Laut Mitteilung der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) vom 05.02.2021 melden sich immer mehr Mitglieder bei dem Verein und berichten von missbräuchlich anmutenden Anfragen zu Betroffenenrechten gemäß Europäischer Datenschutz-Grundverordnung (DS-GVO).
Die Absender der aktuellen Anfragen bauen laut GDD eine Drohkulisse auf und fordern:
- die Unternehmen zur außergerichtlichen Zahlung eines Schadensersatzes in vierstelliger Höhe und
- zur Erstattung der angeblich entstandenen Rechtsanwaltskosten auf.
Die GDD hat folgende Vorgehensweise/Szenarien geschildert:
1. Anfrage über ein Kontaktformular
- Eine Person meldet sich über das Kontaktformular auf der Webseite des Unternehmens und bittet um Rückruf.
- Ruft das Unternehmen die angegebene Rufnummer an, nimmt niemand ab.
- Ein paar Wochen später meldet sich die Person erneut und fragt, welche Daten das Unternehmen gespeichert hat, – und verlangt die Löschung der Daten.
2. Anfrage über Newsletter-Abonnement
- Eine Person abonniert einen Newsletter auf der Webseite des Unternehmens.
- Kurz darauf kontaktiert sie das Unternehmen und bittet um Auskunft über die gespeicherten Daten und um Löschung der Daten.
Die Reaktionen sind häufig Folgende:
- Die personenbezogenen Daten werden sofort gelöscht, eine Auskunft an die anfragende Person erfolgt nicht.
- Es wird der anfragenden Person mitgeteilt, dass keine personenbezogenen Daten verarbeitet werden, obwohl zumindest die Telefonnummer und die E-Mail-Adresse vorliegen.
- Es erfolgt gar keine Reaktion.
Einige Wochen später meldet sich in beiden Fällen ein Rechtsanwalt bei den Unternehmen und fordert im Auftrag seiner Mandantschaft wegen mutmaßlicher Verletzung der Betroffenenrechte Schadensersatz in vierstelliger Höhe (meist 1.500 € bis 2.000 €).
Die GDD empfiehlt in ihrer Mitteilung allen Unternehmen – egal ob sie bereits von einer solchen Anfrage betroffen sind oder nicht – ihre betrieblichen Datenschutzprozesse zu überprüfen und für die aktuelle Situation alle Mitarbeiter zu sensibilisieren. Die GDD rät:
- Überprüfen Sie alle personenbezogenen Daten in allen Systemen und beachten Sie dabei alle Betroffenenrechte.
- Löschen Sie keinesfalls zuerst die Daten und geben dann an, dass keine personenbezogenen Daten vorhanden sind.
- Stellen Sie innerhalb der Ein-Monats-Frist die geforderten Informationen zur Verfügung. Diese Verpflichtung ergibt sich aus (Art. 12 Abs. 3 S. 1 DS-GVO [entspricht § 14 Abs. 3 KDG). Verlängern Sie die Frist um weitere zwei Monate, falls die Bearbeitung innerhalb von vier Wochen nicht möglich ist, und informieren sie unbedingt die betroffene Person über die Gründe für die Verzögerung.
Die GDD rät weiterhin, dass, sollte ein Unternehmen eine Zahlungsaufforderung wegen ver-meintlicher Datenschutzverstöße erhalten, einen Rechtsanwalt einzuschalten und das Bestehen des Anspruchs sachlich begründet zu bestreiten. Auf keinen Fall sollte das betroffene Unternehmen untätig bleiben.
Die Mitteilung der GDD „Missbräuchlich motivierte Geltendmachung von Betroffenenrechten“ ist bei der GDD als PDF-Datei hier nachzulesen.
Weitere Ausführungen zum Umgang mit Auskunftsersuchen finden Sie in unserem Tätigkeitsbericht 2020 auf S. 33 ff.