der Betroffenenanfrage können den Verantwortlichen Ihres Unternehmens leicht folgende potentielle Fehlern unterlaufen:
- Die personenbezogenen Daten werden vorschnell gelöscht und die Betroffenenanfrage ignoriert.
- Es wird (versehentlich) die falsche Auskunft gegeben, dass keine personenbezogenen Daten der Speicherung vorliegen. Allerdings liegen zumindest Rufnummer/E-Mail-Adresse vor.
- Es erfolgt keine Reaktion auf die Betroffenenanfrage.
Begehen sie einen der aufgelisteten Fehler, so verstößt Ihr Unternehmen gegen die DSGVO, woraus sich ein Anspruch auf Ersatz eines immateriellen Schadens in vierstelliger Höhe ableiten ließe.
Ihr Unternehmen ist gem. Art. 12 Abs. 3 S.1 DSGVO verpflichtetet, die Kontaktperson binnen eines Monats über die ergriffenen Maßnahmen zu unterrichten. Des Weiteren begründet der Art 15 DSGVO ein Auskunftsrecht bezüglich der Speicherung und Verwendung der personenbezogenen Daten, solange es mit einem überschaubaren Aufwand einhergeht. Aus Art. 17 DSGVO ergibt sich das Recht auf Löschung der personenbezogenen Daten.
So missbräuchlich diese Vorgehensweise auch zu sein scheint, ist sie nicht generell rechtswidrig – seien Sie besonders achtsam mit Betroffenenanfragen!
Generell gilt:
- Identifizieren Sie die Kontaktperson zuverlässig und überprüfen Sie jegliche Systeme gründlich auf personenbezogene Daten dieser.
- Löschen Sie niemals voreilig die gefunden Daten und geben Sie keine falschen Auskünfte bezgl. personenbezogener Daten.
- Kommen Sie dem Auskunftsrecht und dem Löschverlangen in korrekter Art und Weise nach, dokumentieren Sie dieses sorgfältig und Sie sind vor dem provozierten Schadensersatz im Kontext Art. 15-22 DSGVO geschützt.