Den Betroffenen stehen nach der DSGVO zahlreiche Rechte zu. Die Ausübung dieser Rechte soll den Betroffenen unter anderem ermöglichen, die Rechtskonformität der Verarbeitung zu überprüfen (Recht auf Auskunft, Art 15 DSGVO) bzw herbeizuführen (Berichtigung, Einschränkung Löschung, Art 16 bis 18 DSGVO). Doch was ist, wenn es der betroffenen Person gar nicht um den Datenschutz an sich geht, sondern vielmehr darum aus datenschutzrechtlichen Fehlern des Verantwortlichen Kapital zu schlagen? Wann liegt ein Rechtsmissbrauch vor?
In der Beratungspraxis begegnen einem immer häufiger Fälle, in denen Datenschutz als Mittel gegen den Verantwortlichen eingesetzt wird, um Zahlungen durchzusetzen. Die Vorgehensweise ist hierbei die folgende: Eine betroffene Person beantragt zumeist Auskunft nach Art 15 DSGVO und erhält diese. An der Auskunft lassen sich oft datenschutzrechtliche Fehler des Verantwortlichen ablesen (Beispiele: fehlende Verarbeitungszwecke, Beauskunftung veralteter oder bereits als gelöscht angegebener Daten, fehlende Auskunft über Empfänger). Die betroffene Person tritt nun an den Verantwortlichen heran und weist auf diese Fehler hin. Gleichzeitig lässt sie durchblicken, dass gegen Zahlung einer bestimmten Summe von einer Beschwerde bei der Datenschutzbehörde abgesehen werden könne.
Beurteilung der Datenschutzbehörde
Die Datenschutzbehörde hat entschieden, dass in so einem Fall eine Beschwerde rechtsmissbräuchlich ist (DSB-D124.1473/22) und die Behandlung der Beschwerde wegen offensichtlicher Unbegründetheit abgelehnt. Im vorliegenden Fall teilte die betroffene Person dem Verantwortlichen nach Erteilung der Auskunft folgendes mit:
„Bezugnehmend auf ihre Schreiben an mich muss ich ihnen leider mitteilen, dass sie meine Daten widerrechtlich verarbeiten, Ihre Pflichten aus Art 15 DSGVO unvollständig und fehlerhaft erfüllt haben und mich daher ihr nachlässiger Umgang mit dem Thema Datenschutz nicht nur massiv nervt, sondern mir auch erhebliches Unwohlsein bereitet.
Ich erkläre mich aber gerne bereit den mir von ihnen zugefügten Schaden durch eine einmalige Zahlung von EUR 2.900,00 unter Angabe des Verwendungszwecks „****“ binnen einer Woche auf mein Konto IBAN AT**** zur Gänze ersetzen zu lassen.
Im Gegenzug verpflichte ich mich dazu keine Beschwerde bei der Datenschutzbehörde bzw. keine Schadenersatzklage beim zuständigen Gericht gegen Sie einzubringen.“
DSB-D124.1473/22, Punkt C
Die Behörde stützte die Ablehnung auf Art 57 Abs 4 DSGVO nach der offensichtlich unbegründete Beschwerden abgelehnt werden dürfen. Wer also den Verantwortlichen in dieser Form unter Druck setzt, kann sich keine Unterstützung durch die Datenschutzbehörde erhoffen.
Praxistipps
Verantwortliche sollten bei ähnlichen Konstellationen auf jeden Fall gegenüber der Behörde offenlegen, dass der Betroffene angeboten hat, gegen Zahlung eines bestimmten Betrages von der Beschwerde abzusehen. Dies verbessert im gegenständlichen Verfahren die Position erheblich. Hierbei muss jedoch eine klare Verbindung zwischen beiden Themen hergestellt werden. Fordert zB ein Betroffener Schadenersatz und kündigt zugleich eine Beschwerde an, ist dies an sich wohl nicht rechtsmissbräuchlich.
Auch rechtsmissbräuchliche Beschwerden sollten zum Anlass genommen werden, Datenschutz-Compliance im Unternehmen zu überprüfen. Es sollte das Ziel sein, Auskünfte so zu erteilen, dass diese auch einer behördlichen Überprüfung standhalten.
Sie haben weitere Fragen im Datenschutzrecht?
Sie haben weitere Fragen zum Auskunftsrecht oder möchten sich in anderen Bereichen des Datenschutzrechts beraten lassen? Melden Sie sich gerne bei uns unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.