Lessons learned der deutschen Aufsichtsbehörden aus der EDSA-Prüfung zu Art. 15 DSGVO

Dr. Carlo Piltz Chefredakteur Datenschutz-Berater

Sehr geehrte Leserinnen und Leser,

das Auskunftsrecht nach Art. 15 DSGVO ist in der Praxis ein Dauerbrenner. Wohl auch aus diesem Grund hatte sich der Europäische Datenschutzausschuss (EDSA) dazu entschlossen, 2024 eine koordinierte Prüfung in den Mitgliedstaaten durchzuführen. Der Bericht zu den Ergebnissen wurde nun veröffentlicht. Im Anhang des Berichts sind die nationalen Berichte aufgeführt, auch der teilnehmenden deutschen Aufsichtsbehörden – u.a. das BayLDA, das LDA Brandenburg, der LfD Niedersachsen, der LfDI Rheinland-Pfalz, das ULD Schleswig-Holstein und die BfDI. Die Ergebnisse des konsolidierten Berichts der deutschen Aufsichtsbehörden geben interessante Einblicke und auch Hinweise zur Umsetzung des Auskunftsrechts in der Praxis. Nachfolgend möchte ich Ihnen ein paar Highlights der dort erwähnten best-practices und Empfehlungen präsentieren.

Insgesamt stellen die deutschen Behörden fest, dass viele der kontaktierten Verantwortlichen angaben, dass sie im Prüfzeitraum nur eine geringe bis sehr geringe Anzahl von Auskunftsanfragen erhielten. Die Aufsichtsbehörden schließen daraus, dass der Anspruch aus Art. 15 DSGVO entweder den betroffenen Personen nicht ausreichend bekannt ist oder nur unter sehr begrenzten Umständen in Anspruch genommen wird – eventuell sehen wir hierzu in Zukunft also noch einmal „werbende“ Maßnahmen der Aufsichtsbehörden. Im Rahmen der Erfüllung von Auskunftsersuchen empfehlen die Aufsichtsbehörden Konzepte für das Zugangs- und Rollenmanagement vorzuhalten, die sicherstellen, dass Informationen, die im Zusammenhang mit Auskunftsersuchen stehen, nur nach dem need-to-know-Grundsatz zugänglich sind. In der Praxis haben hierauf zumeist die Rechtsabteilungen und der Datenschutzbeauftragte Zugriff. Zudem wird empfohlen, dass der Datenschutzbeauftragte im Rahmen seiner Tätigkeit an der Überwachung und auch Dokumentation von Auskunftsersuchen beteiligt wird. Auch eine zentrale Registrierung oder Übersicht von Auskunftsersuchen sollte von Verantwortlichen vorgehalten werden. Zuletzt sollte auch im Rahmen der Dokumentation an das Thema „Löschung“ gedacht werden.

Besonderen Wert legen die Aufsichtsbehörden bei der Bearbeitung von Auskunftsersuchen auf die Schulung und Sensibilisierung der Mitarbeiter. Es soll sichergestellt werden, dass Auskunftsersuchen erkannt und ohne Verzögerung an die zuständige Stelle weitergeleitet werden. Die Kür dürfte wohl die folgende empfohlene Maßnahme sein: Einrichtung einer spezifischen, vom Tagesgeschäft losgelösten Organisationseinheit, die (gegebenenfalls mit spezieller Software) die Informationen über die betroffene Person aus den verschiedenen Fachabteilungen und deren Systemen sammelt und zu einem Bericht zusammenstellt, auf Vollständigkeit überprüft und der betroffenen Person zur Verfügung stellt. Als Betroffenenrecht nach der DSGVO, sind bei der Erfüllung des Auskunftsanspruchs natürlich auch die allgemeinen Vorgaben nach Art. 12 DSGVO zu beachten. Als best-practice wird etwa angesehen, dass Auskunftsersuchen zu Mitarbeiterdaten von der Personalabteilung bearbeitet werden, da ein höheres Maß an Vertraulichkeit erforderlich ist. Zudem sollten Verantwortliche die Wünsche der betroffenen Personen hinsichtlich des Formats berücksichtigen, in dem sie Auskunft erhalten möchten. Zudem können externe Dienstleister hinzugezogen werden, die z.B. die Antworten in einfacher Sprache verfassen.

Und wie sieht es mit Empfehlungen zum Inhalt einer Auskunft aus? Verantwortliche können etwa Formulare/Vorlagen verwenden, mit denen die betroffene Person die relevanten Abteilungen/Bereiche und Verarbeitungsinformationen auswählen kann, zu denen sie Auskunft wünscht. Zudem wird auch die Möglichkeit einer Auskunft in mehreren Ebenen angesprochen. Aufgrund der Komplexität der Verarbeitung können Verantwortliche verschiedene mehrschichtige Ansätze (2 und 3 Schichten) verwenden. Um die Informationen überschaubar zu halten, enthält die erste Ebene in der Regel allgemeine Informationen (z.B. allgemeine Löschungsfristen) und personenbezogene Daten. Dort wird auch darauf hingewiesen, dass spezifischere Informationen in der zweiten Ebene bereitgestellt werden. Das Gesamtfazit der deutschen Aufsichtsbehörden: „Der Gesamteindruck ist, dass der Grad der Einhaltung im privaten Sektor hoch oder sehr hoch ist und im öffentlichen Sektor tendenziell (etwas) niedriger.“ Dürfen wir uns also zurücklehnen? Natürlich nicht. Im Datenschutz gibt es quasi jede Woche neue Entwicklungen, Empfehlungen oder Urteile, die eine kontinuierliche Überprüfung der eigenen Prozesse erforderlich machen.

Als DATENSCHUTZ-BERATER versuchen wir, unseren (kleinen) Teil hierzu beizutragen und ich hoffe, dieses Heft hilft Ihnen dabei. Ich wünsche Ihnen eine angenehme und auskunftsreiche Lektüre.

Ihr

Dr. Carlo Piltz