Zum Inhalt springen

Vertretung & Bevollmächtigung beim DSGVO-Auskunft

Auskunftsansprüche nach DSGVO sind Gegenstand zahlreicher Verfahren. Oft steht dabei die Frage im Raum, ob auch ein Vertreter einen Auskunftsanspruch nach Art. 15 DSGVO für einen Betroffenen geltend machen kann. Eine weitere Frage besteht dahingehend, ob eine Vollmacht vorzulegen ist und welche Anforderungen an diese zu stellen sind.

#1 Auskünfte nach Art. 15 DSGVO sind auch an einen Vertreter zu erteilen.

#2 Die Vollmacht des Vertreters ist zu prüfen.

#3 Die Vorlage einer Originalvollmacht kann nicht gefordert werden.

#4 Zur Vermeidung von Schadensersatzansprüchen nach Art. 82 DSGVO sollte die Vollmacht gründlich geprüft werden.

Vertretung für Ansprüche nach der DSGVO

An der grundsätzlichen Zulässigkeit für die Vertretung bei datenschutzrechtlichen Ansprüchen bestehen zunächst keinerlei Bedenken. Selbst wenn der Auskunftsanspruch nach dem Wortlaut des Art. 15 DSGVO von der betroffenen Personen geltend zu machen ist, ändert dies nichts daran, dass insofern eine Vertretung zulässig ist.

Bereits aus Art. 80 Abs. 1 DSGVO folgt, dass datenschutzrechtliche Betroffenenrechte durch einen Vertreter geltend gemacht werden können.

Anforderungen an die Vertretung

Da die Vertretung grundsätzlich zulässig ist, stellt sich für Verantwortliche nunmehr die Frage, welche Anforderungen an die Vollmacht zu stellen sind.

In diesem Zusammenhang geht es weniger um die Frage nach der Identität des Betroffenen, der vertreten wird. Vielmehr sind die Voraussetzungen einer Vertretungsvollmacht, also der Legitimation des Vertreters zu prüfen (vgl. § 164 BGB).

Die Vorschriften der Art. 11, 12 DSGVO, die sich mit der Feststellung der Identität der betroffenen Person befassen, sind in diesem Zusammenhang nur dann einschlägig, sofern auch tatsächlich die Identität des Vertretenen, also der Person, für die die Ansprüche geltend gemacht werden, in Zweifel stehen.

Der Verantwortliche und zur Auskunft Verpflichtete sieht sich nunmehr der Frage gegenüber, unter welchen Voraussetzungen eine Übermittlung der personenbezogenen Daten an den Vertreter erfolgen kann. Allein dieser Vorgang bildet eine Datenverarbeitung ab, die einer Rechtfertigung nach den Bestimmungen der DSGVO bedarf.

Maßgebliche Rechtsgrundlage für die Übermittlung der Daten stellt in der Regel Art. 6 Abs. 1 lit. a DSGVO dar. Die Bevollmächtigung muss daher freiwillig, zweckbezogen und in informierter Weise durch die betroffene Person erteilt worden sein, vgl. Art. 7 DSGVO.

Eine erteilte Vollmacht muss sich daher konkret auf den Auskunftsanspruch aus Art. 15 DSGVO und auf die Übermittlung der Daten beziehen. Weden Daten nach Art. 9 Abs. 1 DSGVO gefordert, sind auch diese konkret in die Vollmacht aufzunehmen.

Form der Vollmacht

Die DSGVO enthält keinerlei Vorschriften in Bezug auf die Form der Vollmacht. Diese kann die betreffende Person daher schriftlich, elektronisch und auch mündlich erteilen.

Der zur Auskunft verpflichtete Verantwortliche muss daher nach Art. 24 DSGVO prüfen, ob die Übermittlung der personenbezogenen Daten an den Vertreter unter den Bestimmungen der DSGVO zulässig ist. Zu prüfen ist ferner, ob der Vertreter ordnungsgemäß bevollmächtigt ist.

Um diese Prüfung und deren Ergebnis nachweislich zu dokumentieren (vgl. Art. 7 Abs. 1 in Verbindung mit Art. 5 Abs. 2 DSGVO), sollte sich die verantwortliche Stelle in der Regel eine Vollmacht vorlegen lassen. Selbst wenn nach der DSGVO selbst eine schriftliche Vollmacht nicht erforderlich ist, wird man davon in der Praxis nicht abweichen können.

Die Forderung zur Vorlage einer schriftlichen Vollmacht darf allerdings nicht dazu führen, dass dem Betroffenen dadurch erschwert wird, seine Rechte geltend zu machen. Schließlich besteht nach Art. 12 Abs. 2 S. 1 DSGVO eine aktive Erleichterungs- und Unterstützungspflicht. Liegt eine wirksame Vollmacht vor, ist die Auskunft an den Vertreter zu erteilen. Bestehen Zweifel an der Bevollmächtigung, sind dem Verantwortlichen auch im Rahmen dieser Vorschrift Nachfragen dazu und die Vorlage von Nachweisen gestattet.

Vorsicht: Schadensersatzansprüche drohen

Wird der Auskunftsanspruch nicht, nicht rechtzeitig oder nicht vollständig erfüllt, droht die Geltendmachung von Schadensersatzansprüchen.

Die DSGVO schreibt vor, dass die Auskunft unverzüglich, spätestens aber innerhalb einer Frist von einem Monat zu erteilen ist. Wird diese Frist überschritten, drohen Ansprüche auf Schmerzensgeld und Schadensersatz, vgl. Art. 12 Abs. 3 DSGVO. Wir haben dazu in diesem Beitrag berichtet.

Die Frist zur Erteilung der Auskunft beginnt allerdings erst, sofern eine hinreichende Bevollmächtigung vorliegt. Bis dahin handelt der Verantwortliche nicht schuldhaft, sodass ein Anspruch auf Schadensersatz nach Art. 82 DSGVO ausscheidet.

Dipl. Jurist, Rechtsanwalt Björn Wrase

Dipl. Jurist, Rechtsanwalt Björn Wrase

Hochspezialisiert im gewerblichen Rechtsschutz. Anwalt für Urheberrecht, AI/KI- & IT-Recht, Medienrecht, Wettbewerbs- und Markenrecht sowie Datenschutz.Autorenbeiträge anzeigen