Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat festgestellt, dass vermehrt Anfragen zu Betroffenenrechten gem. Art. 15-22 DS-GVO gestellt werden, deren einziges Ziel es ist, Schadenersatz zu fordern.
Nach Aussage des GDD wird den jeweiligen Verantwortlichen gegenüber eine Drohkulisse aufgebaut, um so eine außergerichtlich vereinbarte Zahlung eines immateriellen Schadensersatzes sowie eine Erstattung der angeblich entstandenen Rechtsanwaltskosten in vierstelliger Höhe zu bewirken.
Folgende Vorgehensweisen sind bisher festgestellt worden:
- Über das Kontaktformular der Website meldet sich eine vermeintlich betroffene Partei bei dem Unternehmen und bittet um Rückruf. Der Anruf wird dann aber nicht angenommen. Ein paar Wochen später meldet sich die Person wieder und erfragt welche Daten das Unternehmen über die Person gespeichert hat, zudem wird die Löschung der Daten verlangt.
- Eine Person abonniert einen Newsletter auf der Webseite des Unternehmens und bittet kurz nach der Beantragung um Auskunft, welche Daten der Person gespeichert wurden und bittet zudem um Löschung dieser Daten.
In der Praxis werden in solchen Fällen die personenbezogenen Daten häufig gleich gelöscht und dem Auskunftsersuchen dann nicht mehr nachgekommen. Oder der Betroffene erhält in diesen Fällen nur die Information, dass keine personenbezogenen Daten gespeichert wurden. Dies ist genau genommen nicht korrekt, da zumindest eine Rufnummer oder E-Mailadresse gespeichert wurde.
In den bekannten Fällen wurde vom Betroffenen nicht auf die Mitteilung reagiert, sondern ein Rechtsanwalt eingeschaltet. Dieser hat im Auftrag seines Mandanten wegen mutmaßlicher Verletzung der Betroffenenrechte (unvollständige Auskunft, falsche Auskunft etc.) immateriellen Schadensersatz sowie die Erstattung des Anwalthonorars gefordert. Mit der Androhung eines mit weitaus höheren Kosten verbundenen gerichtlichen Verfahrens wurde weiter Druck aufgebaut.
Problematisch dabei ist, dass tatsächlich ein Fehlverhalten vorliegt, das die Voraussetzung für einen solchen Schadensersatzanspruch nach Art. 82 DS-GVO rechtfertigen kann. Auf das Auskunftsersuchen muss, auch wenn man eindeutig eine missbräuchliche Anfrage vermutet, korrekt und fristgerecht eingegangen werden.
Wir empfehlen daher bei Auskunftsersuchen dieser Art, seien sie auch noch so absurd, DS-GVO konform zu handeln. Als Unternehmen kann man sich von der Schadenersatzpflicht nur befreien, wenn man nachweisen kann, dass man die Bearbeitung der Betroffenenbegehren im erforderlichen Umfang durchgeführt und dokumentiert hat. (vgl. Art. 5 Abs. 2 und 24 DS-GVO).