Europäische Datenschutz­behörden starten koordinierte Prüfung zum Auskunfts­recht

Koordiniert durch den Europäischen Datenschutzausschuss (EDSA) haben die europäischen Datenschutzbehörden jüngst mit einer breit angelegten Prüfaktion zum Auskunftsrecht nach der Datenschutz-Grundverordnung (DS-GVO) begonnen. In Deutschland nehmen an der Aktion Datenschutzaufsichtsbehörden aus Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, dem Saarland und Schleswig-Holstein sowie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) teil.

Im Rahmen der koordinierten Prüfung möchten die Datenschutzbehörden insbesondere feststellen, ob bzw. wie Organisationen das Auskunftsrecht in der Praxis gewährleisten. Hierzu versenden die Behörden in einem ersten Schritt Fragebögen an Organisationen. Auf Grundlage der Antworten sollen ggf. weitere förmliche behördliche Untersuchungen eingeleitet werden. Über weitere nationale Aufsichts- und Durchsetzungsmaßnahmen wollen sich die europäischen Datenschutzbehörden noch gemeinsam abstimmen. Bei Verstößen gegen die gesetzlichen Anforderungen der DS-GVO drohen empfindliche Bußgelder.

Die kürzlich gestartete Aktion zum Auskunftsrecht ist nach den Prüfungen zur Nutzung cloudbasierter Dienste (2022) und zur Benennung und Stellung des Datenschutzbeauftragten (2023) die dritte koordinierte Durchsetzungsaktion der europäischen Datenschutzbehörden im Rahmen ihres Coordinated Enforcement Framework (CEF).

Hintergrund: Umfassende Auskunftspflichten nach der DS-GVO – Strenge Anforderungen der Rechtsprechung und der Datenschutzbehörden

Die DS-GVO verlangt von Unternehmen, Personen auf Anfrage unverzüglich und im Regelfall spätestens innerhalb eines Monats Auskunft zu sie betreffenden personenbezogenen Daten zu erteilen. Dazu gehört zunächst eine Bestätigung, ob im Unternehmen überhaupt personenbezogene Daten der auskunftssuchenden Person verarbeitet werden. Ist das der Fall, so ist Auskunft über diese Daten in Form einer Kopie der personenbezogenen Daten zu erteilen. Außerdem sind bestimmte weitere Informationen über die Verarbeitung der Daten sowie über diesbezügliche Rechte der betroffenen Person mitzuteilen.

Der Europäische Gerichtshof (EuGH) hat das datenschutzrechtliche Auskunftsrecht nach Art. 15 DS-GVO über seinen Wortlaut hinaus noch weiter geschärft. Darüber hinaus formulieren die europäischen Datenschutzbehörden in den erst 2023 aktualisierten Leitlinien des EDSA zum Auskunftsrecht strenge Anforderungen an die Erteilung von datenschutzrechtlichen Auskünften.

Revision von internen Prozessen und Dokumentation zum Auskunftsrecht im Unternehmen – Datenschutz-Governance

Um in der Lage zu sein, unverzüglich und im Regelfall spätestens innerhalb eines Monats ordnungsgemäß Auskunft zu erteilen, müssen sich Unternehmen proaktiv auf Auskunftsersuchen vorbereiten und ggf. angemessene interne Prozesse hierfür schaffen, so der EDSA in seinen Leitlinien.

Die Handhabung von Anträgen zur Ausübung des Auskunftsrechts und ggf. weiterer Datenschutzrechte betroffener Personen bildet einen der wesentlichen Kernprozesse einer robusten und wirksamen Datenschutz-Governance im Unternehmen. Dabei besteht bei der Gestaltung der Aufbau- und Ablauforganisation für Datenschutz im Unternehmen in der Praxis die Herausforderung, eine wirksame und zugleich möglichst effiziente und ressourcenschonende Handhabung von Datenschutzanträgen zu gewährleisten.

Auch mit Blick auf die koordinierte Prüfaktion der Aufsichtsbehörden sollten Unternehmen interne Prozesse und Dokumentation zum Datenschutz daher einer sorgfältigen Revision unterziehen und ggf. erforderliche organisatorische Verbesserungen rasch in die Wege leiten. Vor allem Richtlinien zur Handhabung von Auskunfts- und anderen Datenschutzanfragen und Vorlagen für Auskünfte sollten einer Revision unterzogen werden, um sowohl für Auskunftsanfragen betroffener Personen als auch für behördliche Untersuchungen gewappnet zu sein.