Unternehmen erhalten immer häufiger Anträge zu Betroffenenrechten nach der DSGVO, die nicht direkt von den (lebenden) Betroffenen, sondern durch andere Personen als Vertreter bzw. Bevollmächtigte für die Betroffenen gestellt werden – oftmals durch deren erwachsene Kinder, Enkel oder Rechtsanwälte. Dieser Beitrag erläutert am Beispiel des Auskunftsrechts, inwiefern das in den genannten Fällen möglich ist und welche Punkte besonders beachtet werden sollten.
Der Inhalt im Überblick
Betroffenenrechte als höchstpersönliche Rechte
Die DSGVO-Betroffenenrechte, also auch das Auskunftsrecht nach Art. 15 DSGVO, werden als höchstpersönliche Rechte eingestuft, was zur Folge hat, dass sie u. a. nicht abgetreten werden können (vgl. Schmidt-Wudy, BeckOK Datenschutzrecht, Stand 01.05.2025, Art. 15 Rn. 35).
Vertretung grundsätzlich möglich
Möglich bleibt aber eine Vertretung der Betroffenen zur Geltendmachung der Betroffenenrechte durch einen Dritten im Wege der Bevollmächtigung (vgl. Paal/Kritzer, Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell, NJW 2022, S. 2433 – 2439 (2437), Rn. 25 f., Der Europäische Datenschutzausschuss, Leitlinien 01/2022 zu den Rechten der betroffenen Person – Auskunftsrecht, Version 2.0, Angenommen am 28. März 2023, Rn. 80 f.).
Dass aber nicht bei jedem Vollmachts-Dokument eine wirksame Bevollmächtigung anzunehmen ist, zeigt ein Urteil des österreichischen Bundesverwaltungsgerichts (BVwG) mit Blick auf eine wohl zu allgemeine niedergeschriebene Vollmacht für einen Anwalt, die aus Sicht des BVwG nicht für die vertretungsweise Geltendmachung eines Auskunftsrechts ausreichte (BVwG, Urteil vom 05.10.2023, W292 2258172-1):
„Daraus folgt nach Ansicht des erkennenden Senates auch für den Anwendungsbereich der Betroffenenrechte des 3. Hauptstückes des Datenschutzgesetzes in der hier maßgeblichen Fassung des BGBl. I Nr. 24/2018, dass an den Inhalt einer allenfalls zum Zweck der Geltendmachung von datenschutzrechtlichen Betroffenenrechten erteilten Vollmacht besondere Ansprüche zu stellen sind, wobei aus dem Gesamtzusammenhang erkennbar sein muss, dass die Stellung eines Auskunftsbegehrens auch von einer allgemein formulierten Vertretungsvollmacht tatsächlich und konkret mitumfasst sein soll.“
Weiter heißt es:
„Es war der belangten Behörde beizupflichten, wenn diese ausführt, dass es sich hierbei um eine pauschale Formulierung der Vollmacht handelt und daraus in keiner Weise erkennbar war, dass diese tatsächlich auch konkret ein datenschutzrechtliches Auskunfts- beziehungsweise Löschbegehren bzw. die Geltendmachung höchstpersönlicher Datenschutzrechte mitumfasse.
Die Zweifel der mitbeteiligten Partei in deren Eigenschaft als zuständige Sicherheitsbehörde waren begründet, da aufgrund der Höchstpersönlichkeit der geltend gemachten Rechte der Maßstab, wie oben dargelegt, besonders streng ist und im Zeitpunkt der Antragstellung kein Nachweis einer Vollmacht, die konkret die Geltendmachung des Rechts auf Auskunft und auf Löschung umfasste, vorhanden war.
Aus dem vorgelegten Schreiben ergibt sich zwar, dass das Recht auf Akteneinsicht von der Bevollmächtigung mitumfasst sein sollte; dieses ist jedoch nicht mit dem Recht auf ein datenschutzrechtliches Auskunftsersuchen gleichzusetzen.“ (vgl. dazu etwa die Entscheidung des VwGH vom 18.01.2004, 2003/12/0173)
Das dürfte bedeuten, dass die Vertretung bei der Geltendmachung von Betroffenenrechten möglich ist, wenn tatsächlich erkennbar ist, dass der Dritte für die Geltendmachung von Betroffenenrechten für den Betroffenen berechtigt sein soll – eine zu pauschale Vollmacht im Rahmen eines Dokuments könnte im Einzelfall womöglich nicht ausreichen.
Das sollte ein Unternehmen bei der Reaktion auf eine Anfrage eines Vertreters berücksichtigen
Da das Zugänglichmachen von personenbezogenen Daten gegenüber einer unbefugten Person eine Datenschutzverletzung darstellt, sollte bei einer Geltendmachung von Betroffenenrechten durch einen Vertreter zunächst Folgendes insbesondere sorgfältig geprüft und für die Rechenschaftspflicht des Unternehmens dokumentiert werden:
- Ist eine Vollmacht ersichtlich, nach der der Dritte bevollmächtigt sein soll, konkret die Betroffenenrechte im Namen des Vertretenen geltend zu machen? Falls nicht, sollte eine solche angefordert werden.
- Bestehen Zweifel an der Identität des Betroffenen? Der Identität des angeblichen Bevollmächtigten? Oder an der Befugnis des angeblich Bevollmächtigten, im Namen der Betroffenen zu handeln? Falls ja, sollte durch angemessene und verhältnismäßige Maßnahmen sichergestellt und dokumentiert werden, dass z. B. die Vollmacht tatsächlich vom Betroffenen stammt und auch der Vertreter derjenige ist, der er vorzugeben scheint.
Zu Letzterem gibt der Europäische Datenschutzausschuss Folgendes an die Hand (Der Europäische Datenschutzausschuss, Leitlinien 01/2022 zu den Rechten der betroffenen Person – Auskunftsrecht, Version 2.0, Angenommen am 28. März 2023, Rn. 81.):
„Nach dem Grundsatz der Rechenschaftspflicht sowie anderen Datenschutzgrundsätzen muss der Verantwortliche nachweisen können, dass eine entsprechende Berechtigung für die Stellung eines Antrags im Namen der betroffenen Person und den Erhalt der angeforderten Informationen vorgelegen hat, es sei denn, das nationale Recht enthält abweichende Regelungen (z. B. besondere Vorschriften über die Vertrauenswürdigkeit des Anwalts), sodass der
Verantwortliche nur die Identität des Bevollmächtigten überprüfen muss (indem er z. B. im Falle des
Anwalts dessen Zulassung über die Anwaltskammer prüft).“
Die noch zu erfüllenden Voraussetzungen für eine Rückmeldung/Maßnahmenergreifung zu den geltend gemachten Betroffenenrechten, müsste das Unternehmen dem Antragenden umgehend mitteilen.
Unternehmen müssen Vertretung bei Betroffenenrechten sorgfältig prüfen
Eine pauschale Ablehnung oder Nichtberücksichtigung von Anfragen oder Aufforderungen bzgl. DSGVO-Betroffenenrechten durch Vertretende ist nicht zulässig.
Aufgrund der höchstpersönlichen Natur dieser Rechte sind jedoch strenge Anforderungen an die Identitäts- und Bevollmächtigungsprüfung zu stellen. Unternehmen müssen stets eine angemessene und verhältnismäßige (sowie dokumentierte) Einzelfallprüfung vornehmen.
Ein diesbezüglich strukturierter Prozess kann dabei helfen, rechtliche Risiken zu minimieren und den Anforderungen der DSGVO gerecht zu werden.
