EDSA: „Coordinated Action“ in 2024

Der Europäische Datenschutzausschuss (EDSA) hat kürzlich ihr drittes koordiniertes Durchsetzungsprojekt angekündigt: Dieses Mal liegt der Schwerpunkt auf dem Auskunftsrecht der für die Verarbeitung Verantwortlichen, ein Thema, das in den kommenden Monaten genauer definiert und 2024 vollständig umgesetzt werden soll.

Bei koordinierten Aktionen werden verschiedene spezifische Datenschutzthemen von den nationalen Datenschutzbehörden aufgegriffen und bearbeitet. Die dabei gewonnenen Erkenntnisse werden gesammelt, analysiert und bieten wertvolle Einblicke, die zu gezielten Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene führen. Nachdem im letzten Jahr die Benennung und die Stellung der Datenschutzbeauftragten im Mittelpunkt standen, erwarten wir in den kommenden Monaten den Bericht über die Ergebnisse der koordinierten Aktion 2023.

„Ich will wissen, was passiert!“

Hintergrund des Auskunftsrechts ist es, den von personenbezogener Datenverarbeitung Betroffenen die Möglichkeit einzuräumen, nachvollziehen zu können, welche „seiner“ Daten bei den jeweiligen Unternehmen verarbeitet werden.

Erkannt wurde das schon vor der Datenschutz-Grundverordnung, denn der europäische Gesetzgeber hat das Auskunftsrecht selbst in der Grundrechtecharta der Europäischen Union aufgenommen:

„Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten (…).“

Und das nicht ohne Grund: Nur wer weiß, welche Daten überhaupt vorliegen, kann selbstbestimmt darüber entscheiden, ob das für ihn selbst in Ordnung ist.

Art. 15 Abs. 1 DSGVO: Recht auf Auskunft

„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

• die Verarbeitungszwecke;
• die Kategorien personenbezogener Daten, die verarbeitet werden;
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“

Das materielle Rahmenprogramm ist durch den europäischen Gesetzgeber klar vorgegeben. Als Unternehmen sollte sich folglich bei einer Anfrage in der Antwort daran orientiert werden. Diese kann in Folge Schritt für Schritt an den gesetzlichen Vorgaben orientiert werden.

Art. 15 Abs. 3 DSGVO: Recht auf Kopie

„Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.“

Oftmals wird ein Auskunftsersuchen um die Aufforderung einer Kopie ergänzt. Es reicht in solchen Fällen also nicht aus, dass Angaben zu den verschiedenen „W-Fragen“ gemacht werden, sondern die Daten müssen auch als solche in kopierter Weise herausgegeben werden, um das Betroffenenrecht gesetzeskonform zu erfüllen.

Art. 12 Abs. 1 DSGVO: Verständlichkeit

„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen (…) gemäß den Artikeln 15 bis 22 (…), die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in andere Form nachgewiesen wurde.“

Als formelles Rahmenprogramm orientiert sich der Gesetzgeber am Adressaten. Die bereitgestellten Informationen im Zuge einer Auskunft müssen nämlich für diesen nachvollziehbar und verständlich sein. Es empfiehlt sich also nicht, sich rein hinter juristischen oder technischen Floskeln zu verstecken, um so zu tun, man wäre einem Ersuchen nachgekommen.

Art. 12 Abs. 3 DSGVO: Frist

„Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.“

Die formelle Rechtmäßigkeit schließt mit der Frist, innerhalb der ein solches Auskunftsersuchen zu beantworten ist: Ein Monat. – Dies mag auf den ersten Blick viel wirken, kann jedoch komplex sein, wenn die verschiedenen Informationen über den Anfragenden an verschiedenen Stellen und Orten in oder sogar außerhalb des Unternehmens liegen. Die Komplexität der internen Aufteilung und Struktur rechtfertigt dabei in der Regel auch keine Verlängerung, so dass unbedingt darauf zu achten ist, die Daten einigermaßen nachvollziehbar geordnet zu halten.

Sonderfall: „Negativauskunft“

Es mag zu dem Fall kommen, dass eine Person anfragt, zu der im Unternehmen anscheinend keinerlei Informationen gespeichert sind. Nachdem sichergestellt ist, dass die anfragende Person nicht doch – beispielsweise nur mit der E-Mail-Adresse und ohne Klarnamen – irgendwo erfasst ist, sollte dies negativ beauskunftet werden. Innerhalb der Monatsfrist muss also der anfragenden Person geantwortet werden, dass keinerlei Daten zu ihr gespeichert wurden.

Fazit: Wie kommen die Unternehmen damit klar?

Ziel des EDSA wird es sein, nachzuvollziehen wie Unternehmen bei Auskunftsersuchen reagieren. Was fällt schwerer, was ist simpel?

Nehmen Sie diese Überprüfung gerne zum Anlass, um selbst einmal zu überprüfen, wie Sie mit einem solchen Auskunftsersuchen umgehen würden. Mag dieses Ihnen auch in seiner Form etwas zu weit gehen, sind Sie als Unternehmen verpflichtet, diesem im vorgegebenen Rahmen nachzukommen. Durch die Möglichkeit der – sogar teilweise anonymen – Beschwerde bei der zuständigen Aufsichtsbehörde lässt sich dies auch leicht von Betroffenenseite eskalieren.

Video: Aufsichtsbehörden: 2024 Prüfung der Unternehmensprozesse Betroffenenrechte