
vchalup - stock.adobe.com
Was sich bei der Auskunft nach DSGVO ändern muss
Unzulässige Hürden für die Geltendmachung des Auskunftsrechts nach DSGVO müssen von Unternehmen beseitigt werden, so die Aufsichtsbehörden nach einer europaweiten Prüfung.
„Das Auskunftsrecht ist als Recht der Einzelnen für die datenschutzrechtliche Grundrechtsverwirklichung essenziell, stellt die Verantwortlichen aber vor Herausforderungen“, erklärte der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dieter Kugelmann.
Als Teil der Betroffenenrechte der DSGVO (Datenschutz-Grundverordnung) ist das Auskunftsrecht der betroffenen Person grundlegend für die Durchsetzung weiterer Datenschutzrechte, denn nur wenn man zum Beispiel weiß, welche Daten zu welchem Zweck gespeichert, verarbeitet oder an bestimmte Dritte weitergeleitet werden, kann man entscheiden, ob man zum Beispiel widersprechen möchte oder eine Löschung verlangen will.
Das Auskunftsrecht ist aber nicht nur sehr wichtig für die Betroffenen, es ist auch durchaus herausfordernd in der Umsetzung. Zum Beispiel kann man als Verantwortlicher nur dann eine umfassende, vollständige Auskunft geben, wenn wirklich Transparenz in der Datenspeicherung und Datenverarbeitung besteht.
Europaweite Prüfaktion zum Auskunftsrecht
Der Bedeutung und den Herausforderungen entsprechend wurde das Auskunftsrecht als Thema gewählt für die in 2024 durchgeführte europaweite Prüfaktion im Rahmen des „Coordinated Enforcement Framework“ (CEF) (siehe auch Wie Behörden die Umsetzung von Betroffenenrechten prüfen).
In Deutschland beteiligten sich die Landesdatenschutzaufsichtsbehörden aus Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und prüften insgesamt 116 Verantwortliche.
Untersucht wurde die Umsetzung des Auskunftsrechts in der Praxis, auch im Abgleich mit den Leitlinien zum Auskunftsrecht (PDF), die der Europäische Datenschutzausschuss (EDSA) veröffentlicht hatte.
Die Aufsichtsbehörden stellten im Abschlussbericht zur Prüfaktion (PDF) mehrheitlich fest, dass die befragten Verantwortlichen nach eigenen Angaben in einem durchschnittlichen bis hohen Maß die Anforderungen des Auskunftsrechts berücksichtigen. Allerdings gab es eine größere Zahl an Verantwortlichen, die angaben, im Jahr 2023 keinen oder nur sehr wenige Auskunftsanträge erhalten zu haben. Es wurde aber auch Verbesserungsbedarf bei der Umsetzung des Auskunftsrechts festgestellt.
Wo die Umsetzung des Auskunftsrechts Lücken hat
Die Aufsichtsbehörden für den Datenschutz sehen auf Basis der Prüfaktion an mehreren Stellen Verbesserungsbedarf bei der Realisierung des Rechts auf Auskunft, bei der Vollständigkeit der Auskunft, der Anwendung der Grenzen des Auskunftsrechts und bei unzulässigen Hürden für die Geltendmachung des Auskunftsrechts, etwa indem pauschal Zusatzinformationen oder im Einzelfall nicht erforderliche Identifikationsdokumente bei der betroffenen Person angefordert wurden.
Die Aufsichtsbehörden kritisierten also insbesondere teilweise bestehende Unkenntnis über die Reichweite des Auskunftsanspruchs und die Errichtung übersteigerter Formanforderungen, die zu Hemmnissen der Rechtswahrnehmung für die betroffenen Personen führen können. Als Beispiele wurden genannt:
Speicherdauer der Auskunftsanträge und korrespondierender Unterlagen: In vielen Fällen wurden die Vorgänge zum Auskunftsrecht als allgemeiner Verwaltungs- oder Geschäftsvorgang gewertet, mit der Folge, dass die übliche Speicherdauer zugrunde gelegt wurde und keine dem Zweck entsprechend kürzere.
Form der Auskunftserteilung: Zum einen wurde grundsätzlich ein Antrag in Schriftform verlangt und die mündliche Antragstellung ausgeschlossen, zum anderen wurde teilweise per se ein Identifikationsnachweis in Form einer teilgeschwärzten Kopie des Personalausweises verlangt. Nach der DSGVO sind die formalen Antragsvoraussetzungen dagegen sehr niedrigschwellig angelegt und auch die mündliche Auskunftsbeantragung sollte möglich sein. Zudem sollten Identitätsnachweise nur dann verlangt werden, wenn tatsächliche Zweifel an der Identität der antragstellenden Person besteht, je nach Fallgestaltung kommen hier auch mildere Mittel in Betracht, wie die postalische Zusendung der Auskunft an die Meldeadresse.
Einschränkung des Auskunftsrechts: Bei den Verantwortlichen werden sehr unterschiedliche Maßstäbe angesetzt, insbesondere im Hinblick auf die Frage, wann Auskunftsanträge offenkundig unbegründet und exzessiv sind.
Nachbesserungsbedarf gibt es teilweise auch bei der Frage, welche Daten von der Auskunft gemäß Artikel 15 DSGVO insgesamt umfasst sind und bei der Einbindung von Datenschutzbeauftragten (DSBs). Die DSBs sollten aufgrund ihrer gesetzlich vorgeschriebenen Rolle als interne Kontroll- und Kontaktstelle, nicht jedoch für die konkrete Auskunftserteilung zuständig sein. Ein anderer Punkt mit Verbesserungsbedarf war das Fehlen dokumentierter interner Verfahren zur Bearbeitung von Auskunftsanfragen.
Best Practices zur Umsetzung des Auskunftsrechts
Die Prüfaktion hat aber auch dazu beigetragen, gute Beispiele der Umsetzung zu finden, die sich als Best Practices eignen. So berichtet zum Beispiel die Datenschutzaufsicht von Rheinland-Pfalz, dass betroffenen Personen mittels eines Antragsformulars die Inanspruchnahme des Auskunftsrechts erleichtert werden kann. Ein anderes positives Beispiel sind Self-Service-Systeme, mit denen Einzelpersonen ihre persönlichen Daten jederzeit und mit wenigen Klicks selbstständig herunterladen können.
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg, Dagmar Hartge, erklärte zum Beispiel: „Insgesamt habe ich von den geprüften Unternehmen aber einen positiven Eindruck gewinnen können. Sie kannten die aktuelle Rechtsprechung zum Datenschutz, hatten funktionierende interne Prozesse zur Sicherstellung des Auskunftsrechts eingerichtet und kooperierten ausgesprochen konstruktiv. Die Erkenntnisse, die ich durch die Teilnahme an der europaweiten Prüfaktion gewonnen habe, werden in die künftige Aufsichts- und Beratungstätigkeit meiner Behörde einfließen.“
Genau wie die Aufsichtsbehörden dies tun werden, sollten auch die Unternehmen, ob geprüft oder nicht geprüft, aus den Ergebnissen der europaweiten Prüfaktion zum Auskunftsrecht ihre Lehren ziehen. Es gibt nun wichtige Hinweise, wo und wie das Auskunftsrecht noch besser umgesetzt werden kann.