Der Angemessenheitsbeschluss CH: Datenaustausch Schweiz – EU
In diesem Rechtstipp der Woche stellen wir die wichtigsten Informationen zu der Erneuerung des Angemessenheitsbeschlusses der Schweiz vor.
Inhaltsverzeichnis:
1. Die Abmahngefahr infolge einer Auskunftserteilung
2. Wer hat einen Anspruch auf Auskunft?
3. Der Inhalt einer Auskunft
4. Form und Frist der Auskunft
5. Verweigerung der Auskunft
6. Unser Tipp
Die mangelhafte Umsetzung des Auskunftsrechts nach Art. 15 DSGVO stellt eine zentrale Abmahngefahr für viele Online-Shops dar.
Art. 15 DSGVO regelt das Recht von betroffenen Personen, bei Verantwortlichen Auskunft über die von ihnen verarbeitenden Daten zu beantragen.
Eine datenschutzkonforme Antwort gestaltet sich für viele jedoch als kompliziert und aufwendig.
Dies führt aktuell zu vermehrten Abmahnungen in Bezug auf eine unterbliebene oder nicht vollständige Auskunftserteilung.
Um Abmahnungen und Schadensersatzansprüche zu vermeiden, stellen wir Ihnen die Anforderungen einer datenschutzkonformen Auskunft und übliche Fehler im Folgenden vor.
Das Auskunftsrecht nach Art. 15 DSGVO bietet jeder Person die Möglichkeit, ohne weiteren Angaben zu möglichen Gründen seine personenbezogenen Daten abzufragen.
Stark abmahngefährdet sind insbesondere die Fälle, in denen sich eine betroffene Person erst für einen angebotenen Newsletter angemeldet hat und später eine Auskunft über ihre personenbezogenen Daten einfordert.
Um einen Schadensersatzanspruch abzuwenden, ist es entscheidend, auf diese Forderung inhaltlich korrekt und fristgemäß zu antworten.
Diesbezüglich finden Sie in Ihrem Legal-Account hilfreiche Musterantworten und Vorlagen.
Grundsätzlich hat jede Person einen Anspruch auf ordnungsgemäße Auskunftserteilung.
Wichtig zu beachten ist, dass die Identität der Antragstellerin oder des Antragstellers seitens des Verantwortlichen explizit geprüft werden muss.
Falls es sich zum Beispiel um eine telefonische Auskunftsanfrage handeln sollte, muss vor der Herausgabe der personenbezogenen Daten sichergestellt werden, dass es sich auch wirklich um die angegebene betroffene Person handelt. Ob dies zum Beispiel durch einen Abgleich der Geburtsdaten oder durch die Übermittlung einer Ausweiskopie sichergestellt wird, ist in einer Einzelfallentscheidung zu beurteilen.
Grundsätzlich kann die Verwendung unbekannter Kontaktdaten oft berechtigte Zweifel seitens des Verantwortlichen begründen.
Für den Umfang der Auskunft ist grundsätzlich der Datenbestand zum Zeitpunkt des Auskunftsersuchens relevant.
Grundsätzlich sind alle gespeicherten allgemeinen personenbezogenen Daten wie Name, Anschrift, Geburtsdatum, Beruf, IP-Adresse etc. darzulegen .
Weitergehend sind seitens des Verantwortlichen ebenfalls gemäß Art. 15 DSGVO folgende Informationen mitzuteilen:
Falls keine personenbezogenen Daten der oder des Betroffenen gespeichert sein sollten, ist es entscheidend, dass diese Anfragen nicht ignoriert werden.
Auch ein solches Auskunftsersuchen muss insofern datenschutzkonform erwidert werden, dass keine personenbezogenen Daten worden sind.
Grundsätzlich kann die Auskunft in schriftlicher- oder elektronischer Form erteilt werden.
Eine mündliche beziehungsweise telefonische Erteilung der Auskunft ist ebenso möglich. In diesem Fall sollte jedoch darauf geachtet werden, dass die korrekte Identität der oder des Betroffenen zweifelsfrei festgestellt werden kann.
Entscheidend ist, dass die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form erteilt wird.
Um eine Abmahnung zu vermeiden ist weitergehend zu beachten, dass das Auskunftsersuchen innerhalb eines Monats nach Eingang des Antrags beantwortet werden muss.
In der Regel sind die jeweiligen Auskunftserteilungen für die Verantwortlichen verpflichtend.
Ausnahmen, die ein Auskunftsverweigerungsrecht begründen würden, wären lediglich Fälle, in denen die oder der Betroffene anhand seiner Angaben nicht zweifelsfrei identifizierbar ist.
In einem solchen Fall könnte die Auskunft so lange verweigert werden, bis die Person ausreichend Daten für ihre Identifizierung bereitstellt.
Außerdem ist es möglich, eine Auskunft zu verweigern, wenn entsprechende Anträge exzessiv gestellt werden. Ab wann sich Anträge als „zu häufig“ qualifizieren, muss jedoch im konkreter Einzelfall in Hinblick auf die jeweilige Datenverarbeitung beurteilt werden.
Neben Abmahnungen und Schadensersatzansprüchen ist es der oder dem Betroffenen außerdem möglich, binnen eines Jahres eine Beschwerde bei der Aufsichtsbehörde einreichen.
Entsprechend sollten die innerbetrieblichen Prozesse an derartige Anfragen angepasst werden, um inhaltlich korrekte und fristgemäße Auskünfte gegenüber den betroffenen Personen zu erteilen.
Über den Autor
Thomas Josef Zieba ist Legal Consultant bei Trusted Shops sowie Rechtsanwalt der Kanzlei FÖHLISCH. Er studierte Rechtswissenschaften an der Universität Münster. Sein Referendariat absolvierte er im Bezirk des Oberlandesgerichts Köln mit Stationen u.a. bei der Kanzlei WILDE BEUGER SOLMECKE und HMS Barthelmeß Görzel Rechtsanwälte. Anschließend war er als Rechtsanwalt im Bereich des Handels- und Wirtschaftsrechts bei der Kanzlei GRP Rainer Rechtsanwälte tätig, dort war er unter anderem zuständig für die Betreuung internationaler Mandate.
19.01.23In diesem Rechtstipp der Woche stellen wir die wichtigsten Informationen zu der Erneuerung des Angemessenheitsbeschlusses der Schweiz vor.
Elektronik-Shops aufgepasst! Ab 28.12.2024 gelten für bestimmte Produkte neue Kennzeichnungspflichten hinsichtlich eines eventuell enthaltenen Ladegeräts.