Auskunftsersuchen nach Art.15 DSGVO sind seit nunmehr zwei Jahren bei vielen Unternehmen an der Tagesordnung. In vielen Fällen handelt es sich um Routineanfragen von Betroffenen. Wie in vielen Rechtsgebieten macht aber der Rechtsmissbrauch auch vor der DSGVO nicht halt. Auskunftsersuchen gehen manchmal auch mit Abmahnungen oder Schadensersatzforderungen einher.

AUSKUNFTSERSUCHEN HÄUFIG NUR FASSADE

Los geht es in der Regel mit einem schriftlich gestellten Auskunftsersuchen nach Art. 15 DSGVO. Ein Herr Pascal G. fordert per Fax eine Auskunft bzw. eine Negativauskunft sollten keine Daten über die Person vorhanden sein.

Im Internet kursieren bereits zahlreiche Meldungen (erste Meldungen bereits von 2019) von Abmahnungen durch besagten Pascal G. und seinen Anwalt. Die Vorgehensweise scheint immer ähnlich zu sein. Dem Auskunftsersuchen folgte meist, wenige Wochen später, ein Schreiben mit erheblichen Kostenforderungen von einem gewissen Pjotr Z. Das Schreiben wirft dem Verantwortlichen unterschiedlichste Fehler bei der Beantwortung des Auskunftsersuchens vor. Die Auskunftsforderungen sind augenscheinlich durchweg konkret geplant und nicht willkürlich. Der „Betroffene“ meldet sich meist für die Newsletter von Unternehmen an und fordert dann gezielt Auskunft über eben jene Daten, welche er dort hinterlassen hatte.

KONKRETE HANDLUNGSEMPFEHLUNG

Ungeachtet dessen, dass es sich aus unserer Sicht um Rechtsmissbrauch handelt, weil einzig darauf abgezielt wird, mit Zahlungsforderungen schnelles Geld zu generieren, muss das Auskunftsersuchen sachgemäß und korrekt beantwortet werden.

Wenn von der Person keine Daten in den Systemen (CRM, ERP, Newsletter etc.) vorliegen, so ist dem Betroffenen eine Negativauskunft zu erteilen:

 

Sehr geehrte/r Herr/Frau …,

 

wir verarbeiten von Ihnen keine personenbezogenen Daten. Sie erhalten daher diese Negativauskunft zur Bestätigung des Sachverhalts. Melden Sie sich gerne bei Fragen.

 Wir weisen Sie darauf hin, dass wir Ihre Anfrage und das vorliegende Schreiben zu Nachweiszwecken für ein Jahr speichern.

 

 Mit freundlichen Grüßen“

 

Sollten Ihnen personenbezogene Daten des Betroffenen vorliegen, müssten Sie nach Art. 15 DSGVO Auskunft über diese erteilen. Folgende Informationen muss eine Beantwortung enthalten:

 

  • Zweck der Verarbeitung

  • Kategorien der personenbezogenen Daten

  • Empfänger oder Kategorien der Empfänger, welche die pers.bez. Daten erhalten haben

  • Dauer der Verarbeitung oder Speicherung

  • Rechte der Betroffenen Person (Art.14-22 DSGVO)

  • Herkunft der Daten

  • Drittlandstransfer

  • Kopie der Daten (Auszug CRM etc.)

Projekt29 bietet hierzu eine entsprechende Formulierungshilfe zur besseren Beantwortung dieser rechtlichen Vorgaben an. Das entsprechende Formular erhalten Sie bei Ihrem P29-Datenschutzbeauftragten.

WAS GIBT ES ZUSÄTZLICH BEI EINEM AUSKUNFTSERSUCHEN ZU BEACHTEN?

Nachdem in den Datenbanken nun Informationen bzw. pers. bez. Daten des Betroffenen gefunden wurden, muss eine Identitätsüberprüfung durchgeführt werden. Handelt es sich bei der Person, welche das Auskunftsersuchen erstellt hatte, auch wirklich um den Betroffenen? Ist die angegebene E-Mail des Absenders auch die E-Mail, welche bei Ihnen im System hinterlegt ist? Bestehen begründete Zweifel daran, dass es sich um den Betroffenen handelt, fordern Sie eine Authentifizierung des Antragstellers an (Dinge die nur der Antragsteller wissen oder haben kann). Gerne beraten wir Sie zu diesem Thema ausführlich. Wenden Sie sich hierzu an Ihren P29-Datenschutzbeauftragten.

Beachten Sie, dass Sie bei der Beantwortung eines Auskunftsersuchens per E-Mail eine Verschlüsselung anbieten müssen, da hier personenbezogene Daten übertragen werden. Sollte keine Möglichkeit zur Verschlüsselung gegeben sein, beantworten Sie das Auskunftsersuchen per Post.

Sollten Auskunftsersuchen per Telefon gestellt werden, weisen Sie den Betroffenen daraufhin den Antrag bitte schriftlich per E-Mail oder Post zu stellen.