Plattformbetreiber müssen grundsätzlich Kunden die Herausgabe von Informationen über Datenabrufe anderer Kunden verweigern.
Ein Unternehmen bietet eine Internetplattform an, bei der unter Eingabe der Fahrzeugidentifikationsnummer (FIN) kostenpflichtig eine Fahrzeughistorie (Report) von in den USA zugelassenen Fahrzeugen abgerufen werden kann. Das Angebot ist registrierungspflichtig, d. h. der Abrufende muss seinen Namen angeben. Die Plattform ist vor allem für Käufer von aus den USA importierten Gebrauchtwagen interessant.
Ein Kunde kaufte bei einem deutschen Händler ein solches Fahrzeug; der Händler legte dem Kunden einen – dem Anschein nach aus der o. g. Datenbank stammenden – an einem bestimmten Tag X abgerufenen Report über das betreffende Fahrzeug vor, der keine Vorschäden für das Fahrzeug auswies. Nachdem der Kunde mehrere Mängel des Fahrzeugs festzustellen glaubte, rief er selbst in der genannten Datenbank anhand der FIN den Report zu dem Fahrzeug ab und stellte fest, dass dieser erheblich von dem Report abwich, den ihm der Händler vorgelegt hatte. Der Kunde vermutete, dass ihm der Händler einen gefälschten Report vorgelegt hatte und wollte nunmehr von dem Plattformbetreiber wissen, ob zu diesem Fahrzeug am Tag X ein Abruf des Reports in der Datenbank stattgefunden hatte. Der Plattformbetreiber verweigerte die Auskunft mit dem Hinweis auf Datenschutz.
Der Kunde frage die Aufsichtsbehörde, ob der Plattformbetreiber ihm die Informationen tatsächlich aus Datenschutzgründen nicht herausgeben dürfe. Der Plattformbetreiber hatte sich datenschutzrechtlich korrekt verhalten. Auch wenn aus dem Abruf der Name des Abrufenden nicht unmittelbar erkennbar ist, wäre zumindest für den Plattformbetreiber die Identität des Abrufenden bekannt, sodass es sich insoweit um personenbezogene Daten handelt. Schon die Information, dass an einem bestimmten Tag zu dem betreffenden Fahrzeug (FIN) ein Abruf stattgefunden hat, ist damit als personenbezogenes Datum anzusehen. Grundsätzlich haben Nutzer der Plattform die berechtigte Erwartung, dass der Plattformbetreiber als Verantwortlicher diese Information nicht an Dritte weitergibt. Selbst wenn der Kunde im vorliegenden Fall möglicherweise ein nachvollziehbares Interesse daran hat, zu wissen, ob am dem besagten Tag X tatsächlich ein Abruf zu diesem Fahrzeug stattgefunden hat, muss dieses Interesse gegenüber dem Interesse der betroffenen Person an der vertraulichen Nutzung der Internetplattform zurückstehen. Die Datenübermittlung durch den Plattformbetreiber wäre daher nicht zulässig, auch nicht auf Grundlage von Art. 6 Abs. 1 Buchstabe f DSGVO, da schutzwürdige Interessen der betroffenen Person am Unterbleiben der Übermittlung überwiegen. Dem (möglicherweise) geprellten Kunden steht es freilich frei, auf zivilrechtlichem Wege seine Interessen zu verfolgen und ggf. dort Beweiserhebung betreffend des besagten Abrufs aus der Datenbank zu beantragen.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks