Auskunftsrechte von betroffenen Personen gegen Online-Händler nach der künftigen Datenschutz-Grundverordnung
Die ab 25.5.2018 geltende Datenschutz-Grundverordnung (DSGVO) verstärkt massiv die Auskunftsrechte Betroffener gegenüber Online-Händlern. Online-Händler, die diese Auskunftsrechte missachten, müssen mit empfindlichen Bußgeldern und Abmahnungen rechnen. Der folgende Beitrag gibt Online-Händlern einen Überblick über die Auskunftsrechte Betroffener nach der künftigen DSGVO und Praxistipps, wie sie diesen Auskunftsrechten entsprechen können.
Inhaltsverzeichnis
- 1. Klärung einiger wichtiger Grundbegriffe (Verantwortliche, Betroffene)
- 2. Transparente und verständliche Information zu den Auskunftsrechten
- 3. Inhalt und Umfang des Auskunftsrechts
- 3.1 Namen und Kontaktdaten des Online-Händlers
- 3.2 Kontaktdaten des Datenschutzbeauftragten
- 3.3 Konkrete Rechtsgrundlage für die Verarbeitung personenbezogener Daten des Betroffenen
- 3.4 Einwilligung des Betroffenen als Rechtsgrundlage für eine Verarbeitung personenbezogener Daten
- 3.5 Durchführung eines Vertrages oder Durchführung vorvertraglicher Maßnahmen als Rechtsgrundlage für eine Verarbeitung personenbezogener Daten
- 3.6 Verarbeitung von personenbezogenen Daten Betroffener zur Wahrung berechtigter Interessen des Online-Händlers als Rechtsgrundlage
- 3.7 Information über die Empfänger von personenbezogenen Daten
- 3.8 Dauer der Speicherung von personenbezogenen Daten
- 3.9 Hinweis auf Auskunftsrecht
- 3.10 Hinweis auf Betroffenenrechte
- 3.11 Information über Herkunft von personenbezogenen Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
- 3.12 Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
- 4. Form und Frist der Auskunftserteilung
- 5. Kosten der Auskunftserteilung, Grenzen des Auskunftsrechts
- 6. Identitätsprüfung
- 7. Rechtsfolgen bei Verstoß gegen das Auskunftsrecht des Betroffenen
- 8. Fazit und Hinweis auf Muster zum Auskunftsverlangen
1. Klärung einiger wichtiger Grundbegriffe (Verantwortliche, Betroffene)
In der Sprache der DSGVO sind Online-Händler sogenannte "Verantwortliche".
"Betroffene" sind Besucher ihrer Webseite, also nicht nur ihre Kunden, sondern jeder, der ihre Webseite als Besucher anklickt. Auch Besucher der Webseite hinterlassen personenbezogene Daten, die durch den Online-Händler z.B. für Werbezwecke verarbeitet und genutzt werden können.
Wenn Online-Händler nicht über ein Online-Unternehmen agieren, sondern als Einzelperson, dann ist dieser Online-Händler als natürliche Person auch der Verantwortliche. Wenn Online-Händler als Online-Unternehmen in der Form einer eigenständigen juristischen Person organisiert sind (z. Beispiel GmbH), dann haben sie die Wahl: Sie können sich oder einen Geschäftsführer als Verantwortlicher benennen. Sie können aber auch die juristische Person selbst (z.B. die GmbH) als Verantwortlichen benennen. Aus Haftungsgründen ist es zweckmäßig, nicht eine persönliche Person, sondern eine juristische Person mit beschränkter Haftung als Verantwortlichen zu benennen.
Der Einfachheit halber soll im Folgenden nicht vom Verantwortlichen, sondern vom Online-Händler die Rede sein.
2. Transparente und verständliche Information zu den Auskunftsrechten
Der Online-Händler muss den Betroffenen in transparenter und verständlicher Weise über seine Auskunftsrechte informieren (Art. 12 DSGVO Der Betroffene muss als Laie in die Lage versetzt werden, sich über seine Auskunftsrechte zu informieren und zu erfahren, an wen er sich wegen der Ausübung dieser Rechte wenden muss. Wie Online-Händler diesen Vorgaben der DSGVO am besten gerecht werden können, dazu noch später im Schlusskapitel.
3. Inhalt und Umfang des Auskunftsrechts
Der Online-Händler muss den Betroffenen darüber informieren, was er zu welchem Zweck mit dessen personenbezogenen Daten macht. Der Betroffene hat auch ein Anrecht darauf informiert zu werden, an wen der Online-Händler dessen personenbezogene Daten weiterleitet und zu welchen Zwecken sie von Dritten weiterverarbeitet werden. Er hat auch ein Auskunftsrecht über die Weiterleitung seiner personenbezogenen Daten an Drittländer. In der Praxis ist hier vor allem eine Weiterleitung von Daten in die USA relevant.
Im Einzelnen hat der Betroffene auf folgende Pflichtinformationen auch ohne entsprechendes Auskunftsersuchen Anspruch:
3.1 Namen und Kontaktdaten des Online-Händlers
Wie oben ausgeführt hat der Online-Händler anzugeben, ob er selbst oder der Geschäftsführer seines Online-Unternehmens oder das Online-Unternehmen selbst (z.B. GmbH) Verantwortlicher ist. Es muss die vollständige postalische Adresse plus Telefon-Nummer und E-Mail-Adresse des benannten Verantwortlichen angegeben werden. Zu den Kontaktdaten gehören auch die Geschäftszeiten.
3.2 Kontaktdaten des Datenschutzbeauftragten
Dies gilt nur, wenn der Online-Händler verpflichtet ist, einen Datenschutzbeauftragten zu benennen oder dies freiwillig tut. Dies ist in der Regel für den Online-Händler nicht relevant (s. hierzu diesen Beitrag der IT-Recht Kanzlei).
3.3 Konkrete Rechtsgrundlage für die Verarbeitung personenbezogener Daten des Betroffenen
Der Online-Händler muss dem Betroffenen über die jeweilige konkrete Rechtsgrundlage für die Verarbeitung der bereitgestellten personenbezogenen Daten informieren. Der Online-Händler kann sich nicht auf das bloße Zitieren der verschiedenen Erlaubnistatbestände beschränken, sondern er muss dem Betroffenen die Rechtslage so erläutern, dass dieser die Berechtigung der Verarbeitung seiner personenbezogenen Daten nachvollziehen kann (s. Kommentar Kühling/Bucher, Art. 13 Rdnr. 26).
3.4 Einwilligung des Betroffenen als Rechtsgrundlage für eine Verarbeitung personenbezogener Daten
Der Online-Händler muss den Betroffenen informieren, für welche konkrete Datenverarbeitung er seine Einwilligung gegeben hat oder geben kann.
Die Verarbeitung personenbezogener Daten ist gerechtfertigt, wenn der Betroffene seine Einwilligung hierzu erteilt hat. Allerdings gilt eine solche Einwilligung immer nur für bestimmte, konkrete Zwecke der Verarbeitung. Wird der Zweck der Verarbeitung nachträglich geändert, dann muss der Online-Händler erneut eine Einwilligung des Betroffenen zu dieser Zweckänderung einholen.
3.5 Durchführung eines Vertrages oder Durchführung vorvertraglicher Maßnahmen als Rechtsgrundlage für eine Verarbeitung personenbezogener Daten
Der Online-Händler muss den betroffenen Kunden informieren, welche konkreten Daten für eine Vertragsdurchführung verarbeitet werden. Hiermit sind personenbezogenen Daten eines Kunden gemeint, die der Online-Händler erhebt, um im Rahmen des Bestellvorgangs den Abschluss eines Online-Vertrags über den Kauf eines Produktes zu ermöglichen.
3.6 Verarbeitung von personenbezogenen Daten Betroffener zur Wahrung berechtigter Interessen des Online-Händlers als Rechtsgrundlage
Der Online-Händler muss den Betroffenen informieren, bei welcher konkreten Datenverarbeitung oder Weiterleitung von Daten an Dritte zur Verarbeitung er eigene berechtigte Interessen oder berechtigte Interessen eines Dritten geltend macht.
Dies Wahrung berechtigter Interessen ist für den Online-Händler neben der Erhebung und Verarbeitung der Daten für einen Vertragsschluss die mit Abstand wichtigste Rechtsgrundlage einer Datenverarbeitung. Welche Information der Online-Händler dem Betroffenen hier im Einzelnen geben muss, ist wegen der sehr vagen und offenen Sprache der einschlägigen Normen der DSGVO (Art. 13 Abs. 1, lit. d und Art. 6 Abs. 1 lit f außerordentlich schwierig festzulegen.
Zu erst soll der Erlaubnistatbestand des Art. 6 Abs. 1. Lit. f DSGVO für die Verarbeitung von Daten erklärt werden.
Art. 6 Abs. 1 lit f DSGVO als Erlaubnistatbestand für die Verarbeitung personenbezogener Daten ist das Einfallstor für die Wahrnehmung aller wirtschaftlichen Interessen des Online-Händlers. Damit können Werbezwecke, Adresshandel, Weitergabe von personenbezogenen Daten an Transportdienstleister, Bezahldienstleister auch für Zwecke der Bonitätsprüfung, Direktwerbung, Weitergabe von personenbezogenen Daten an Dritte für deren Werbezwecke, etc. gemeint sein. Allerdings muss im Wege einer Interessenabwägung geprüft werden, ob diesen Interessen des Online-Händlers nicht Interessen des Betroffenen, die den Schutz seiner Daten erfordern, entgegenstehen.
Inwieweit muss der Online-Händler den Betroffen über diese wirtschaftlichen Interessen und insbesondere über die oben dargestellte Interessenabwägung gem. Art. 13 Abs. lit. d informieren?
Nach dem Wortlaut des Art. 13 Abs. 1 lit d muss der Betroffene nur über die berechtigten (wirtschaftlichen) Interessen des Online-Händlers oder eines Dritten unterrichtet werden. Damit würde sich die Informationspflicht des Online-Händlers auf die Aussage beschränken, dass die Verarbeitung personenbezogener Daten je nach konkreter Fallgestaltung auf Grund seiner wirtschaftlichen Interessen oder der wirtschaftlichen Interessen Dritter gerechtfertigt ist. Er müsste also nicht über die nach Art. 6 Abs. 1 lit f vorzunehmende Interessenabwägung informieren, ob im Einzelfall Schutzinteressen des Betroffenen entgegenstehen. Nach Ansicht der IT-Recht Kanzlei wird eine zu enge, an dem Wortlaut des Art. 13 Abs. 1 lit d orientierte Auslegung dem Sinn und Zweck dieser Vorschrift nicht gerecht. Der Betroffene soll über die Rechtsgrundlage der Verarbeitung seiner Daten so umfassend und präzise informiert werden, um so in der Lage zu sein, seine Rechte wie z. B. Recht auf Berichtigung und Löschung seiner Daten geltend zu machen.
Wenn er aber die für die Interessenabwägung maßgeblichen Kriterien nicht informiert wird, dann kann er auch gegenüber dem Online-Händler keine substantiellen Einwände gegen eine unzureichende Interessenabwägung geltend machen (s. Kommentar Kühling, Bucher, Art. 13 Rdnr. 27). Der Betroffene ist daher über die Abwägung und die Begründung der berechtigten Interessen so präzise wie möglich zu unterrichten (s. Kommentar Ehmann/Selmayr, Art. 13 Rdnr 28). Die IT-Recht hält eine derart umfassende Informationspflicht des Online-Händlers auch im Hinblick auf eine künftige wahrscheinlich eher verbraucherfreundliche Rechtsprechung zu dieser Vorschrift der DSGVO für angebracht.
Was bedeutet das für den Online-Händler?
Es gibt bestimme Fallkonstellationen wie den Versand von Newslettern, wo die Einwilligung des Nutzers wie auch bisher erforderlich ist. Da stellt sich die Frage der berechtigten Interessen des Online-Händlers nicht.
Die Datenverarbeitung für eigene Werbezwecke und für Werbezwecke Dritte, wie Werbescoring, Online-Marketing und Tracking sind wie ausgeführt legitime wirtschaftliche Interessen des Online-Händlers. Bei Pseudonymisierung der Nutzerdaten, die von der DSGVO erwünscht ist (Erwägungsgrund 29) ist nicht zu sehen, welche besonderen negativen Folgen für die betroffene Person mit der Verarbeitung seiner personenbezogenen Daten verbunden sein sollten, zumal die von der betroffenen Person dem Online-Händler bereitgestellten Daten keine besonders schutzbedürftigen Daten sind. Etwas anderes wäre gegeben, wenn es sich zum Beispiel um Gesundheitsdaten (Online-Apotheke) oder Daten zur sexuellen Orientierung (Versand von Erotikartikel) handelt. Für die Standardfälle der Verarbeitung von Daten zu Werbezwecken und die Weitergabe solcher Daten an Dienstleister zu Werbezwecken bleibt es bei dem Befund, dass besonders schutzbedürftige Interessen des Betroffenen einer solchen Verarbeitung nicht im Wege stehen.
3.7 Information über die Empfänger von personenbezogenen Daten
Der Online-Händler muss den Betroffenen darüber informieren, an wen er dessen personenbezogene Daten weitergibt. Er sollte ihn daher darüber informieren, welche Dienstleister derartige Daten erhalten. Dies überschneidet sich weitgehend mit der vorangegangenen Informationspflicht zur Wahrung seiner wirtschaftlichen Interessen.
Ein Sonderfall ist die Weitergabe von Daten an einen Empfänger in Drittstaaten. Praktisch relevant ist hier die Übermittlung von Daten in die USA. Hier muss der Online-Händler den Betroffenen ausdrücklich darüber informieren, dass eine solche Datenübermittlung geplant ist und muss den Betroffenen darüber informieren, dass ein entsprechender Angemessenheitsbeschluss der EU-Kommission vorliegt, der eine solche Datenübermittlung erlaubt. Bei Übermittlung von Daten an Empfänger in den USA muss die Empfängerorganisation in den USA entsprechend dem Privacy Shield Abkommen der EU mit den USA auf der sog. Privacy Shield Liste des US Department of Commerce registriert sein. Der Online-Händler hat daher bei Weitergabe von personenbezogenen Daten an Empfänger in den USA den Betroffenen davon zu unterrichten, dass die Empfängerorganisation in den USA auf dieser Privacy Shield Liste registriert ist.
3.8 Dauer der Speicherung von personenbezogenen Daten
Der Online-Händler muss dem Betroffenen die Zeitdauer der Speicherung oder wenigstens die Kriterien für die Festlegung dieser Dauer mitteilen. Hier spielen auch gesetzliche Aufbewahrungspflichten eine Rolle, über die der Betroffene zu unterrichten ist.
3.9 Hinweis auf Auskunftsrecht
Der Betroffene muss über sein Recht zur Auskunft informiert werden, ob personenbezogene Daten von ihm durch den Online-Händler erhoben und verarbeitet werden. Der Online-Händler ist gegenüber einer solchen Person auch verpflichtet, eine Negativauskunft zu geben, wenn der Online-Händler keine personenbezogenen Daten dieser Person verarbeitet hat oder personenbezogene Daten unumkehrbar anonymisiert wurden. Der Betroffene hat das Recht, Auskunft darüber zu verlangen, welche konkreten personenbezogenen Daten durch den Online-Händler erhoben und verarbeitet wurden.
3.10 Hinweis auf Betroffenenrechte
Der Onlinehändler muss den Betroffenen über seine Rechte informieren: Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, Möglichkeit des Widerrufs einer Einwilligung, Beschwerderecht bei der zuständigen Länder-Aufsichtsbehörde.
Weiterhin muss der Online-Händler den Betroffenen auf sein Recht zum Widerspruch informieren, wenn er Daten des Betroffenen zur Wahrung seiner wirtschaftlichen Interessen verarbeitet oder an Dritte zur Verarbeitung zu Werbezwecken, etc. weiterleitet. Diese Fallkonstellation ist oben unter Ziffer 5.6 abgehandelt worden. Hier genügt nicht ein allgemeiner Hinweis zum Widerspruchsrecht, sondern auf diese Widerspruchsmöglichkeit muss bei jeder konkreten Fallgestaltung hingewiesen werden.
3.11 Information über Herkunft von personenbezogenen Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
Diese Fallgestaltung trifft nur in seltenen Fällen auf Online-Händler zu, die in der Regel nur personenbezogene Daten, die durch den Betroffenen bereitgestellt werden, erheben und verarbeiten. Zu denken wäre hier zum Beispiel an der Nutzung von personenbezogenen Daten aus öffentlich zugänglichen Quellen. Wenn der Online-Händler solche Daten eines Betroffenen aus öffentlichen Quellen nutzt, dann hat er dies dem Betroffenen mitzuteilen.
3.12 Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
Über eine solche automatisierte Entscheidungsfindung hat der Online-Händler den Betroffen zu informieren.
Eine solche automatisierte Entscheidung ist in Art. 35 Abs. lit a DSGVO geregelt.
Gemeint ist eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidung dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
Bei einer solchen Fallgestaltung ist immer auch die Benennung eines Datenschutzbeauftragten verpflichtend. Im Beitrag der IT-Recht Kanzlei zur Pflichtbenennung eines Datenschutzbeauftragten ist dargelegt worden, dass diese Fallgestaltung in den überwiegenden Fällen für Online-Händler nicht zutrifft.
4. Form und Frist der Auskunftserteilung
Über die o.g. Pflichtinformationen ist der Betroffene grundsätzlich ohne besonderen Antrag zu informieren.
Die betroffene Person kann jedoch auch nach Art. 15 DSGVO von dem Online-Händler ohne jegliche Begründung in Form einer Einzelauskunft verlangen, dass dieser ihm schriftlich, elektronisch oder (falls ausdrücklich verlangt) mündlich über die Erhebung und Verarbeitung seiner personenbezogenen Daten Auskunft erteilt. Der Antrag des Betroffenen ist nicht an eine Form gebunden. Der Betroffene kann im einzelnen Auskunft verlangen über:
- Verarbeitungszwecke
- Art der verarbeiteten Daten
- Empfänger der Daten
- Speicherdauer
- Betroffenenrechte
- Herkunft der Daten
- Automatisierte Entscheidungsfindung einschließlich Profiling
- Drittstaatentransfer
Der Online-Händler hat auf Antrag der betroffenen Person eine Kopie von deren personenbezogenen Daten zur Verfügung zu stellen. Falls ein solches Auskunftsbegehren über E-Mail gestellt wird, hat der Online-Händler die Auskunft in einem gängigen elektronischen Format zu erteilen (z.B. PDF-Format).
Eine Auskunft muss unverzüglich spätestens aber innerhalb eines Monats nach Eingang des Auskunftsbegehrens erteilt werden (Art. 12 Abs. 3).
5. Kosten der Auskunftserteilung, Grenzen des Auskunftsrechts
In der Regel haben Auskünfte des Online-Händlers an den Betroffenen unentgeltlich zu erfolgen. Für den Fall, dass die betroffene Person mehrere Kopien verlangt, kann er für weitere Kopien ein angemessenes Entgelt fordern. Bei offensichtlich unbegründeten und exzessiven Anträgen kann ein angemessenes Entgelt für eine Auskunft verlangt oder eine Auskunft verweigert werden. Allerdings hat der Online-Händler die Beweislast, ob ein solches Auskunftsverlangen unbegründet und exzessiv ist. Bei Kostenpflichtigkeit oder Ablehnung einer Auskunft hat der Online-Händler die Gründe hierfür zu benennen und der betroffenen Person die Möglichkeit zu nennen, bei einer Aufsichtsbehörde Beschwerde oder einen gerichtlichen Rechtsbehelft einzulegen. Der Online-Händler darf bei einer Auskunftserteilung an den Antragsteller nicht die Rechte anderer Personen beeinträchtigen.
6. Identitätsprüfung
Hat der Online-Händler Zweifel an der Identität des Antragstellers, so hat er zum Schutz der betroffenen Person zusätzliche Informationen zur Identität des Antragstellers anzufordern. Zu denken ist hier zum Beispiel an die Angabe einer Postadresse, wenn ein Antrag per E-Mail gestellt wird.
7. Rechtsfolgen bei Verstoß gegen das Auskunftsrecht des Betroffenen
Eine unterlassene oder eine nicht vollständige Auskunft kann mit empfindlichen Geldbußen belangt werden (Art. 83 Abs. 5 DSGVO). Auch private Schadensersatzansprüche sind möglich (Art. 82 DSGVO).
8. Fazit und Hinweis auf Muster zum Auskunftsverlangen
Der Auskunftsanspruch hält in der Praxis für die Verantwortlichen den ein oder anderen juristischen Fallstrick bereit. Macht man sich jedoch ein paar Eckpunkte dieses noch jungen Anspruches aus der DSGVO bewusst, sollte das Auskunftsprozedere jedoch in den meisten Fällen keine Probleme bereiten. Positiv zu bewerten ist das Urteil des Landgerichts Köln, das den Umfang der Auskunftspflicht auf personenbezogene Daten begrenzt und den Anwender davon freistellt, darüber hinausgehende Vermerke und Korrespondenzen herauszugeben.
Zum Zwecke einer schnellen und rechtssicheren Bearbeitung von Auskunftsverlangen stellt die IT-Recht Kanzlei exklusiv für ihre Mandanten Musterauskunftsmitteilungen in drei verschiedenen Sprachen (Deutsch, Englisch, Französisch) zur Verfügung.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare