Die „Betroffenenrechte Falle“ – Wie man Schadensersatz vermeidet

Aktuell sehen sich Firmen vermehrt mit Schadensersatzansprüchen aufgrund unzureichend wahrgenommener Datenschutz-Betroffenenrechten gem. Art. 15-22 DSGVO konfrontiert – oft in rechtlich ungerechtfertigter Weise. (GDD e.V.)
In den ersten Jahren nach Wirksamwerden der DSGVO sprachen Gerichte nur äußerst selten Urteile unter
Bezug auf die DSGVO aus. Seit Mitte 2020 ändert sich das – in mehreren Gerichtsurteilen wurden Betroffenen Ersatzansprüche für immaterielle Schäden aufgrund von Datenschutz-Verstößen zugesprochen.
Dieser Trend wird nun von unlauteren Kreisen zum Anlass genommen Schadensersatzansprüche zu initiieren. Dabei besteht kein redliches Interesse an der Wahrung der Grundrechte auf Datenschutz.

Eine mögliche Ausgangslage

Die Schadenersatzforderung kann von Dritten unter anderem auf Basis folgenden Szenarien vorbereitet werden:

  1. Die Firma (Ihre Unternehmen – der Verantwortliche in Sinne der DSGVO) wird von einer Person
    (der Betroffene im Sinne der DSGVO) bzgl. einer Rückrufbitte angeschrieben (z.B. über ein Kontaktformular auf Ihrer Website oder per Mail).
    Der Rückruf der Firma bei der Person bleibt unbeantwortet.
    Nach einigen Wochen geht von der Person eine Nachricht ein, mit der die Firma zur Auskunft bzgl.
    der gespeicherten personenbezogenen Daten und Löschung der Daten aufgefordert wird.
  2. Die Person abonniert über die Website der Firma einen Newsletter.
    Kurz danach geht von der Person eine Nachricht ein, mit der die Firma zur Auskunft bzgl. der gespeicherten personenbezogenen Daten und Löschung der Daten aufgefordert wird.

Ein möglicher Verlauf

Nach einigen Tagen/Wochen wird die Firma von einem Rechtsanwalt angeschrieben, der im Auftrag der Person gemäß Art. 82 DSGVO deren Recht auf Schadensersatz geltend macht – in vierstelliger Höhe (ca. 2000 – 3000 €) und aufgrund unzureichender Wahrung der Betroffenenrechte (lückenhafte / falsche Auskunft, übereilte Löschung, keine Antwort).
Ergänzend zum Schadensersatz wird die Bezahlung des anwaltlichen Arbeitsaufwands gefordert (ca.500 €). Verbunden wird dies mit dem Hinweis, dass bei einem gerichtlichen Verfahren erheblich höhere Kosten auflaufen.

Was Sie nicht machen sollten

Die Firma (Ihre Unternehmen – der Verantwortliche in Sinne der DSGVO) reagiert nicht konform zur DSGVO, z.B. indem sie

  • die personenbezogenen Daten direkt gelöscht hat, ohne auf das Auskunftsersuchen zu reagieren
    oder
  • antwortet, dass keine personenbezogenen Betroffenendaten verarbeitet werden, obwohl zumindest
    die Rufnummer/E-Mail-Adresse des Betroffenen vorliegt oder
  • nicht reagiert.

Was Sie hingegen machen sollten

Um ein solches Risiko zu vermeiden sollten Sie Ihre betrieblichen Abläufe prüfen und DSGVO-konform gestalten. Wichtig beim angemessenen und DSGVO-konformen Umgang mit Anfragen von Betroffenen sind folgende Schritte:

  • Identifikation der betroffenen Person (der Betroffene im Sinne der DSGVO) siehe auch Art.11. Abs. 2 DSGVO)
  • Überprüfung ALLER Systeme bzgl. personenbezogener Daten – evtl. sind Newsletter-Abonnenten nicht im CRM-System / Kundendatenbank
  • Beachtung ALLER ausgesprochenen Betroffenenrechte – auf keinen Fall zuerst die Daten löschen und dann antworten, dass keine personenbezogenen Daten verarbeitet werden

Sie haben grundsätzlich ein Monat Zeit, um den Betroffenenrechten zu entsprechen.
Diese Zeit sollten Sie zur Abstimmung mit Ihrem Datenschutzbeauftragten nutzen!

 

Unsere Kunden und interessierte Dritte können sich zu konkreten Umsetzungsberatung an uns wenden. Senden Sie uns hierzu einfach eine E-Mail:
vb@beneke-co.de / j.stroh@ims-zert.de