Missbrauch von Betroffenenrechten: Wie können Unternehmen sich schützen? Die sogenannten Betroffenenrechte sind eine wesentliche Säule der Datenschutzgrundverordnung (DS-GVO). Sie regeln die Rechte von „betroffenen“ Personen (z. B. Kunden, Arbeitnehmer), deren personenbezogenen Daten verarbeitet werden. Zunehmend sind Verstöße zum Beispiel von Unternehmen gegen diese Rechte ein willkommener Anlass, um Schadenersatzforderungen in vier- bis fünfstelliger Höhe und Rechtsanwaltskosten einzufordern.
Von den Aufsichtsbehörden wird berichtet, dass die Datenschutzrechte von „betroffenen Personen“ teilweise nur geltend gemacht werden, um für bestehende Konflikte (etwa zwischen Arbeitgebern und Arbeitnehmern, verärgerten Kunden und Unternehmen) eine weitere Angriffsfläche zu finden.
Auch die Berufsverbände der Datenschutzbeauftragten – etwa die Gesellschaft für Datenschutz und Datensicherheit (GDD) – teilen mit, dass sie zunehmend mit Meldungen über missbräuchlich anmutende Anfragen zu Betroffenenrechten gem. Art. 15 – 22 DS -GVO konfrontiert werden. Das Vorgehen zielt hier darauf ab, eine Drohkulisse aufzubauen und die Unternehmen dazu zu bewegen, für tatsächliche oder angebliche Datenschutzverstöße zu zahlen.
Worum geht es insbesondere bei den Betroffenenrechten?
Die „betroffenen“ Personen haben nach der DS-GVO unter anderem ein Recht auf:
- umfassende Auskunft über die verarbeiteten Daten
- entsprechende Kopien (Art. 15 Abs. 3 DS-GVO)
- Berichtigung (Art. 16)
- Löschung (Art. 17) – Recht auf „Vergessenwerden“
Ein Verstoß gegen diese Verpflichtungen kann Bußgelder von der Datenschutzbehörde und Schadensersatzansprüche zur Folge haben.
Folgende gezielte Angriffe finden nach Meldung der GDD vermehrt statt:
- Anfrage über ein Kontaktformular
Eine Person meldet sich über das Kontaktformular auf der Webseite eines Unternehmens und bittet um Rückruf. Erfolgt der Rückruf, wird dieser nicht angenommen. Einige Wochen später meldet sich die Person wieder, fragt welche Daten gespeichert sind und verlangt deren Löschung.
- Newsletter-Abonnement
Der Angreifer abonniert einen Newsletter auf der Webseite eines Unternehmens. Einige Zeit später wird das Unternehmen kontaktiert und um Auskunft über gespeicherte Daten gebeten und wieder zur Datenlöschung gefordert.
Welche fehlerhaften Reaktionen auf diese Angriffe können gemacht werden?
- Die personenbezogenen Daten werden direkt gelöscht, es wird keine Auskunft erteilt.
- Es wird die Auskunft erteilt, dass keine personenbezogenen Daten verarbeitet werden, obwohl für den Angreifer nachweislich zumindest seine Rufnummer/E-Mail-Adresse gespeichert ist.
- Es wird nicht reagiert.
- Es wird Auskunft erteilt, jedoch nicht geprüft, ob diese den betroffenen Adressaten erreicht.
Wie können sich Unternehmen schützen?
Es ist sicherzustellen, dass es im Unternehmen die entsprechenden Routinen/Dienstanweisungen zur Beantwortung von Betroffenenanfragen gibt und das zuständige Personal entsprechend geschult ist. Dabei ist zu beachten, dass Betroffenenanfragen über alle Kommunikationskanäle erfolgen können, also etwa schriftlich, per E-Mail aber auch telefonisch oder über Messenger-Dienste.
Folgende Grundregeln sind unbedingt zu beachten:
- Sichere Identifikation der betroffenen Person
- Überprüfung der personenbezogenen Daten in allen Systemen
- Beachtung aller Betroffenenrechte: Nicht erst die Daten löschen und dann angeben, dass keine Daten vorhanden seien.
- Fristgerechte Antwort – 1 Monat (Art. 12 Abs. 3 S. 1 DS-GVO)
Der Autor Jan N. Machunsky ist Rechtsanwalt und Sozius der Kanzlei Machunsky & Künzle in Göttingen sowie geschäftsführender Gesellschafter der Dr. Machunsky Datenschutz & Compliance GmbH in Göttingen https://www.dr-machunsky.de. Er ist Experte des Mittelstand 4.0-Kompetenzzentrums Hannover zum Thema Recht und Arbeit 4.0. Zur kostenfreien Anmeldung eines Firmengesprächs.
