Der Angemessenheitsbeschluss CH: Datenaustausch Schweiz – EU
In diesem Rechtstipp der Woche stellen wir die wichtigsten Informationen zu der Erneuerung des Angemessenheitsbeschlusses der Schweiz vor.
1. Was ist das Recht auf Auskunft nach Art. 15 DSGVO?
2. Wie sollten Verantwortliche mit Anfragen nach Art. 15 DSGVO umgehen?
3. Wann wird keine Auskunft erteilt?
4. Mögliche Schadensersatzansprüche bei Verstößen gegen das Recht auf Auskunft
5. Fazit
Wer vom Datenschutz noch nicht gehört hat, lebt vermutlich sehr abgeschieden. Das Hören alleine reicht allerdings nicht aus, wenn es um den Betrieb eines Online-Shops geht. Die Datenschutz-Grundverordnung (DSGVO) stellt eine Vielzahl von Regelungen, welche im Umgang mit personenbezogenen Daten zu beachten sind. Nicht zuletzt räumt sie den betroffenen Personen eine ganze Reihe an Rechten ein. Bestimmt haben Sie schon von dem Recht auf Auskunft nach Art. 15 DSGVO gehört. In diesem Rechtstipp der Woche erfahren Sie, was das Recht auf Auskunft umfasst und welche Aufgaben sich daraus ergeben.
Das Recht auf Auskunft nach Art. 15 DSGVO gibt jeder Person das Recht, Auskunft darüber zu verlangen, ob ihre personenbezogene Daten verarbeitet werden und wenn ja, welche. Die betroffene Person kann auch verlangen, dass eine Kopie ihrer personenbezogenen Daten zur Verfügung gestellt wird, die in einem maschinenlesbaren Format vorzulegen ist (z.B. als Auszug aus dem CRM-System).
Das Recht auf Auskunft gibt somit den betroffenen Personen mehr Kontrolle über eigene personenbezogene Daten. Es gibt ihnen des Weiteren die Möglichkeit, die Daten zu überprüfen und sicherzustellen, dass diese korrekt sind, und ob die Verarbeitung überhaupt rechtmäßig ist.
Verantwortliche müssen sicherstellen, dass sie in der Lage sind, Anfragen nach Art. 15 DSGVO zu beantworten. Dies bedeutet, dass sie an allererster Stelle über geeignete Verfahren verfügen müssen, um personenbezogene Daten zu identifizieren und dem/der Antragsteller*in zugänglich zu machen.
Folgende Informationen sind dem/der Betroffenen mitzuteilen:
Diese Informationen können zum Teil dem erstellten Verzeichnis der Verarbeitungstätigkeiten oder auch der eigenen Datenschutzerklärung entnommen werden.
Nicht zu vergessen ist, dass die Anfragen innerhalb der vorgeschriebenen Frist von einem Monat beantwortet werden müssen. Eine Fristverlängerung ist um weitere 2 Monate möglich, hierfür müssen jedoch entsprechende Gründe mitgeteilt werden. Die Mitteilung selbst ist jedoch unverzüglich in jedem Fall spätestens innerhalb eines Monats nach Antragseingang vorzunehmen. Eine Verlängerung kann z.B. aufgrund der Komplexität oder der Anzahl der Anfragen erforderlich sein.
Das Vorgehen bei der Bearbeitung von Auskunftsanfragen sieht folgendermaßen aus:
Verarbeiten Sie hingegen keine personenbezogenen Daten der betroffenen Person, dürfen Sie das Auskunftsverlangen nicht einfach unbeantwortet lassen. Vielmehr sind Sie in diesem Fall zur Erteilung einer Negativauskunft verpflichtet.
Es gibt Ausnahmen zu jeder Regel, und das Auskunftsrecht ist dabei keine Ausnahme. In seltenen Fällen müssen Sie tatsächlich keine Auskunft erteilen. Dies ist z.B. dann der Fall, wenn die betroffene Person aufgrund ihrer Angaben nicht eindeutig identifizierbar ist. In einem solchen Fall kann die Auskunft verweigert werden, bis ausreichende Daten zur Identifizierung bereitgestellt werden. Eine Auskunft kann auch verweigert werden, wenn Anfragen exzessiv gestellt werden. Exzessiv ist ein Antrag z.B. dann, wenn er zu häufig wiederholt wird. Ob ein Antrag tatsächlich exzessiv ist, hängt von den Umständen des Einzelfalls und der Art der Datenverarbeitung ab. In den meisten Fällen werden Verantwortliche jedoch Auskünfte erteilen müssen.
Die DSGVO sieht in Art. 82 Abs. 1 einen Anspruch auf Ersatz des materiellen und immateriellen Schadens für betroffene Personen vor, die Opfer eines Datenschutzverstoßes geworden sind.
Wenn ein Unternehmen oder eine Organisation nicht in der Lage ist, eine Anfrage nach Art. 15 DSGVO (vollständig) zu beantworten oder dies nicht innerhalb der vorgeschriebenen Frist tut, kann dies auch zu Schadensersatzansprüchen führen.
Es ist wichtig zu beachten, dass dies nicht unbedingt ein finanzieller Schaden sein muss. Ein Verstoß gegen das Recht auf Auskunft kann auch einen immateriellen Schaden darstellen.
Unter den immateriellen Schaden fallen dabei alle Beeinträchtigungen des Persönlichkeitsrechts der betroffenen Personen durch den Datenschutzverstoß, insbesondere:
Wann genau der Schadensersatz verlangt werden kann, und wie dieser zu bemessen ist, war lange Gegenstand der langwierigen und hitzigen Diskussionen. Die Rechtsprechung dazu erwies sich bis jetzt als sehr widersprüchlich. Bagatellverstöße, die eine bloße individuell empfundene Unannehmlichkeit darstellen und nicht zu einer ernsthaften Beeinträchtigung führen, fallen zum Beispiel nach Ansicht des AG Diez sowie des AG Goslar nicht darunter. Ob eine solche Erheblichkeitsschwelle jedoch tatsächlich (konkludent) in Art. 82 DSGVO enthalten ist, musste der Europäische Gerichtshof entscheiden. Das Bundesverfassungsgericht hat ihm im Januar 2021 u.a. diese Frage zur Entscheidung vorgelegt.
Am 04.05.2023 hat der EuGH sein Urteil nun verkündet. Laut dem Gerichtshof begründet der bloße Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch. Es müssen vielmehr drei kumulative Voraussetzungen erfüllt sein:
Der Gerichtshof stellte fest, dass der bloße Verstoß gegen die DSGVO allein keinen Schadenersatzanspruch begründet. Allerdings beschränkt sich der Schadenersatzanspruch nicht auf immaterielle Schäden, die eine gewisse Erheblichkeit erreichen. Eine solche Beschränkung stünde laut EuGH zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch.
Der Ersatz eines immateriellen Schadens wird somit nicht von einer Erheblichkeitsschwelle abhängig gemacht.
Weiterhin stellte der EuGH fest, dass die DSGVO keine Bestimmungen zur Bemessung eines Schadensersatzes enthalte. Die Kriterien für die Ermittlung des geschuldeten Schadensersatzumfangs aufzustellen, ist Aufgabe der nationalen Gerichte.
Ob diese Entscheidung gleichzeitig das Tor für eine neue Abmahnwelle öffnet, bleibt nun abzuwarten. Mehr zu den aktuellen Abmahntücken bei der Auskunftserteilung finden Sie in unserem Artikel: Aktuelle Abmahngefahr für Newsletter-Anmeldung 15 DSGVO – Schadensersatz nach fehlerhafter Auskunftserteilung.
Das Recht auf Auskunft nach Art. 15 DSGVO ist ein Instrument, das betroffenen Personen mehr Kontrolle über ihre persönlichen Daten gibt. Unternehmen und Organisationen müssen sicherstellen, dass sie in der Lage sind, Anfragen nach Art. 15 DSGVO zu beantworten und dies innerhalb der vorgeschriebenen Frist tun. Andernfalls können Schadensersatzansprüche entstehen, die finanzielle und immaterielle Schäden umfassen können. Es ist daher unerlässlich, sich der Bedeutung des Rechts auf Auskunft bewusst zu sein und sicherzustellen, dass Sie angemessene Maßnahmen ergreifen, um Ihren Verpflichtungen nachzukommen.
Benötigen Sie dabei Hilfe? Dann schauen Sie sich gerne unsere Legal Produkte an und vereinbaren Sie einen Beratungstermin, damit wir genau das Richtige für Sie finden!
Tetiana Popova ist Wirtschaftsjuristin und als Legal Consultant bei Trusted Shops tätig. Ihr Bachelorstudium des Wirtschaftsrechts sowie Masterstudium des Medienrechts und Medienwirtschafts hat sie an der Technischen Hochschule Köln absolviert. Sie betreut die Trusted Shops Legal Produkte und setzt sich intensiv mit den für Online-Shops relevanten Rechtsgebieten, wie Datenschutz- und E-Commerce-Recht auseinander.
11.05.23In diesem Rechtstipp der Woche stellen wir die wichtigsten Informationen zu der Erneuerung des Angemessenheitsbeschlusses der Schweiz vor.
Elektronik-Shops aufgepasst! Ab 28.12.2024 gelten für bestimmte Produkte neue Kennzeichnungspflichten hinsichtlich eines eventuell enthaltenen Ladegeräts.