Der Europäische Datenschutz-Ausschuss (EDPB bzw. EDSA) hat sog. "Leitlinien zum Recht auf Auskunft (auf Englisch: Guidelines 01/2022 on data subject rights - Right of access) online gestellt. Durch diese Leitlinien, solle es Unternehmen ermöglicht werden, die Beantwortung von Auskunftsersuchen rechttsicher zu gestalten und klare Prozesse einzuführen. Zudem soll europaweit eine einheitliche Auslegung der DSGVO bzgl. der Auskunftsersuchen gewährleistet werden.
Die Leitlinien des EDSA / EDPB bzgl. des Rechts auf Auskunft gem. Art. 15 DSGVO betreffen viele bislang unklare Aspekte, die in der Praxis heiß diskutiert wurden. Dabei vertritt der EDSA / EDPB eine eher strenge Linie, wonach die Betroffenen weitgehende Auskunftsansprüche gegen die jeweils für die Datenverarbeitungsvorgänge Verantwortlichen haben. Ein wichtiger Punkt ist z.B., dass die Betroffnen - nach Ansicht des EDSA / EDPB einen Anspruch auf Herausgabe einer Kopie aller gespeicherten Daten und nicht nur einen Anspruch auf Übermittlung eine zusammenfassenden Erklärung haben. Wie die Fachzeitschrift CT vor Kurzem in Bezug auf ein Auskunftsersuchen bei dem Automobilhersteller SKODA gezeigt hat, versuchen viele Unternehmen bislang, lästige Auskunftsersuchen mit lapidaren, zusammenfassenden, pauschalen Formbriefen abzuwimmeln, aus denen allenfalls die Kategorien personenbezogener Daten herausgelesen werden können, nicht aber konkrete Daten aus konkreten Datensätzen.
Des Weiteren gehen die Leitlinien auch auf die formelle Anforderungen von Auskunftsersuchen eines Betroffenen ein und stellen klar, wie Verantwortliche, an die ein Auskunftsersuchen gerichtet wurde, die Auskunftserteilung durchzuführen haben.
Wir werden nun ebenfalls in einem Selbstversuch bein einem großen deutschen Automobilhersteller testen, ob die Leitlinien des EDSA / EDPB dort schon Beachtung finden, und das Ergebnis hier auf dem DURY BLOG Schritt für Schritt dokumentieren. Es bleibt also spannend.
Zusätzlich hat der EDSA /EDPB klar Stellung dazu bezogen, wann ein Auskunftsersuchen als offenkundig unbegründet oder exzessiv abgelehnt werden kann und wie sich der Anfragende zu identifizieren hat.
Wir raten jedem unserer Mandanten dazu dazu, sich durch klar definierte Prozesse und Briefvorlagen / Textvorlagen auf eingehende Auskunftsersuchen vorzubereiten. dabei sollten sich die Unternehmen professionelle Hilfe an Bord holen, zum Beispiel von unseren Kollegen bei DURY CONSULT.
Auch wenn die Leitlinien des EDSA /EDPB und auch die Beschlüsse und Whitepapers der Deutschen Datenschutzkonferenz (DSK) oder einzelner Datenschutzaufsichtsbehörden nicht verbindlich sind, sollte man sich in der Praxis bei der Gestaltung der Auskunftsprozesse an deren Vorgaben halten, denn es ist sehr wahrscheinlich, dass sich auch Gerichte, die entsprechende Rechtsstreitigkeiten zu entscheiden haben, mit sehr großer Wahrscheinlichkeit an den Leitlinien des EDSA / EDPB orientieren werden. Wenn man seine Prozesse dann schon anhand der Leitlinien gestaltet hat, hat man zumindest von dieser Front nicht mehr viel zu befürchten. Ohne klar definierten Auskunftsprozess können die Kosten pro Auskunft in die hunderte Euro gehen, insbesondere, wenn man pro Auskunftsersuchen einen externen Datenschutzbeauftragten oder gar einen Anwalt einschalten muss, der die Korrespondenz übernimmt (so z.B. bei SKODA geschehen, wie die CT berichtete).