Löschanfragen über Dritte – was ist zu beachten?

Mit Einführung der DSGVO wurden die Rechte der betroffenen Personen (siehe hierzu auch unsere Artikelreihe) gestärkt und auch deutlich konkreter geregelt. Dies führte dazu, dass die Betroffenenrechte auch bei den betroffenen Personen (endlich!) mehr Bekanntheit erlangt haben. Allerdings ranken sich auch zahlreiche Mythen und viel Halbwissen um diese Rechte, sodass häufig Dinge gefordert werden, die teilweise unmöglich sind oder die über die Verpflichtungen der Verantwortlichen weit hinausgehen.

Seit einiger Zeit erreichen uns und unsere Mandanten per E-Mail Aufforderungen zur Datenlöschung, welche nicht von den betroffenen Personen selbst versandt wurden, sondern über Dienstleister. Diese Aufforderungen zur Löschung enthalten meist lediglich den Namen der betroffenen Person, deren E-Mailadresse sowie die Aufforderung, alle Daten zu löschen und eine Bestätigung an die E-Mailadresse der betroffenen Person zu senden.

Ist das erlaubt?

Art. 12 DSGVO regelt über mehrere Absätze hinweg, welche Dinge der Verantwortliche zu tun hat, um der betroffenen Person die Ausübung ihrer Rechte zu ermöglichen, zu erleichtern und sie über unterschiedliche Dinge zu informieren. Darüber hinaus wird in Art. 12 Abs. 6 DSGVO explizit die Verpflichtung des Verantwortlichen geregelt, die korrekte Identität „der natürlichen Person, die den Antrag […] stellt“ sicherzustellen.

Können also Anträge auf Löschung (oder Auskunft oder ein anderes Betroffenenrecht) über einen Dienstleister gestellt werden? Wir meinen: Ja. Schließlich nutzt die betroffene Person zwar einen Dienstleister für die Kommunikation, dennoch nimmt sie ihr Recht im Grunde selbst wahr. Allerdings macht es dieser Umweg über einen Dienstleister, der für die betroffene Person sehr bequem zu sein scheint, für die Verantwortlichen noch schwerer als es ohnehin schon ist.

Was ist zu beachten?

Treffen solche Anfragen über Dritte bei einem Verantwortlichen ein, gelten selbstverständlich dieselben Sorgfaltspflichten, wie beim direkten Kontakt mit der betroffenen Person. Es muss also sichergestellt werden, dass die Anfrage tatsächlich dem Willen der betroffenen Person entspricht. Beim „Umweg“ über einen Dienstleister bedeutet dies nun, dass im ersten Schritt bei der betroffenen Person nachgefragt werden muss, ob sie die Anfrage tatsächlich initiiert hat.

Hier hätten wir dann auch gleich das erste Risiko für die Verantwortlichen: Wer einen Dienstleister für die Wahrnehmung der Betroffenenrechte nutzt, möchte es schnell und einfach haben. Da werden Rückfragen des Verantwortlichen schnell als Versuch der Weigerung wahrgenommen. Die Rückfrage bei der betroffenen Person will also gut formuliert werden.

In einigen Fällen enthält die E-Mail die Aufforderung, eine Rückmeldung an den beauftragten Dienstleister zu geben. Unabhängig davon, welche Angaben der Dienstleister hier verlangt – eine solche Rückmeldung darf selbstverständlich nur erfolgen, wenn die betroffene Person bestätigt hat, dass es tatsächlich ihr Wunsch ist, beziehungsweise einwilligt. In diesem Fall müssten der betroffenen Person gegebenenfalls bereits bei der Rückfrage entsprechende Informationen zum Datenschutz gemäß Art. 13 DSGVO zur Verfügung gestellt werden. Zu prüfen ist auch, ob der Dienstleister seinen Sitz in einem Drittstaat hat, also gegebenenfalls auch noch die Anforderungen der Art. 44 ff DSGVO zu erfüllen sind.

Ist die betroffene Person nun erfolgreich identifiziert und hat sie bestätigt, dass sie tatsächlich den Dienstleister als Vertreter mit der Geltendmachung der Betroffenenrechte beauftragt hat, ist diesem Wunsch der betroffenen Person auch nachzukommen. Seit Eintreffen des jeweiligen Antrags läuft bereits die einmonatige Frist gemäß Art. 12 Abs. 3 bis zu deren Ablauf die Erfüllung der Betroffenenrechte zu erfolgen hat. Je nachdem, wie lange die Kommunikation im Rahmen der Identifizierung dauert, kann diese Frist gerade bei Anfragen über Dienstleister knapp sein. Wir raten daher dringend an, die Frist gut im Auge zu behalten, damit die betroffene Person vor Ablauf der Frist darauf hingewiesen werden kann, dass die Frist nicht eingehalten werden kann und sie daher im Rahmen der in Art. 12 Abs. 3 DSGVO vorgesehen Möglichkeiten verlängert wird.

In einigen Fällen wird eine solche Mitteilung von der betroffenen Person fälschlicherweise als Weigerung, das jeweilige Betroffenenrecht zu erfüllen, angesehen. Um diesbezügliche Missverständnisse zu vermeiden kann in einer solchen Mitteilung auch auf die Mitwirkungspflicht der betroffenen Person hingewiesen werden.

Was, wenn die betroffene Person nicht reagiert?

Häufig erhält man auf Rückfragen bezüglich der Identität keine Reaktion der betroffenen Person. Auch hier gilt: Die Sorgfaltspflichten sind durch die Verantwortlichen zwingend einzuhalten. Im Zweifel müsste (und darf) in solchen Fällen sogar die Erfüllung des Betroffenenrechts verweigert werden. Dies ist selbstverständlich gut zu begründen. Wir empfehlen, diese Verweigerung bereits mit der ersten Rückfrage anzukündigen. Dabei handelt es sich allerdings um eine Gratwanderung zwischen Erfüllung der Sorgfaltspflicht und (durch die betroffene Person unterstelltem) Versuch, der Verweigerung eines per Gesetz zustehenden Rechts.

Fazit

Zusammenfassend lässt sich sagen, dass Löschanfragen und andere Anfragen zu Betroffenenrechten auch über Dritte zulässig sein können. Die Anforderungen an die Sorgfalt, welche die Verantwortlichen an den Tag legen müssen, sind allerdings deutlich erhöht gegenüber „normalen“ Betroffenenanfragen.

Beziehen Sie unbedingt Ihre/n Datenschutzbeauftragte/n mit ein. Sie haben keine/n? Wir unterstützen Sie!