schadenersatz betroffenenrechte auskunftsrecht löschrecht

Betroffenenrechte – Beginn der Frist zur Beantwortung

/von

Jede natürliche Person hat aus den Art. 15 bis 22 DSGVO das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie ein Widerspruchsrecht und das Recht nicht ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Wir hatten zu diesen Rechten der betroffenen Personen eine ganze Artikelserie veröffentlicht. Sie finden die Artikel hier:

Sofern eine betroffene Person eines dieser Rechte geltend macht, beginnt für den Verantwortlichen die Uhr zu ticken. Art. 12 Abs. 3 DSGVO legt vermeintlich unmissverständlich fest: „Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung“. Leider ist diese knackige Formulierung in der Praxis nicht ganz so eindeutig, wie man erwarten könnte.

Ein Monat Zeit – oder doch nicht?

Zunächst einmal möchten wir mit dem Mythos aufräumen, dass die reguläre Frist für die Beantwortung der Anfragen betroffener Personen einen Monat beträgt. Art. 12 Abs. 3 DSGVO verlangt, dass der Verantwortliche der betroffenen Person die getroffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellt. Zunächst also „unverzüglich“, demnach laut § 121 Abs. 1 BGB „ohne schuldhaftes Zögern“. Die Monatsfrist ist dann eine Höchstfrist, wobei die Ausnahme des Art. 12 Abs. 3 S. 2 DSGVO eine Verlängerung um bis zu zwei weitere Monate zulässt.

Ist die Bearbeitung schneller möglich und zumutbar, hat dies entsprechend früher zu erfolgen. Da es in der Praxis jedoch schwierig sein wird, nachzuweisen, dass die Bearbeitung auch schneller hätte erfolgen können, wird es in der Regel auf die einmonatige Frist und bei Verlängerung auf die maximal dreimonatige Frist, hinauslaufen.. Die Frist beginnt mit dem Eingang des Antrags. Am Beispiel eines Auskunftsersuchens hat der Europäische Datenschutzausschuss (EDSA) in einer Leitlinie hierzu ausgeführt, dass der Antrag den Verantwortlichen über einen seiner offiziellen Kanäle erreicht haben muss, der Eingang allerdings auch als erfolgt gilt, wenn der Verantwortliche davon keine Kenntnis genommen hat. Es ist also wichtig, die offiziellen Kanäle im Blick zu behalten und nicht etwa nur wöchentlich oder gelegentlich nachzusehen, ob etwas eingegangen ist.

Unsicherheit bei der Identität der betroffenen Person

Die Betroffenenrechte aus der DSGVO sind höchstpersönliche Rechte. Das bedeutet, dass sie nur der betroffenen Person selbst zustehen. Nur unter engen Voraussetzungen können höchstpersönliche Rechte zur Ausübung auf Bevollmächtigte übertragen werden. Die Vollmacht muss dann aber ausdrücklich diese Übertragung zur Ausübung enthalten. Eine allgemeine Vollmacht reicht hier nicht aus. Die Vollmacht muss sich auf die Ausübung der Rechte aus der DSGVO beziehen. Und sie muss im Original vorgelegt werden.

Was aber, wenn der Verantwortliche nicht sicher ist, ob die Anfrage tatsächlich von der betroffenen Person kommt oder die Vollmacht tatsächlich ausreichend ist?

Die Identifizierung der betroffenen Person gemäß DSGVO spielt eine entscheidende Rolle für den Schutz personenbezogener Daten. Kann der Verantwortliche anhand der gemachten Angaben die betroffene Person nicht eindeutig identifizieren und die betroffene Person muss weitere Informationen beibringen damit eine Identifizierung durchgeführt werden kann, beginnt die Frist an dem Tag, an dem der Verantwortliche, der unverzüglich die erforderlichen Informationen angefragt hat, Gewissheit über die Identität der auskunftsersuchenden Person hat (vgl. 12. Tätigkeitsbericht 2022 des Bayerischen Landesamtes für Datenschutzaufsicht, Ziff. 11.2).

Die Frist für die Bearbeitung des Auskunftsersuchens beginnt daher, sobald die betroffene Person identifiziert ist. Das bedeutet, dass die Frist nicht automatisch an dem Tag beginnt, an dem die Anfrage durch die betroffene Person gestellt wurde oder beim Verantwortlichen eingegangen ist, sondern an dem Tag, an dem die Identifizierung abgeschlossen ist. Dies kann bedeuten, dass die Frist unter Umständen erst deutlich nach der eigentlichen Anfrage beginnt.

Wenn sich die betroffene Person nicht meldet

Es kann vorkommen, dass die betroffene Person sich nicht unmittelbar nach der Aufforderung zur Identifizierung meldet. Dies kann verschiedene Gründe haben, beispielsweise Urlaub oder andere Verpflichtungen. In solchen Fällen sollte der Verantwortliche Geduld haben. Die DSGVO legt für die betroffenen Personen interessanterweise keinerlei Fristen fest. Somit definiert sie auch keine genaue Frist, innerhalb derer eine betroffene Person auf Rückfragen reagieren muss. Auch wenn es nicht durch die DSGVO vorgeschrieben ist, empfehlen wir, in angemessenem zeitlichen Abstand nach der Rückfrage, eine Erinnerung zu versenden, um den Prozess voranzutreiben.

Solche Verzögerungen können dennoch dazu führen, dass die maximale Bearbeitungsfrist von einem Monat ab Eingang beim Verantwortlichen rein zeitlich betrachtet überschritten wird. Es ist auch nicht ausgeschlossen, dass sich die betroffene Person trotz Nachfrage gar nicht mehr meldet. Wir empfehlen hier im Prozess die Anzahl der Erinnerungen und die jeweiligen Zeitpunkte für diese festzulegen. Gleiches gilt für den Ablauf, wenn die betroffene Person sich gar nicht meldet. Insbesondere die Anzahl der Erinnerungen sollte vom Risko abhängen. Nicht immer werden die Betroffenenrechte tatsächlich aus  datenschutzrechtlichen Gründen ausgeübt. Manchmal dient die Ausübung der Betroffenenrechte auch einem anderen Zweck und es wird angenommen oder sogar gehofft, dass der Verantwortliche dabei Fehler macht und damit unter Umständen ein Schadensersatzanspruch begründet sein könnte. Diese „Geschäftsmodelle“ treffen wir in der Praxis immer wieder an und sie sind häufig daran zu erkenne, dass bereits am Anfang ein Anwalt eingeschaltet wird oder das Portal eines hierauf spezialisierten Dienstleisters für die Übermittlung der Anfrage genutzt wird. Bitte beachten Sie, dass im Rahmen der Rückfrage gemäß Art. 12 Abs. 4 DSGVO über die Gründe dafür, weshalb man als Verantwortlicher zunächst nicht tätig wird sowie die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, informiert werden muss.

Für den Fall, dass sich die betroffene Person daraufhin bei dem Verantwortlichen oder direkt bei der Datenschutzaufsichtsbehörde beschwert, ist es ratsam, die Einhaltung des eingerichteten Prozesses generell nachweisen zu können.

Die Kommunikation zwischen Unternehmen und betroffener Person ist der Schlüssel, zu transparenten Lösungen und Wahrung der Rechte.

Fazit

Die korrekte Einhaltung der Fristen nach Kapitel III der DSGVO erfordert neben Geduld auch Sorgfalt. Die Identifizierung der betroffenen Person, die Kommunikation und die Berücksichtigung möglicher Verzögerungen sind entscheidend, um die Rechte der betroffenen Personen zu wahren. Die Prozesse müssen daher transparent gestaltet und intern klar kommuniziert werden, um sowohl die betroffenen Personen als auch die im Unternehmen mit der Bearbeitung betrauten Personen gleichermaßen zu unterstützen.

 

Das könnte Sie auch interessieren
DSGVO-OmnibusDer Omnibus ist unterwegs – ein Update für die DSGVO
telefax kopieAuskunft nach Art. 15 DSGVO – was ist eine Kopie?
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotAktuelle Rechtsprechung zur Videoüberwachung
usa scc standardvertragsklauseln trans-atlantic data protection framework tadpf eu-us data protection framework dpfDatenschutzabkommen zwischen der EU und den USA steht
Neues zum Auskunftsrecht der DSGVO
tracking newsletter notwendige dienste cookies facebook gemeinsame verantwortlichkeitDas Dilemma mit den „technisch notwendigen“ Diensten und Cookies
Juristische Personen als Datenschutzbeauftragte – geht das?auftragsverarbeitung kontrolle juristische person als datenschutzbeauftragterTOM technische organisatorische maßnahmen schufa scoringDer kleine TOM mal wieder – was ist besser? Technische oder organisatorische...