Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Sharon McCutcheon, Unsplash
Auskunftsrecht erklärt: EDSA veröffentlicht neue Leitlinien
Rund um Betroffenenrechte und Auskunftsersuchen besteht viel Unsicherheit. Müssen beispielsweise Kopien mitausgehändigt werden? Wie funktioniert die Identifikation von Betroffenen? Und ab wann gelten Auskunftsersuchen als exzessiv?
Um dieser Unsicherheit entgegenzuwirken, hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zum Auskunftsrecht veröffentlicht. In über 60 Seiten gibt der Ausschuss Antworten mit Praxisbezug und Beispielen aus dem Alltag.
Wir haben für Sie zusammengefasst, worum es bei den Leitlinien geht und stellen beispielhaft drei bisher umstrittene Aspekte vor: Inhalt von Auskunftsersuchen, Identifikation und exzessive Anfragen.
Hintergrund zu den EDSA Leitlinien
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt die Leitlinien der EDSA: „Das Recht auf Auskunft ist das grundlegende Betroffenenrecht und wird von den Bürgerinnen und Bürgern häufig in Anspruch genommen. Allerdings lässt der entsprechende Artikel der DSGVO allein einen großen Interpretationsspielraum. Der EDSA sorgt hier nun für mehr Klarheit und Einheitlichkeit.“
Die Leitlinien sind also ein wichtiger Schritt zur Stärkung der Betroffenenrechte und zur Vereinheitlichung in Europa. Allerdings sind derartige Leitlinien nicht bindend. Der Europäische Datenschutzausschuss – bestehend aus Vertretungen der europäischen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten – hat lediglich einen Entwurf veröffentlicht. Im Rahmen eines öffentlichen Konsultationsverfahrens ruft der Ausschuss insbesondere Verbände und Interessenvertretungen zu Stellungnahmen auf. Obwohl die Leitlinien also keine Rechtsicherheit gewährleisten, bieten sie als Empfehlungen einen wichtigen Orientierungspunkt.
Insgesamt handelt es sich bei den Leitlinien ein Plädoyer für die Stärkung der Betroffenenrechte und eine weite Auslegung im Sinne der Betroffenen. Der Ausschuss stellt Auskunftsersuchen in den Fokus, da diese die Basis darstellen, um andere Rechte (z. B. auf Löschung) ausüben zu können und einzuschätzen, ob die eigenen personenbezogenen Daten rechtmäßig verarbeitet werden. Die Möglichkeiten von Verantwortlichen, Auskunftsersuchen abzuweisen, werden hingegen eingeschränkt und eng ausgelegt. Das wird auch bei den folgenden drei Beispielen aus den Leitlinien deutlich.
Inhalt von Auskunftsersuchen
Der Inhalt bei der Beantwortung von Auskunftsersuchen gliedert sich in bis zu drei Teile. Zunächst müssen Verantwortliche angeben, ob sie personenbezogene Daten der betroffenen Person verarbeiten. Ist dies nicht der Fall, sind die Betroffenen darüber zu informieren und das Auskunftsersuchen gilt als beantwortet.
Werden hingegen Daten verarbeitet, ist den Betroffenen Zugriff auf die sie betreffenden personenbezogenen Daten zu gewähren. Dabei gilt, dass Betroffene grundsätzlich Anspruch auf eine Kopie der Daten haben. Eine Zusammenfassung reicht im Regelfall nicht aus.
Im dritten Schritt sollten Verantwortliche Informationen über die Verarbeitung zur Verfügung stellen. Das beinhaltet beispielsweise Zwecke, Kategorien von Daten, Empfänger:innen, Dauer der Verarbeitung oder mögliche Drittlandübermittlungen.
Die Definition personenbezogener Daten ist in den Leitfäden ebenfalls weit gefasst. So fallen nicht nur Daten wie Name oder E-Mail-Adresse, sondern auch medizinische Befunde, Einkaufsverläufe oder Suchanfragen unter den Begriff. Auch pseudonymisierte – im Gegensatz zu anonymisierten Daten – gelten immer noch als personenbezogene Daten.
Insgesamt ergibt sich dadurch eine Vielzahl von Daten, die an die Betroffenen übermittelt werden müssen. Daher dürfen Verantwortliche fragen, ob es Betroffenen nur um bestimmte Daten geht. Ansonsten, wenn nicht anders angegeben, müssen alle Daten zur Verfügung gestellt werden.
Identifikation bei Auskunftsersuchen
In den Leitlinien heißt es, dass Verantwortliche angemessene Maßnahmen treffen müssen, um Personen, die ein Auskunftsersuchen stellen, zu identifizieren. Damit soll sichergestellt werden, dass die Daten nicht in die Hände von unbefugten Dritten gelangen. Die Maßnahmen sollten allerdings angemessen sein (v. a. in Bezug auf die Sensibilität und die Kategorien der verarbeiteten Daten) und keine zusätzliche Hürde darstellen.
Haben Verantwortliche also berechtigte Zweifel daran, dass es sich bei den Personen, die Auskunftsersuchen stellen, tatsächlich um die Betroffenen handelt, dürfen und müssen sie zusätzliche Informationen zur Bestätigung der Identität einfordern. Welche zusätzlichen Informationen das sind, hängt ganz vom Fall, den verarbeiteten Daten und dem potentiellen Risiko für die Betroffenen ab. Dafür müssen Verantwortliche jeweils abwägen, welche Informationen sie zur Identifikation benötigen und ob dies verhältnismäßig ist.
Bei Online-Diensten bietet es sich beispielsweise an, Log-in-Daten abzufragen bzw. die angefragten Daten über diesen Weg zur Verfügung zu stellen, da so keine zusätzlichen Informationen erhoben werden müssen (Datenminimierung). Auch das Stellen von Sicherheitsfragen ist eine Möglichkeit.
In besonderen Fällen können sogar Dokumente zur Identifikation, wie Personalausweise, im Original bzw. in geschwärzter Kopie gefordert werden. Das sollte allerdings die Ausnahme bilden und nur bei besonders sensiblen Daten eingesetzt werden.
Können Verantwortliche Betroffene nicht zweifelsfrei identifizieren, dürfen sie Auskunftsersuchen ablehnen.
Tipp: Im Zweifelsfall können Sie auch eine postalische Übermittlung der Daten mittels des sog. „Post-Identverfahrens“ durchführen. Mehr dazu hier.
Wann gelten Ersuchen als exzessiv?
Auskunftsersuchen sind ein wichtiger Bestandteil der Betroffenenrechte. Deshalb müssen Betroffene auch keine Gründe für ihr Ersuchen angeben. Für Verantwortliche bedeutet das im Umkehrschluss, dass sie Ersuchen beantworten müssen – auch, wenn sie einen Bearbeitungsaufwand darstellen. Laut EDSA ist es nicht die Aufgabe von Verantwortlichen, zu prüfen, inwiefern das Auskunftsersuchen dazu beiträgt, andere Rechte wahrzunehmen oder die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.
Machen Betroffene in regelmäßigen Abständen von diesem Recht Gebrauch, kann es allerdings schnell zur Belastung für die Verantwortlichen werden. Daher hat der Datenschutzausschuss definiert, ab wann Auskunftsersuchen als exzessiv gelten.
Wie so häufig lautet die Antwort im Datenschutz allerdings: Es kommt darauf an. Ob Ersuchen als exzessiv gelten, hängt stark von dem Sektor der Verantwortlichen ab. Je öfter Verantwortliche Änderungen in ihren Datenbanken vornehmen, desto öfter dürfen Betroffene Auskunftsersuchen stellen. Daher werden gehäufte Anfragen an Social-Media-Unternehmen beispielsweise als weniger exzessiv angesehen als an Tischlereien. Die angemessenen Intervalle, in denen Auskunftsersuchen gestellt werden können, unterscheiden sich teilweise also stark.
Auch die Sensibilität sollte bei der Bewertung, ob Ersuchen exzessiv sind, berücksichtigt werden. Zusätzlich ist die Art der Verarbeitung und das damit einhergehende Risiko für die Betroffenen ein entscheidender Faktor. Überschneidet sich ein Ersuchen allerdings mit einem vorangegangenen Ersuchen und sind die angefragten Daten identisch, würde es wahrscheinlich als exzessiv gewertet werden.
Die EDSA berücksichtigt außerdem den Aufwand für Verantwortliche: Sind Ersuchen unkompliziert elektronisch zu beantworten, gelten sie i. d. R. nicht als exzessiv. Stellt die Beantwortung allerdings einen hohen Aufwand dar, weil es sich beispielsweise um eine große Zahl an Verarbeitungen handelt, werden Ersuchen eher als exzessiv gewertet. Zudem gelten Auskunftsersuchen als exzessiv, wenn Betroffene eindeutig schlechte Intentionen haben und Verantwortliche wie Beschäftigte belästigen.
Der Leitfaden bestätigt: Bei häufigen Anfragen dürfen Verantwortliche eine Gebühr erheben, um die administrativen Kosten zu decken. Dafür müssen sie nachweisen können, dass die Anfragen exzessiv und unbegründet sind.
Wir unterstützen Sie!
Wenn Auskunftsersuchen bei Ihnen eingehen, ist es meist zu spät, um die benötigten Strukturen aufzubauen – zumal es Fristen einzuhalten gilt. Gestalten Sie die Prozesse daher präventiv aus, kommunizieren Sie das Verfahren in Ihrer Organisation und überprüfen Sie die Praktikabilität in einem Testlauf. Sie benötigen Unterstützung bei der Implementierung der benötigten Prozesse?
Quellen
Der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (2022): „EDSA beschließt Leitlinien zum Auskunftsrecht“, 19. Januar 2022, https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2022/02_EDSA-Leitlinien-Auskunftsrecht.html, letzter Zugriff am 03. Februar 2022.
European Data Protection Board (2022): „Guidelines 01/22 on data subject rights – Right of access Version 1.0”, 18. Januar 2022, https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf, letzter Zugriff am 03. Februar 2022.
Hessel, Stefan (2022): „EU-Datenaufsichtsbehörden befürworten weites Auskunftsrecht“, 28. Januar 2022, heise online, https://www.heise.de/news/EU-Datenschutzaufsichtsbehoerden-befuerworten-weites-Auskunftsrecht-6342280.html, letzter Zugriff am 03. Februar 2022.