Praxis-Tipps gegen den Missbrauch von Betroffenenrechten
Die GDD ist mit mehr als 3.800 Mitgliedern die größte Datenschutzvereinigung in Deutschland. Aktuell melden sich immer mehr Mitglieder – vor allem Datenschutzbeauftragte aus Unternehmen – beim Verein und berichten von missbräuchlich anmutenden Anfragen zu Betroffenenrechten gemäß Europäischer Datenschutz-Grundverordnung (DSGVO).
Betroffenenrechte sind eine zentrale Säule der DSGVO. Sie beschreiben die „Rechte der betroffenen Person“, deren personenbezogene Daten – wie Name, Geburtsdatum oder Adresse – verarbeitet werden.
Schickt also ein Bewerber, Mitarbeiter, Kunde oder Geschäftspartner Daten an ein Unternehmen, muss dieses die betroffene Person umfassend darüber informieren, wie es die personenbezogene Daten verarbeitet.
Absender bauen Drohkulisse auf
Die Absender der aktuellen Anfragen bauen laut GDD eine Drohkulisse auf und fordern
- die Unternehmen zur außergerichtlichen Zahlung eines Schadensersatzes in vierstelliger Höhe
- und zur Erstattung der angeblich entstandenen Rechtsanwaltskosten auf.
Dafür nutzen Sie ein Kontaktformular oder ein Newsletter-Abonnement der Unternehmen:
Anfrage über Kontaktformular
- Eine Person meldet sich über das Kontaktformular auf der Webseite des Unternehmens und bittet um Rückruf.
- Ruft das Unternehmen die angegebene Rufnummer an, nimmt niemand ab.
- Ein paar Wochen später meldet sich die Person erneut und fragt, welche Daten das Unternehmen gespeichert hat, – und verlangt die Löschung der Daten.
Anfrage über Newsletter-Abonnement
- Eine Person abonniert einen Newsletter auf der Webseite des Unternehmens.
- Kurz darauf kontaktiert sie das Unternehmen und bittet um Auskunft über die gespeicherten Daten und um Löschung der Daten.
Ein paar Wochen später meldet sich in beiden Fällen ein Rechtsanwalt bei den Unternehmen und fordert im Auftrag seiner Mandantschaft wegen mutmaßlicher Verletzung der Betroffenenrechte Schadensersatz in vierstelliger Höhe.
Praxis-Tipps für Unternehmen
Die GDD empfiehlt in ihrer Veröffentlichung allen Unternehmen – egal ob sie bereits von einer solchen Anfrage betroffen sind oder nicht – ihre betrieblichen Datenschutzprozesse einem Belastungstest zu unterziehen und auf ihre faktische Wirksamkeit zu überprüfen:
Alle Unternehmensbereiche sensibilisieren
Die Anträge zur Wahrnehmung der Betroffenenrechte können über verschiedenste Kommunikationskanäle bei Unternehmen eingereicht werden.
Deshalb empfiehlt die DGG
- Sensibilisieren Sie alle Unternehmensbereiche für die aktuelle Situation – vom Sekretariat über den Kundenservice bis zur Personalabteilung.
- Überprüfen Sie alle personenbezogenen Daten in allen Systemen und beachten Sie dabei alle Betroffenenrechte.
- Löschen Sie keinesfalls zuerst die Daten und geben dann an, dass keine personenbezogenen Daten vorhanden sind.
Innerhalb eines Monats antworten
„Der Verantwortliche hat gem. Art. 12 Abs. 3 S. 1 DS-GVO einen Monat nach Eingang des Antrags Zeit, um die betroffene Person über die aufgrund des Betroffenenbegehrens ergriffenen Maßnahmen zu unterrichten“, heißt es in der Veröffentlichung.
Die DGG rät den Unternehmen:
- Stellen Sie innerhalb dieser Ein-Monats-Frist die geforderten Informationen zur Verfügung.
- Verlängern Sie die Frist um weitere zwei Monate, falls die Bearbeitung innerhalb von vier Wochen nicht möglich ist, und informieren sie unbedingt die betroffene Person über die Gründe für die Verzögerung.
Rechtsanwalt einschalten
Erhält ein Unternehmen eine Zahlungsaufforderung wegen vermeintlicher Datenschutzverstöße, sollte es laut GDD unbedingt einen Rechtsanwalt einschalten und das Bestehen des Anspruchs sachlich begründet bestreiten. Einige Gerichte hätten bei aktuellen gerichtlicher Entscheidungen bereits auf das Missbrauchsrisiko hingewiesen und entsprechende Klagen abgelehnt.