Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 genießen EU-Bürger umfassende Rechte in Bezug auf ihre persönlichen Daten. Die sogenannten Betroffenenrechte sind ein zentraler Bestandteil der Verordnung. Als „Betroffene“ gelten grundsätzlich alle Personen, von denen personenbezogene Daten gespeichert und verarbeitet werden. Diese Rechte stärken Einzelpersonen, indem sie ihnen Kontrolle und aktiven Einfluss auf die Verarbeitung ihrer personenbezogenen Daten verleihen.
Die Betroffenenrechte sind in Kapitel 3 der DSGVO zu finden und umfassen das Recht auf:
- Information
- Auskunft
- Berichtigung
- Löschung
- Einschränkung
- Datenübertragbarkeit
- Widerspruch
Geltung haben sie gegenüber allen verantwortlichen Stellen, die personenbezogene Daten von EU-Bürgern verarbeiten - unabhängig vom Sitz. Die Anfragen zu Betroffenenrechten sind unabdingbar und müssen innerhalb einer definierten Frist beantwortet werden.
In diesem Artikel möchten wir Ihnen die Bedeutung eines im Vorfeld entwickelten Umsetzungsvorgangs für die Betroffenenrechte näherbringen und Ihnen die Erkenntnisse der europaweiten Prüfaktion zum Auskunftsrecht aus dem Jahr 2024 vorstellen – ergänzt mit unseren Handlungsempfehlungen aus der Praxis.
Verantwortliche Stellen sollten vorbereitet sein
In der beruflichen Praxis stellen wir einen Anstieg der Anfragen zu Betroffenenrechten fest. Verantwortliche Stellen sollten deshalb gut auf den Ernstfall vorbereitet sein. Dafür gilt es, klare Prozesse zu schaffen, die eine kontrollierte Bearbeitung dieser Anfragen innerhalb des vorgeschriebenen Zeitfensters sicherstellen. Damit das gelingt, müssen Mitarbeitende entsprechend sensibilisiert werden. Dazu gehört, dass eingehende Anfragen frühzeitig erkannt und an eine definierte Stelle zur Bearbeitung weitergeleitet werden.
Es ist auch kein Geheimnis, dass die Ausübung von Betroffenenrechten häufig auch als Reaktion auf bestimmte Ereignisse erfolgt, beispielsweise weil man als Bewerber für eine ausgeschriebene Stelle nicht berücksichtigt wurde. Erfolgt die Beantwortung des Anliegens nicht im Rahmen der gesetzlich festgelegten Frist, kann dies zu einer Beschwerde des Anfragenden bei der Datenschutzaufsicht führen. Bedenken Sie also, dass eine einzelne Anfrage schnell einen erheblichen Arbeitsaufwand verursachen kann!
Europaweite Prüfung zum Auskunftsrecht 2024
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) beteiligte sich 2024 an einer europaweiten Prüfaktion zur Umsetzung des Auskunftsrechts. Die dazugehörige Pressemitteilung ist auf der Webseite des BayLDA abrufbar. Besondere Auffälligkeiten im Rahmen der Prüfaktion sowie aus dem Alltagsgeschäft der Behörde sind im Tätigkeitsbericht 2024 unter Punkt 4.6 beschrieben. Diese Auslegungen der Aufsichtsbehörde sind für verantwortliche Stellen und deren Datenschutzbeauftragte wichtige Orientierungshilfen, um den Anspruch an die Umsetzung eines Betroffenenrechts - hier das Recht auf Auskunft - zu verstehen.
Wichtige Erkenntnisse aus der Prüfaktion zum Auskunftsrecht
Ein vorhandener Prozess hilft
Für die korrekte Beantwortung von Betroffenenrechten ist ein klar beschriebener Prozess des Vorgehens elementar. Dieser ermöglicht, dass Auskunftsanfragen einheitlich bearbeitet werden, neue Erkenntnisse direkt in die kontinuierliche Prozessverbesserung einfließen und damit die Qualität der Bearbeitung insgesamt verbessert wird. Darüber hinaus wird der Umsetzungsdruck für verantwortliche Stellen deutlich reduziert. Ein gutes Nachschlagewerk zur Optimierung des Handlungsablaufs sind die Leitlinien zum Auskunftsrecht des European Data Protection Board (EDPB).
Spezielle Softwarelösungen als Unterstützung
Abhängig vom Aufkommen der Anfragen und dem Umfang der vorhandenen Datenverarbeitungssysteme der verantwortlichen Stelle, kann der Einsatz einer speziellen Softwarelösung die Beantwortung deutlich verbessern. Die Erhebung von personenbezogenen Daten aus den jeweiligen Fachbereichen wird dadurch erleichtert und Löschfristen werden effizienter eingehalten.
Aufbewahrungsfristen können variieren
Eine weitere Erkenntnis ergab sich bei den Aufbewahrungsfristen für die erteilten Auskünfte und die damit verbundene Kommunikation. Die Spannweite reichte von einer umgehenden Löschung nach Auskunftserteilung bis hin zu Fristen von mehreren Jahren. In der Praxis wird häufig eine Anlehnung an das §31 Ordnungswidrigkeitengesetz (OWiG), sowie an der allgemeinen zivilrechtlichen Verjährungsfrist von 3 Jahren, beginnend mit dem Schluss des Jahres in dem der Anspruch entstand, akzeptiert. Längere Aufbewahrungsfristen sind möglich und werden von Aufsichtsbehörden anerkannt, sofern berechtigte Zwecke hierfür dargelegt werden können.
Formale Anforderungen an den Eingangskanal gibt es nicht
In der Prüfaktion wurde festgestellt, dass bei einigen Teilnehmern nur festgelegte Eingangskanäle für die Anfragen akzeptiert wurden. Mündliche Anfragen wurden aufgrund fehlender Authentifizierungsmöglichkeiten verweigert. Art. 15 der DSGVO legt aber keine klar definierte Form des Antrags auf Auskunft fest. Verantwortliche Stellen sind damit verpflichtet, auch mündliche Anfragen zu akzeptieren und ordnungsgemäß abzuarbeiten.
Mehrstufige Verfahren gehören der Vergangenheit an
Bei einigen Kandidaten wurde ein mehrstufiges Verfahren angewandt. Im ersten Schritt erfolgte die Beauskunftung in Form abstrakter Datenkategorien wie Stammdaten und Kommunikationsdaten. Erst nach einer Präzisierungsaufforderung, wurden dann im zweiten Schritt, die Klardaten herausgegeben. Diese Vorgehensweise wurde in den vergangenen Jahren zum Teil auch von den Aufsichtsbehörden akzeptiert. Mittlerweile gehört sie jedoch der Vergangenheit an. Nur eine fundierte Auskunft im ersten Schritt kann dafür sorgen, dass dem Antragsteller keine Informationen vorenthalten werden - besonders dann, wenn ihm die einzelnen Verarbeitungsschritte nicht bekannt sind.
Recht auf Kopie richtig verstehen
Eine weitere Feststellung bezog sich auf die Darstellung eines ausdrücklichen Antrags entsprechend Art. 15 Abs. 3: Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Damit ist nicht gemeint, dass Kopien von Dokumenten oder Datenbankauszügen zur Verfügung gestellt werden, sondern eine strukturierte Darstellung aller verarbeiteten personenbezogenen Daten erfolgt.
Im Arbeitsdokument „Information für datenschutzrechtlich Verantwortliche zum Recht auf Auskunft gemäß Art. 15 DS-GVO“ des BayLDA wird dies unter Punkt 5 Form der Auskunft wie folgt beschrieben: Gem. Art. 15 Abs. 3 DS-GVO, ist eine „Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. „Kopie“ bedeutet in diesem Zusammenhang nicht, dass Sie eine „Fotokopie“ zur Verfügung stellen müssen, vielmehr ist eine strukturierte Wiedergabe der auf die betroffene Person bezogenen Daten zur Verfügung zu stellen. Entscheidend ist also, dass keine personenbezogenen Daten fehlen.
Identifizierung von Auskunftsersuchen notwendig
Die verantwortliche Stelle muss sicherstellen, dass die Datenauskunft an die richtige Person erteilt wird. Eine Identifizierung vor Auskunftserteilung ist daher erforderlich. Hier pauschal aber eine Ausweiskopie einzufordern, widerspricht dem Grundsatz der Datenminimierung und ist häufig nicht notwendig. Eine Identifizierung sollte aufgrund der Daten, die das Auskunftsersuchen beinhaltet, bereits ausreichend sein. Zur weiteren Präzisierung können ergänzende Angaben wie eine Kundennummer abgefragt werden. Ist im Einzelfall eine Authentifizierung mittels Ausweises erforderlich, sollten nicht zwingend notwendige Informationen geschwärzt werden.
Fazit
Es kann davon ausgegangen werden, dass die Zahl der Anfragen zur Beantwortung von Betroffenenrechten mindestens auf dem aktuellen Niveau bleiben oder vielleicht sogar steigen wird. Die Etablierung eines definierten Prozesses, der mit jeder weiteren Beantwortung verbessert wird, ist daher unerlässlich. Dieser Prozess garantiert einen kontrollierten Handlungsablauf bei Anfragen, sorgt für Sicherheit und unterstreicht die Professionalität der verantwortlichen Stelle. Stellen Sie daher sicher, dass Sie gut für mögliche Anfragen gerüstet sind!