Der Europäische Datenschutzausschuss (EDSA) veröffentlichte Ende Januar einen Bericht über die Umsetzung des Rechts auf Auskunft durch die für die Verarbeitung Verantwortlichen (Pressemitteilung). Im Jahr 2024 fand eine EU-weit koordinierten Überprüfung zur Umsetzung des Auskunftsrechtes nach Art. 15 DSGVO und der EDSA-Leitlinien 01/2022 zu den Rechten betroffener Personen – Auskunftsrecht durch die Aufsichtsbehörden, unter Führung des EDSA statt. . Der Bericht fasst die Ergebnisse der nationalen Aufsichtsbehörden zusammen.
Wer wurde geprüft und wie?
Insgesamt wurden 2024 durch 30 Aufsichtsbehörden EU-weit 1185 Verantwortliche geprüft. An der Überprüfung in Deutschland beteiligten sich acht Aufsichtsbehörden, darunter das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg), die am Ende einen gemeinsamen Bericht abgaben. In dem ausführlichen Anhang zu dem Bericht des EDSA finden sich die detaillierten Rückmeldungen aus den einzelnen Ländern. In Deutschland wurden 116 Verantwortliche kontaktiert, darunter 90 aus dem Privatsektor und 25 aus dem öffentlichen Sektor. Die Verantwortlichen stammen aus verschiedenen Branchen, darunter auch KMU und große Unternehmen. Die meisten Verantwortlichen kamen aus dem Finanzsektor, gefolgt von Versorgungsunternehmen/Infrastrukturanbietern (z. B. Energie).
An die Verantwortlichen wurde ein Fragebogen mit spezifischen Fragen zu der Umsetzung des Auskunftsrechtes versendet. In einem Fall wurde anschließend eine Vor-Ort-Überprüfung eingeleitet.
Was sind die Ergebnisse?
Allgemeine Eindrücke
Die Umfrage ergab bei den deutschen Verantwortlichen, dass sie in dem abgefragten Zeitraum eine geringe bis sehr geringe Anzahl von Auskunftsersuchen erhalten haben. 45% der Verantwortlichen haben 2023 keine Auskunftsanfrage erhalten, während weitere 45% nur 1-10 Anfragen und nur 15% der Verantwortlichen 11-25 Anfragen erhielten.
Die geringe Anzahl an jährlichen Auskunftsanfragen bzw. auch der Umstand, dass einige Verantwortliche keine Auskunft zu der Zahl der Auskunftsersuchen geben konnten, da diese nicht zentral erfasst werden, sind nach den deutschen Aufsichtsbehörden die vermutliche Ursache für viele der unten näher dargestellten Umsetzungsschwierigkeiten. Viele Verantwortliche bearbeiten Auskunftsersuchen auch dezentral in den Fachbereichen und nicht über eine einheitliche Stelle. In diesen Fällen fehlten oft eine klare Zuständigkeitsregelung und interne Prozesse zur Umsetzung von Betroffenenrechten.
Für die geringe Anzahl der Auskunftsersuchen bei den untersuchten Verantwortlichen haben die Aufsichtsbehörden auch selbst Erklärungsversuche unternommen. Dies könnte sich ihrer Meinung nach daraus ergeben haben, dass vielfach B2B-Sektoren befragt wurden und viele Mitarbeiter voraussichtlich nur in bestimmten Fällen, wie zum Beispiel bei Rechtsstreitigkeiten, ein Auskunftsrecht geltend machen. Zudem scheinen Betroffene eher eine Kopie ihrer Daten zu verlangen, wenn es sich um besondere Kategorien von Daten gem. Artikel 9 DSGVO handelt, wie Gesundheitsdaten.
Die deutschen Aufsichtsbehörden haben den Eindruck, dass im privaten Sektor die Vorgaben zum Auskunftsrecht „hoch oder sehr hoch“ umgesetzt werden. Im Öffentlichen Sektor sei die Einhaltung tendenziell (etwas) niedriger, wobei es erhebliche Unterschiede zwischen den Verantwortlichen gebe. Ministerien und höhere Verwaltungsbehörden halten die Vorgaben tendenziell besser ein, als untere öffentliche Stellen oder Stellen, die eine große Anzahl von personenbezogenen Daten verarbeiten.
Im Folgenden werden die zahlreichen Problemfelder, die ermittelt wurden, zusammengefasst und sich dabei auf die wichtigsten beschränkt. Die sieben „Herausforderungen“, die der EDSA als Gesamtergebnis ermittelt hat, finden sich hier (S. 3 ff).
Dokumentation von Auskunftsersuchen
Kein systematisches Verfahren zur Bearbeitung und Überwachung von Auskunftsersuchen
Problem: Insbesondere bei Verantwortlichen, die nur wenige Auskunftsersuchen im Jahr bearbeiten müssen, fehlte es oft an einer internen Regelung, wie und von wem das Auskunftsersuchen zu bearbeiten ist.So erfolgte öfter eine Bearbeitung direkt in den Fachbereichen und ohne einheitliche Anleitung.
Lösungsmöglichkeit: Es sollten entsprechende Verfahren festgelegt werden und die Mitarbeiter geschult werden, damit sie erkennen können, wenn Betroffenenrechte ihnen gegenüber geltend gemacht werden. Bestenfalls sollte eine zentrale zuständige Stelle bestimmt werden, welche die Auskunftsanfragen bearbeitet und die sicherstellt, dass der Datenschutzkoordinator und -beauftragte eingebunden werden.
Falsches Verständnis von Form- und Identifizierungsvoraussetzungen
Problem: Wiederholt wurde festgestellt, dass zu hohe Formanforderungen an eingereichte Auskunftsanfragen gestellt werden und diese aufgrund dessen nicht bearbeitet werden. Das gleiche gilt für die Identifizierung des Antragsstellers (Art. 12 Abs. 3 DSGVO). Hierbei wurden ebenfalls oft zu hohe Anforderungen gestellt, um sicherzustellen, dass der Antragssteller auch tatsächlich derjenige ist, der er vorgibt zu sein.
Lösung: Die Voraussetzungen sollten in einer internen Richtlinie definiert werden oder bevor die Bearbeitung eines Auskunftsersuchens abgelehnt wird, mit dem Datenschutzbeauftragten besprochen werden. Das Stellen einer Auskunftsanfrage ist gesetzlich an keine Formvorschriften gebunden. Auch mündliche Auskunftsanfragen sind zu bearbeiten! Zu konkreten Fristberechnung berichteten wir auch hier. Zu dem Vorgehen zur sicheren Identifizierung berichteten wir hier und hier.
Verbesserungsbedürftige bestehende Verfahren
Die Aufsichtsbehörden nannten gleich eine Reihe von Punkten, die auch bei bestehenden Verfahren zu der Bearbeitung von Auskunftsanfragen regelmäßig verbesserungsbedürftig waren:
- Es sollte vorab bestimmt werden, welche Daten nach dem Auskunftsrecht grundsätzlich beauskunftet werden müssen. Dies ermöglicht, dass intern definiert und dokumentiert werden kann, welche internen Bestände, Datenpools und Prozesse überprüft werden müssen, wenn ein Auskunftsersuchen gestellt wird. Dies kann die Bearbeitung erheblich vereinfachen und beschleunigen, auch um die gesetzlichen Fristen halten zu können.
- Es sollte in den Richtlinien aufgenommen werden, dass bei der Beauskunftung die Rechte Dritter zu berücksichtigen sind und wie mit solchen Fällen umzugehen ist (Art. 15 Abs. 4 DSGVO). Dies betrifft zum Beispiel Fälle, in denen ein Kunde wissen möchte, welcher Mitarbeiter seine Anfrage bearbeitet hat oder wenn diese Information zunächst unbemerkt in den Daten eines Kundenkontos enthalten sind, das beauskunftet werden soll. Zu den Rechten Dritter bei Auskunftsanfragen berichteten wird hier.
- Die Zuständigkeiten und die rechtliche Rolle des Datenschutzbeauftragten als interner Ansprechpartner sollten geklärt werden. Dem Datenschutzbeauftragten kommt eine unterstützende und beratende Rolle zu. Er ist jedoch nicht ausführendes Organ. Die Informationen, die zu beauskunften sind, müssen grundsätzlich von dem Verantwortlichen ermittelt werden.
- Der Prozess sollte so ausgestaltet sein, dass auch Auskunftsersuchen, die über autorisierte Dritte eingereichten werden, beantwortet werden, z.B. über Auftragsverarbeiter oder andere Bevollmächtigte. Entscheidend ist auch hier wieder, dass die Zuständigkeiten geklärt sind und die Mitarbeiter generell sensibilisiert sind, Auskunftsersuchen zu erkennen.
Die genannten Mängel traten besonders häufig im öffentlichen Sektor auf. Als Gründe vermuteten die Aufsichtsbehörden unter anderem, dass in vielen Behörden personenbezogene Daten nach wie vor größtenteils nicht automatisiert verarbeitet werden und die Behörden folglich davon ausgehen, dass sich das Auskunftsrecht auf (alle) Dokumente und Akten erstreckt.
Ein weiterer Grund für die oben genannten Fehler sei auch ab und zu eine zu hohe Komplexität der Auskunftsersuchen, verbunden mit zu schlechter technischer Ausgestaltung, die es erschwert die Monatsfrist einzuhalten und die zu beauskunftenden Daten elektronisch (sicher) zur Verfügung zu stellen.
Speicherort von Auskunftsersuchen
Problem: Immer wieder werden Auskunftsanfragen direkt in den allgemeinen Produktivsystemen der Verantwortlichen gespeichert anstatt davon getrennt und mit separaten Zugriffsbeschränkungen.
Lösungsmöglichkeit: Auskunftsersuchen sollten während der Bearbeitung und danach in spezifischen Dateisystemen abgelegt werden, z.B. in einer zentralen Datenbank für Auskunftsersuchen oder der elektronischen Akte/Konto des Betroffenen. Der Zugriff sollte auf Personen beschränkt sein, die den Zugriff tatsächlich für ihre Arbeit brauchen.
Zu schnelle Löschung von Daten nach Beantwortung eines Auskunftsersuchens
Problem: Die Aufsichtsbehörden haben festgestellt, dass die Informationen im Zusammenhang mit Auskunftsersuchen immer wieder unmittelbar nach der Beantwortung des Auskunftsersuchens gelöscht werden. Dies könnte auch darauf zurückzuführen sein, wenn Betroffene gleichzeitig ein Auskunftsersuchen und einen Löschantrag geltend machen (Art. 17 DSGVO).
Einordnung: Bei der Erfüllung der Rechte des Betroffenen müssen auch die Pflichten und Interessen des Verantwortlichen bis zu einem gewissen Grad berücksichtigt werden. So kann der Verantwortliche das Interesse haben, nachzuweisen, dass ein Auskunftsersuchen erfüllt wurde, z.B. bei einer aufsichtsrechtlichen Prüfung oder in einem Rechtsstreit. Dadurch entsteht laut den Aufsichtsbehörden ein „Spannungsverhältnis“ zwischen dem Löschinteresse des Betroffenen und dem Interesse des Verantwortlichen.
Lösungsmöglichkeiten: Das BayLDA benennt (dort Rn. 157), dass die Aufbewahrung einer Dokumentation zu Auskunftsersuchen so lange gerechtfertigt ist, wie um die Auskunft noch Streit entstehen kann und die Anwendung von Art. 12 Abs. 5 DSGVO eine Kenntnis des Vorgangs erfordert. Bei bayerischen öffentlichen Stellen akzeptierte es eine Speicherung für zwei Jahre. Dies kann grundsätzlich auch auf private Stellen übertragen werden. Die Verjährungsfrist beträgt für diesen Fall normalerweise drei Jahre, beginnend mit Abschluss des Jahres, in welchem das Auskunftsersuchen gestellt wurde.
Inhalt von Auskunftsanfragen
Auch allgemeine Auskunftsanfragen müssen beantwortet werden
Von dem Antragsteller darf nicht pauschal verlangt werden, dass er seine Anfrage auf bestimmte Datenverarbeitungen beschränken muss und anderenfalls den Antrag gar nicht zu bearbeiten. Auch wenn einige Aufsichtsbehörden dies nach Inkrafttreten der DSGVO gebilligt haben, so betonen die Aufsichtsbehörden nun, dass Auskunftsanfragen grundsätzlich stets zu bearbeiten sind und der Antragsteller nur in Ausnahmefällen gebeten werden kann, den Antrag zu präzisieren. Dies ist in Erwägungsgrund 63 S. 7 DSGVO genannt:
„Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“
Das heißt, lehnt der Antragsteller eine Beschränkung ab, muss die Auskunft vollständig erteilt werden und das Verfahren darf nicht abgebrochen werden.
Zulässig ist es allerdings bei einer elektronischen Antragstellung Auswahlmöglichkeiten bereitzustellen, bei denen der Betroffene vorab angeben kann, aus welchen Fachbereichen/ Zweigen eine Auskunft erteilt werden soll.
Unvollständiges Durchsuchen von bestehenden Datenbanken
Viele Verantwortliche seien sich nach den Aufsichtsbehörden nicht ausreichend bewusst, dass personenbezogene Daten auch in nicht-textuellen Dateien, in Metadaten oder in Sicherungsdaten enthalten sein können. Daher werden bei der Zusammenstellung der Daten nur die gängigsten internen Systeme durchsucht und nicht alle Datenbanken, obwohl eine umfassende Auskunft zu erteilen ist (vgl. auch oben Nr. 3)
Hinweispflicht des Verantwortlichen
Problem: Gerade bei der Beauskunftung von technisch notwendigen und/oder automatisch anfallenden Daten, z.B. Logfiles oder Cookies, können diese dem Antragsteller oft nicht unmittelbar zugeordnet werden. Hierfür benötigt der Verantwortliche weitere Informationen, wie z.B. die IP-Adresse, anderenfalls wird (unbewusst) unvollständig beauskunftet.
Lösungsmöglichkeit: Der Verantwortliche sollte den Antragsteller darauf hinweisen, wenn er weitere Informationen von dem Betroffenen benötigt, wenn er ansonsten aufgrund seines Geschäftsmodells oder konkreten Verarbeitungstätigkeiten davon ausgehen muss, dass eine unvollständige Auskunft erfolgt. Hierzu sollte sich der Verantwortliche vorab Gedanken machen und dies im besten Fall in die oben erwähnte Leitlinie aufnehmen und bei den zu durchsuchenden Datenbanken als Hinweis ergänzen. Nur weil nicht auf Anhieb keine Daten gefunden werden, heißt dies laut den Aufsichtsbehörden nicht, dass der Verantwortliche sich damit „zufriedengeben“ darf.
Zu oberflächliche Beauskunftung
Die Aufsichtsbehörden haben auch festgestellt, dass immer wieder zu oberflächlich und wenig differenzierend beauskunftet wird oder gar unvollständig, vgl. auch oben Nr. 2. So werden häufiger nur die Arten von Empfängern genannt, anstatt diese namentlich zu nennen oder aus Versehen alte Datensätze herangezogen oder keine Kopie der Daten bereitgestellt (vgl. Art. 15 Abs. 3 DSGVO). Die Kopie muss laut den Aufsichtsbehörden auch ohne ausdrückliches Verlangen bereitgestellt werden.
Beschränkung von Auskunftsanfragen
Die deutschen Aufsichtsbehörden stellten fest, dass Verantwortliche das Auskunftsrecht häufig zu stark beschränken. Die gesetzlichen Beschränkungsmöglichkeiten wegen (vermeintlich) unbegründeten oder exzessiven Anfragen (Art. 12 Abs. 4 DSGVO) und wegen entgegenstehender Rechte Dritter (z.B. Mitarbeiter, Art. 15 Abs. 4 DSGVO), werden öfter vorschnell angenommen oder zu weit ausgelegt. Insbesondere werden Auskunftsanfragen oft auch abgelehnt, wenn klar ist, dass der Betroffene die Auskunft aus Gründen wünscht, die selbst nicht im Datenschutzrecht liegen, so z.B. bei Rechtsstreitigkeiten oder anderen privaten Gründen. Die Motive des Betroffenen sind jedoch grundsätzlich kein Ablehnungsgrund, da das Auskunftsrecht generell das Informationsrecht des Betroffenen schützen soll.
Fazit
Der Bericht des EDSA und der konsolidierte Bericht der deutschen Aufsichtsbehörden kann für Verantwortliche gut als Nachschlagewerk und „Checkliste verwendet werden“, wenn sie ihre Prozesse zur Bearbeitung von Betroffenenanfragen, nicht nur hinsichtlich der Auskunftsersuchen, optimieren möchten. Die deutschen Aufsichtsbehörden geben unter jedem ermittelten Problempunkt Hinweise auf die entsprechende Leitlinie(n) und Rechtsprechung des EuGH und stellen in den jeweiligen Abschnitten auch „Best Practices“ vor, die ihnen im Rahmen der Untersuchung begegnet sind. Diese können als Anregung für andere Verantwortliche gut verwendet werden. Auf S. 75 des Anhangs zum EDSA-Bericht befindet sich auch eine Übersicht der Leitlinien der deutschen Aufsichtsbehörden zur Bearbeitung von Auskunftsersuchen, jeweils mit den entsprechenden Links. Diese können einen leichteren Einstieg in die (weitere) Optimierung des Auskunftsrechtes darstellen.
Wie geht es weiter?
Der EDSA verwies in der Pressemitteilung auch auf das nächste Vorhaben: Im Jahr 2025 steht das Recht auf Löschung gem. Art. 17 DSGVO im Fokus der Überprüfung durch die Aufsichtsbehörden. Dies sei eines der meistausgeübten Betroffenenrechte und ist daher auch regelmäßig Gegenstand von Gerichtsentscheidungen (zuletzt EUGH, wir berichteten) oder Bußgeldern, so eines in Höhe von 900.000 Euro des BFDI Hamburg (wir berichteten).
Sollten Verantwortliche im Zuge dessen einen Fragebogen einer Aufsichtsbehörde erhalten, gilt es erst einmal Ruhe zu bewahren. Gibt es einen Datenschutzbeauftragten, sollte dieser informiert werden und mit diesem zusammen die Antworten vorbereitet werden. Falls Sie keinen Datenschutzbeauftragten oder -koordinatoren haben, können Sie sich auch externe Hilfe suchen, im Rahmen von Einzelmandatierungen.
Ergänzende Informationen zum Auskunftsrecht finden Sie auch in unseren zahlreichen früheren Blogbeiträge unter dem Suchbegriff ,Auskunft‘.
7. März 2025 @ 9:58
Die Aktion der EDSA fand aber in 2024 statt, nicht in 2023.
7. März 2025 @ 12:30
Da haben Sie natürlich recht. Vielen Dank für den Hinweis. Ich habe es korrigiert.