Auskunftsrecht nach DS-GVO: Der freundliche Folter-Fragebogen

Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung – kurz: DS-GVO. Besonders das Auskunftsrecht kann Online- und Multichannel-Händler hier künftig in Schwierigkeiten bringen. Drastische Bußgelder drohen bei Fehlern. Wie bei Bedarf gegenüber Verbrauchern eine Auskunft erteilt werden muss, beschreibt der auf E-Commerce spezialisierte Rechtsanwalt Rolf Becker.

Die DS-GVO will Transparenz schaffen. Bei dem neuen Auskunftsrecht handelt es sich daher um das zentrale Recht des Betroffenen. Unter dem Titel „Thoms Fassung von Framstags freundlichem Folterfragebogen“ (kurz TFFFFF oder T5F) ist schon unter der Geltung des alten BDSG eine Vorlage bekannt, mit der Betroffene so eine Auskunft verlangen können. Jetzt werden Überarbeitungen angeboten, die auf die DSGVO abgestimmt sind. Experten erwarten eine deutliche Zunahme der Anfragen, zumal Medien jetzt die Verbraucher auf ihre Rechte aufmerksam machen werden.

Der Anspruchsteller kann zum Beispiel ein Verbraucher sein. Zunächst richtet sich das Recht auf die Abgabe einer Bestätigung. Sind keine personenbezogenen Daten in einem Unternehmen gespeichert oder wurden Daten anonymisiert, muss dem Anfrager eine so genannte „Negativbestätigung“ zugeleitet werden. Konkret heißt es dazu in Art. 15 Abs. 1 Satz 1 der DSGVO:

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden;

Liegen solche Daten vor (z. B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, Kaufhistorie), so müssen sie in die Auskunft als Kopie der Daten aufgenommen werden. Das gilt auch für gesperrte Daten und Daten, die in der Vergangenheit vor Geltung der DSGVO erfasst wurden.

Der Anspruchsinhaber ist im Zusammenhang mit der Auskunft erneut über bestimmte Rechte zu belehren. Zu den Daten sind daher zusätzlich jeweils in die Auskunft aufzunehmen:

  • Verarbeitungszwecke (auf plausible Nachfrage auch zu Rechtsgrundlagen der Verarbeitung)
  • Kategorien personenbezogener Daten, die verarbeitet werden (z.B. Bonitätsdaten)
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben
  • geplante Speicherdauer, andernfalls Kriterien für Festlegung der Speicherdauer
  • Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DSGVO
  • Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde
  • Informationen über Herkunft der Daten, soweit nicht bei der Person selbst erhoben
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit Informationen über die involvierte Logik sowie Tragweite und Auswirkungen solcher Verfahren

Wurden Daten an Drittländer außerhalb der EU bzw. außerhalb des EWR (Island, Liechtenstein und Norwegen) übermittelt oder soll dies künftig geschehen, dann muss der Betroffene informiert werden, wie seine Daten geschützt werden, z.B. durch Angabe der Garantien nach Art. 46 DSGVO, also z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, also sog. Binding Corporate Rules. Man sollte etwa beim Einsatz von Google Analytics solche Informationen vorbereiten. Das kann die Sequenz sein, die Sie bereits in den Datenschutzhinweisen vorhalten.

Die Auskunft erfolgt elektronisch in einem gängigen Format (z.B. PDF; idealer Weise per Download-Möglichkeit), wenn der Antrag per E-Mail gestellt wurde. Auf Wunsch kann die Auskunft auch mündlich erteilt werden oder sonst schriftlich. In jedem Fall sollte man möglichst sicherstellen, dass man die Daten der richtigen Person zugänglich macht (Kontrollfragen, Identifizierung, Double-Opt-In) und dass dabei sichere Wege genutzt werden (z.B. verschlüsselter Zugang zu einem Download-Bereich).

Händler müssen „unverzüglich“ kostenlos Auskunft erteilen – also ohne schuldhaftes Zögern. Das dürfte im Regelfall innerhalb einer Woche möglich sein, wenn die Prozesse eingerichtet sind. Das Gesetz schreibt vor, dass Sie vorbereitet sein müssen. Längstens in Ausnahmefällen dürfen Sie sich einen Monat Zeit lassen. Dauert es länger, müssen Sie den Anspruchsinhaber über die Gründe informieren.

Kosten dürfen nur für Kopien verlangt werden. Mit der Kostenschraube können Sie auch versuchen, bei offenkundig unbegründeten exzessiven Anträgen (häufige Wiederholungen) ein Entgelt für die Auskunft zu verlangen (Art. 12 Abs. 5 Satz 2, ErwGr. 63). Bei Missbrauchsfällen kann man sich auch weigern.

Aber Achtung: Bußgelder drohen, wenn keine oder eine unvollständige oder verspätete Auskunft erteilt wird. Die Behörden wollen Faktor 60 anwenden. Kostete also z.B. eine versäumte Auskunft bislang 1.000 Euro, sollten künftig 60.000 Euro fällig werden. Betroffene können auf Auskunft klagen.

Rolf Becker
Rolf Becker (Bild: eigenes Foto)

Rechtsanwalt Rolf Becker (siehe Foto) ist Mitglied der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht e.V. GRUR und Mitglied des ECC-Club – ein Netzwerk für E-Commerce und Cross-Channel – und ständiger Teilnehmer in der Expertenrunde Recht der Stiftung Warentest (Finanztest).

Neben der Beratung im Werbe- und Wettbewerbsrecht sowie zu Urheber- und Markenrechtsfragen im Distanzhandel und dem E-Commerce liegen weitere Schwerpunkte in der Beratung zum Direktmarketing, IT-Recht und dem Datenschutzrecht. E-Mail-Kontakt: rbecker@kanzlei-wbk.de

P.S.: Verpassen Sie keine Beiträge mehr! Jeden Freitag liefert Ihnen unser Newsletter alle Nachrichten, Analysen und Insider-Infos der Woche kostenlos in Ihr Postfach. 3.944 Kollegen aus dem Versand- und Multichannel-Handel nutzen diesen Service schon, um up-to-date zu bleiben. Hier geht es zum Abo.