Eine eben solche Anfrage hat der Versicherungsmakler auf dem Tisch. Von einem ihm vollkommen Unbekannten. Darum sieht er eigentlich gar keinen Anlass, auf die Anfrage zu antworten. Hatte er doch zu dem Fremden bislang nie irgendwelchen Kontakt. Und was wird dieser Fremde als Nächstes machen, wenn er die Antwort bekommt? Verwendet er dann gerade diese Kommunikation und die damit auch gespeicherten personenbezogenen Daten für weitere rechtliche Schritte? Der Verdacht: Der Unbekannte arbeitet mit einer Anwaltskanzlei zusammen, die bei ausbleibender Reaktion auf das Auskunftsersuchen oder auch bei einer nicht den Regeln entsprechenden Antwort eine kostenpflichtige Abmahnung verschickt. Oder er klagt — aus welchem Grund auch immer — auf Schadensersatz.

Der Versicherungsmakler ist nicht allein mit dieser Sorge. Auch der Remscheider Rechtsanwalt Vincent Wollweber betreut Mandanten, die entsprechende Auskunftsersuchen von einem ihnen bis dahin völlig Unbekannten erhalten haben. Wollweber glaubt, dass ein solches Auskunftsverlangen rechtsmissbräuchlich ist, wenn jemand massenhaft Auskunfts- und Löschungsverlangen an Unternehmen gesendet hat, zu denen er wissentlich zuvor keinen Kontakt gehabt hat. Aber wer kann das schon nachweisen? Daher empfiehlt der Jurist, „auch diese Personen unter anderem über die ihnen zustehenden Rechte nach der DSGVO zu belehren, sowie mitzuteilen, dass die übersandten Daten ausschließlich für die Beantwortung des Auskunftsersuchens und die entsprechende Nachweisbarkeit der Beantwortung genutzt werden“.

Damit spricht Wollweber ein mögliches Dilemma an. Ein böswilliger Mensch könnte ja auf die Idee kommen, dass spätestens mit dem Antwortschreiben auf das Auskunftsersuchen der Mailaustausch und damit auch die Daten des Anfragenden gespeichert sind. Und dass diese Daten dann zu löschen seien. Ziel von „unseriösen“ Auskunft- und Löschungsverlangen, so vermutet Wollweber, könnten Schadensersatzansprüche gemäß Artikel 82 DSGVO sein.

Reagieren sollte man als angesprochenes Unternehmen also durchaus. Das betont auch Daniel Strunk, Pressesprecher der NRW-Datenschutzbeauftragten. Unternehmen müssten auf Auskunftsersuchen antworten. Das umfasse auch Negativauskünfte — also die Auskunft, dass keine Daten vorhanden sind. Bei solchen Negativauskünften empfiehlt die Datenschutzbeauftragte, in der Antwort präzise auszuführen, dass bisher (also bis zum Zeitpunkt der Anfrage) kein Datensatz über den Antragssteller vorhanden war, etwa als Kunde, Geschäftspartner, Bewerber oder Beschwerdeführer. Daher gehe man nach eingehender Prüfung davon aus, dass insgesamt keine Daten über den Antragsteller vorliegen.

Die Frage, ob die bei der Korrespondenz angefallenen Daten wieder gelöscht werden müssen, verneint Strunk. „Vielmehr empfehlen wir, derartige Anfragen und Antworten für eine gewisse Zeit zu speichern. Darüber ist der Antragsteller zu informieren, einschließlich aller Pflichtangaben nach Artikel 13 DSGVO.“ Für die Speicherung dieser Daten gebe es ein berechtigtes Interesse. Dieses könne schon darin liegen, dass die Nichterteilung einer Auskunft nach Artikel 83 DSGVO ein Bußgeld nach sich ziehen kann.

Eben darum müsse auch noch nach längerer Zeit (die Ordnungswidrigkeit des Nichterteilens einer Auskunft verjährt erst nach drei Jahren) nachweisbar sein, dass man die entsprechende Auskunft gegeben habe. Auch könne ein berechtigtes Interesse an der Speicherung des Vorgangs darin liegen, dass man nur so nachweisen kann, ob eine exzessive Wiederholung von Auskunftsanträgen vorliegt.

Die NRW-Datenschutzbeauftragte empfiehlt die Aufbewahrung solcher Anfragen und ihrer Antworten in einer separaten Datei, „die für andere Verarbeitungen gesperrt ist und die einem eingeschränkten Zugriffskonzept unterliegt“.

Auch Christian Solmecke, Rechtsanwalt für Medienrecht aus Köln, rät, die Informationspflichten der DSGVO ernst zu nehmen. Aber dabei auch gleichzeitig dem Anfragenden klar zu machen, dass die Daten zur Beantwortung des Auskunftsersuchens zu Beweiszwecken erst einmal gespeichert werden.

Die Gefahr, dass hinter dem Ganzen eine Abmahnmasche steht, kann Solmecke nicht erkennen. „Nein, eine solche Gefahr sehe ich nicht unmittelbar. Im Übrigen könnten nur Wettbewerber, Wettbewerbsverbände und Verbraucherschutzverbände wettbewerbsrechtlich abmahnen, nicht aber der um Auskunft Ersuchende selbst. Von Seiten der NRW-Datenschutzbeauftragten heißt es: „Zivilrechtliche Abmahnungen liegen nicht in unserer Zuständigkeit und sind uns auch nicht bekannt.“

Und wie teuer würde es, falls es doch zu einer solchen Abmahnung käme? Solmecke verweist darauf, dass bei mittleren Verstößen im Wettbewerbsrecht zum Beispiel ein Streitwert von 7500 bis 15 000 Euro anzusetzen sei. Dies entspreche dann Kosten von ca. 750 bis 1100 Euro. Bei einem Auskunftsersuchen könne der Streitwert in der Regel aber noch geringer sein.

Auch Solmeckes Remscheider Anwaltskollege Vincent Wollweber empfiehlt, auf jeden Fall bei Auskunftsersuchen nach der DSGVO zu reagieren. Er sagt aber auch: „Es sollte anheim gestellt werden, dass etwaige weitere Ansprüche erst geprüft werden können, wenn die Identität des unbekannten Absenders nachvollzogen werden kann. Hierzu könnte ein unbekannter Auskunftsuchender gegebenenfalls gebeten werden, eine — bis auf den Namen und die Anschrift — geschwärzte Kopie des Personalausweises zu übersenden.“ Diesbezüglich bleibe die zukünftige Rechtsprechung abzuwarten.