News

Europäischer Datenschutzausschuss: Aktualisierte Leitlinien zum Auskunftsrecht

24.04.2023

Aktualisierte Leitlinien des Europäischen Datenschutzausschusses (EDSA) zum Auskunftsrecht erfordern eine Überprüfung interner Prozesse und Dokumentation zum Datenschutz im Unternehmen, um Bußgelder und Schadensersatzforderungen wegen unzureichender Auskünfte zu vermeiden.

Hintergrund: Umfassende Auskunftspflichten nach der DS-GVO

Die europäische Datenschutz-Grundverordnung (DS-GVO) verlangt von Unternehmen, Personen auf Anfrage unverzüglich – im Regelfall spätestens innerhalb eines MonatsAuskunft zu sie betreffenden personenbezogenen Daten zu erteilen. Dazu gehört zunächst eine Bestätigung, ob im Unternehmen überhaupt personenbezogene Daten der auskunftssuchenden Person verarbeitet werden. Ist das der Fall, so ist Auskunft über diese Daten in Form einer Kopie der personenbezogenen Daten zu erteilen. Außerdem sind bestimmte Informationen über die Verarbeitung der Daten sowie über diesbezügliche Rechte der betroffenen Person mitzuteilen.

Hohe Anforderungen der Datenschutzbehörden an Erteilung von Auskünften

Im Februar 2022 hatte der EDSA neue Leitlinien zum Auskunftsrecht nach der DS-GVO zur öffentlichen Konsultation veröffentlicht. Darin formulierten die Aufsichtsbehörden strenge Anforderungen an die Erteilung von datenschutzrechtlichen Auskünften.

Nach Durchführung des Konsultationsverfahrens hat der EDSA nun kürzlich eine aktualisierte Fassung seiner Leitlinien verabschiedet. Gegenüber der Konsultationsfassung weist die neue Version erwartungsgemäß keine bahnbrechenden Änderungen auf. Abgesehen von redaktionellen Korrekturen fokussieren sich die Anpassungen im Wesentlichen vielmehr auf punktuelle Klarstellungen und wenige ergänzende Fallbeispiele. Es bleibt also bei der strengen Linie der Aufsichtsbehörden.

Wenig überraschend greift der EDSA in der aktualisierten Fassung seiner Leitlinien nun insbesondere auch das zwischenzeitlich ergangene Urteil des Europäischen Gerichtshofs (EuGH) vom 12. Januar 2023 auf. Das Urteil bestätigt die von den Aufsichtsbehörden bereits in der Konsultationsfassung ihrer Leitlinien vertretene strenge Auffassung, dass in Auskünften grundsätzlich auch alle einzelnen Datenempfänger namentlich benannt werden müssen.

Revision von internen Prozessen und Dokumentation zum Datenschutz im Unternehmen

Um in der Lage zu sein, unverzüglich und im Regelfall spätestens innerhalb eines Monats ordnungsgemäß Auskunft zu erteilen, müssen sich Unternehmen proaktiv auf Auskunftsersuchen vorbereiten und ggf. angemessene interne Prozesse hierfür schaffen, so der EDSA in seinen Leitlinien.

Unternehmen sollten interne Prozesse und Dokumentation zum Datenschutz vor dem Hintergrund der aktualisierten Leitlinien des EDSA daher sorgfältig prüfen und ggf. optimieren. Vor allem Richtlinien zur Handhabung von Datenschutzanfragen und Vorlagen für Auskünfte sollten einer Revision unterzogen werden, um für Auskunftsanfragen gewappnet zu sein.

Private Enforcement - Schadensersatzforderungen betroffener Personen

Bei Verstößen gegen datenschutzrechtliche Auskunftspflichten drohen einerseits behördliche Maßnahmen und empfindliche Bußgelder. Beispielsweise hat die Hessische Datenschutzbehörde Verstöße gegen Auskunftspflichten mit Bußgeldern im mittleren fünfstelligen Bereich geahndet.

Die strengen Vorgaben der Aufsichtsbehörden leisten allerdings vor allem auch dem Private Enforcement im Datenschutzrecht weiter Vorschub. Unternehmen sehen sich dabei vermehrt mit immateriellen Schadensersatzforderungen aufgrund von Verstößen gegen Auskunftspflichten konfrontiert. Dabei ist zu beobachten, dass sich in Deutschland zunehmend eine klägerfreundliche Rechtsprechung zum Datenschutz etabliert. Für Verstöße gegen die Auskunftspflicht hat beispielsweise das Arbeitsgericht Oldenburg jüngst in einem Fall immateriellen Schadensersatz in Höhe von 10.000 Euro zugesprochen. Das Arbeitsgericht Düsseldorf erkannte für eine verspätete Auskunft immateriellen Schadensersatz in Höhe von 5.000 Euro zu, das Landesarbeitsgericht Hamm in Höhe von 1.000 Euro.

Einen ausführlichen Überblick zur Rechtsprechung deutscher Gerichte zum Schadensersatz für Datenschutzverstöße finden Sie in unserem Noerr GDPR Damages Tracker.

Kontakt

Sebastian Dienst
Sebastian Dienst+49 89 28628457
Paul Vogel
Paul Vogel+49 89 28628542

Datenschutz

Share

Alle anzeigen

Insights

glowing light spiral
News

Lieferketten-Compliance: CSDDD und EU-Zwangs­arbeits­ver­ordnung kommen

26.04.2024
two liquids
News

EU-Verpackungs­verordnung: Einheitlicher Rechts­rahmen für Verpackungen – neue Herausforderungen für Marktteilnehmer

25.04.2024
Fels am Meer
News

Update Foreign Subsidies Regulation („FSR“): Erste Durchsuchung der Europäischen Kommission bei einem chinesischen Hersteller von Sicherheitstechnik

25.04.2024
mirror cube structure with pulse
News

Plattformarbeit: Richtlinie zur Verbesserung der Arbeitsbedingungen heute verabschiedet

24.04.2024
Sports car in curve wP300
News

„In-Car-Entertainment­systeme“ als regulierte Benutzer­oberflächen? - Automobil­hersteller im Fokus der Landes­medienanstalten

22.04.2024
Cubes structure
News

EU Listing Act ante portas

22.04.2024
River bridge
News

Europäische Richtlinie zur Entgelt­transparenz zwischen Männern und Frauen

22.04.2024
zwei Geschäftsleute spazieren
Podcast

Noerr_podcast: Update zur Recht­sprechung im Arbeits­recht – der etwas andere Jahres­rückblick

19.04.2024
LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024