Essen. . Die Aufforderung nach Löschung persönlicher Daten macht Unternehmen ratlos. Die neue Verordnung sorgt für Ansturm auf die NRW-Datenschutzbehörde.
Vier Wochen nach Inkrafttreten der neuen Datenschutzverordnung (DSGVO) ist die Verunsicherung so groß wie nie. Die NRW-Datenschutzbeauftragte kann sich vor Anfragen nicht retten. Unternehmen erhalten dubiose Schreiben von Unbekannten, die über Schadenersatzansprüche womöglich Kapital aus der neuen Verordnung schlagen wollen.
Etliche Unternehmen in der Region erhielten in den vergangenen Tagen Post von einem Menschen aus Köln, den sie nach eigenen Angaben gar nicht kennen. Der Brief liegt dieser Redaktion vor. „Nach Art. 15 DSGVO habe ich das Recht, von Ihnen eine Bestätigung darüber zu verlangen, ob Sie personenbezogene Daten über meine Person gespeichert haben. Sofern dies der Fall ist, so habe ich ein Recht auf Auskunft über diese Daten“, schreibt der Mann aus Köln, der seine postalische und die IP-Adresse seines Computers angibt.
Anspruch auf Schadenersatz
Er beruft sich auf die Datenschutzverordnung, die jedem Bürger das Recht einräumt zu erfahren, welche Daten Unternehmen über die betreffende Person gespeichert haben. Unter mehreren Spiegelstrichen geht der Absender ins Detail. Unter anderem schreibt er: „Sofern die Daten nicht bei mir erhoben werden, fordere ich Sie auf, mir alle verfügbaren Informationen über die Herkunft der Daten mitzuteilen.“ Die Fragen sind so speziell, dass die Firmen große Schwierigkeiten haben, sie zu beantworten. Am Ende des Katalogs fordert er schließlich die unmittelbare Löschung all seiner Daten.
Die Unternehmen, die das Schreiben erhalten haben, geben an, den Mann gar nicht zu kennen. Sie müssen ihm aber dennoch antworten. Eine Firma hat den Remscheider Anwalt Vincent Wollweber damit beauftragt. „Ziel von ,unseriösen‘ Auskunft- und Löschungsverlangen könnten u.a. Schadenersatzansprüche gemäß Artikel 82 der DSGVO sein“, vermutet der Jurist. Wie hoch die ausfallen könnten, sei aktuell aber überhaupt nicht absehbar. Wollweber verweist darauf, dass es wenige Wochen nach Inkrafttreten der Datenschutzverordnung naturgemäß noch keine aussagekräftige Rechtsprechung gebe.
Missbrauch der Verordnung nicht ausgeschlossen
Der Anwalt will nicht ausschließen, dass der konkrete Fall „rechtsmissbräuchlich“ sein könnte, wenn die angeschriebenen Unternehmen „keinerlei Verbindung“ zu dem Mann hätten. Wollweber rät den Firmen aber dennoch, sorgfältig zu antworten. „Ich empfehle, auch diese Personen über die Ihnen zustehenden Rechte nach der DSGVO zu belehren, mitzuteilen, dass personenbezogene Daten dieser Person bislang nicht vorgelegen haben und zu erklären, dass übersandte personenbezogene Daten im Auskunftverlangen ausschließlich für die Beantwortung des Auskunftsersuchens und die entsprechende Nachweisbarkeit der Beantwortung genutzt werden.“
„Nach meiner Einschätzung dürfte ein datenschutzrechtliches Auskunft- und Löschungsverlangen von einer Person, zu der vor dem Auskunftverlangen keinerlei Verbindung bestanden hat und von der keine personenbezogenen Daten vorgelegen haben, jedenfalls dann rechtsmissbräuchlich sein, wenn diese Person massenhaft Auskunfts- und Löschungsverlangen an Unternehmen gesendet hat, zu denen sie wissentlich keinen Kontakt gehabt hat.“ Um die Identität des Auskunftsuchenden zu überprüfen, könne er gegebenenfalls auch aufgefordert werden, eine bis auf den Namen und die Anschrift geschwärzte Kopie des Personalausweises zu übersenden.
„Ünzählige telefonische Anfragen“
Die Verunsicherung durch die DSGVO beschert auch dem Team der NRW-Datenschutzbeauftragten Helga Block deutlich mehr Arbeit. Nach Angaben ihres Sprechers gingen im gesamten Jahr 2017 rund 4000 schriftliche Anfragen bei der Behörde ein. „Bis Anfang Juni 2018 waren es bereits 4500“, sagt Daniel Strunk. „Hinzu kommen unzählige telefonische Anfragen, die wir gar nicht statistisch erfassen.“
Während Datenschutzbeauftragte in anderen Bundesländern die Annahme von Telefonaten halbtags kappen und nach zusätzlichem Personal rufen, ist die Lage in Düsseldorf noch einigermaßen entspannt. „Wir haben uns frühzeitig auf die DSGVO vorbereitet und bereits im Jahr 2015 zusätzliche Stellen erhalten“, sagt Strunk. Sollte der Anfrage-Ansturm auf seine Behörde aber anhalten, werde der Personalstamm aber „vermutlich nicht ausreichen“.
Bei der NRW-Datenschutzbeauftragten arbeiten aktuell 60 Beschäftigte, 50 davon im unmittelbaren Datenschutz.