In der letzten Zeit ist es vermehrt zu einem Missbrauch der DSGVO gekommen ist, um Schadenersatz geltend zu machen. Die „missbräuchlich motivierte Geltendmachung von Betroffenenrechten“ zielt darauf ab, unter Aufbau einer Drohkulisse Verantwortliche zur außergerichtlichen Zahlung eines immateriellen Schadensersatzes in vierstelliger Höhe an den Betroffenen zu bewegen sowie zur Erstattung der angeblich entstandenen Rechtsanwaltskosten.
Folgende Szenarien sind bekannt:
1. Anfrage über Kontaktformular
Bei diesem Szenario meldet sich eine Person über das auf der Webseite des Unternehmens geschaltete Kontaktformular und bittet um Rückruf. Versucht das Unternehmen dann im Nachgang die entsprechende Person unter der angegebenen Rufnummer zu erreichen, wird der Anruf nicht angenommen. Ein paar Wochen später meldet sich die Person wieder. Diesmal wird gefragt, welche Daten das Unternehmen gespeichert hat und es wird die Löschung der Daten verlangt.
2. Newsletter-Abonnement
Eine Person abonniert einen Newsletter auf der Webseite des Unternehmens. Kurz darauf wird das Unternehmen kontaktiert und um Auskunft über gespeicherte Daten gebeten und ebenfalls wieder um Datenlöschung.
Die Fehler, die dann passieren, sind häufig identisch:
- Die personenbezogenen Daten werden direkt gelöscht, dem Auskunftsersuchen wird nicht entsprochen oder
- es wird beauskunftet, dass keine personenbezogenen Betroffenendaten verarbeitet werden, obwohl zumindest die Rufnummer/E-Mail-Adresse des Betroffenen vorliegt oder
- es wird nicht reagiert.
Zeitlich nachgelagert meldet sich bei den Unternehmen ein Rechtsanwalt, welcher namens und im Auftrag seiner Mandantschaft wegen mutmaßlicher Verletzung der Betroffenenrechte (unvollständige Auskunft, falsche Auskunft, vorschnelle Löschung - keine Auskunft) immateriellen Schadensersatz in vierstelliger Höhe (meist zwischen 1.500 € - 2.500 €) geltend macht und darüber hinaus die Vergütung für seine anwaltliche Tätigkeit einfordert (zw. 500 € - 600 €). Weiterer Druck wird auf die Unternehmen durch Androhung eines mit angeblich zwangsläufig weitaus höheren Kosten verbundenen gerichtlichen Verfahrens aufgebaut.
Unabhängig davon, ob Sie selbst bereits betroffen war, sollte die aktuelle Häufung von missbräuchlich motivierten Betroffenenbegehren zum Anlass genommen werden, die betrieblichen Datenschutzprozesse einem praktischen Belastungstest (vergleichbar dem Mystery Shopping) zu unterziehen und die betrieblichen Prozesse zur Erkennung und Bearbeitung von Betroffenenbegehren gem. Art. 15 bis 22 DS-GVO auf ihre faktische Wirksamkeit hin zu überprüfen.
Treten Sie mit mir in Kontakt, falls ich Ihre betrieblichen Prozesse dahingehend überprüfen soll.
Viele Grüße aus Bad Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen
Photo by Markus Winkler on Unsplash