CEF 2024: Herausforderungen beim Auskunftsrecht
Das Recht auf Auskunft gehört zu den am häufigsten ausgeübten Datenschutzrechten betroffener Personen. Doch wie gut setzen Verantwortliche dieses in der Praxis um? Der Europäische Datenschutzausschuss (EDSA) hat im Rahmen des Koordinierten Durchsetzungsrahmens (Coordinated Enforcement Framework, CEF) 2024 Herausforderungen von Verantwortlichen beim Auskunftsrecht untersucht. Am 20.01.2025 stellt der EDSA den daraus entstandenen Bericht vor, der sowohl positive Entwicklungen als auch Schwierigkeiten aufzeigt. Für Unternehmen bietet dieser wertvolle Erkenntnisse und auch praxisnahe Empfehlungen, um ihre Compliance zu verbessern.
Der Koordinierte Durchsetzungsrahmen
Der CEF ist eine Initiative des EDSA, um die Zusammenarbeit zwischen den Datenschutzbehörden in Europa zu stärken. Seit 2021 werden jährlich koordinierte Maßnahmen zu spezifischen Datenschutzthemen durchgeführt, um eine einheitliche Durchsetzung der DSGVO zu fördern. Zuletzt war in diesem Zusammenhang die Rolle des Datenschutzbeauftragten im Fokus.
CEF 2024
Der 2024 durchgeführte CEF widmete sich Herausforderungen beim Auskunftsrecht. Ziel war es, die praktische Anwendung und Umsetzung des Auskunftsrechts in Organisationen zu bewerten und mögliche Anpassungen der EDSA-Leitlinien zum Auskunftsrecht vorzuschlagen. Hierfür reagierten 1.185 Verantwortliche in ganz Europa, darunter Unternehmen jeder Größe und Branche sowie öffentliche Organisationen. Der 31-seitige Bericht (abrufbar hier) basiert auf den Ergebnissen formaler Untersuchungen, Bewertungen und Tatsachenfeststellungen, die von 30 Datenschutzbehörden durchgeführt wurden.
In Deutschland nahmen laut einer Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) (abrufbar hier) die Bundesdatenschutzbeauftragte und 7 Landesaufsichtsbehörden teil. Diese hätten insgesamt 116 Verantwortliche überprüft.
Das Auskunftsrecht
Das Auskunftsrecht nach Art. 15 Datenschutzgrundverordnung (DSGVO) ist ein zentraler Eckpfeiler des Datenschutzes, so der stellvertretende Vorsitzende des EDSA, Zdravko Vukíc, in der Pressemitteilung. Es ermöglicht Individuen, Einblick in die Verarbeitung ihrer Daten zu erhalten und gegebenenfalls Korrekturen oder Löschungen zu fordern. Bei Missachtungen verhängen europäische Datenschutzbehörde regelmäßig empfindliche Bußgelder.
Herausforderungen bei der Umsetzung des Auskunftsrechts
Der Bericht identifiziert sieben zentrale Herausforderungen, denen sich Verantwortliche bei der Bearbeitung von Auskunftsanfragen gegenübersehen. In diesem Zusammenhang stellt der EDSA auch eine Liste unverbindlicher Empfehlungen für die einzelnen Problemfelder zur Verfügung.
- Keine Dokumentation interner Verfahren: Viele Unternehmen würden nicht über dokumentierte interne Prozesse zur Beantwortung von Auskunftsanfragen verfügen. Hierzu gehöre auch eine entsprechende Schulung der Mitarbeitenden und gegebenenfalls Hilfestellungen für Betroffene die Auskunftsanfragen stellen wollen. Verantwortliche sollten nach der Implementierung entsprechender Verfahren diese auch kontinuierlich Überwachen und bei Bedarf anpassen. Hierfür könne der EDSA und Aufsichtsbehörden entsprechende Leitlinien und Verhaltenskodizes veröffentlichen.
- Ausdehnung von Ausnahmen: Einige Verantwortliche würden Anfragen automatisch, aufgrund einer Überdehnung der gesetzlichen Ausnahmebestimmungen. Erst kürzlich hat der Europäische Gerichtshof beispielsweise entschieden, dass eine pauschale Ablehnung von Auskunftsersuchen aufgrund eines festen Schwellenwerts nicht zulässig ist. Der EDSA erklärt, dass bei einer Ablehnung stets anhand des Einzelfalls eine Begründung abgegeben können werden muss. Verantwortliche sollten hierfür interne Richtlinien erstellen.
- Formale Hürden: Einzelpersonen würden bei der Anspruchsgeltendmachung oft mit unnötigen Anforderungen konfrontiert, wie etwa mit Formvorgaben oder der Vorlage umfangreicher Identitätsnachweise. Verantwortliche sollten laut EDSA stets in der Lage sein auch Auskunftsanfragen, die nicht über die üblichen Wege eingegangen sind, bearbeiten zu können. Ob eine Identifizierung des Betroffenen nötig ist, solle nicht pauschal festgelegt sein, sondern anhand des Einzelfalls entschieden werden.
- Umfang des Auskunftsrechts: Verantwortliche seien sich oft nicht über den Umfang der zu erteilenden Auskunft Bewusst. Hierfür sollten Verantwortliche schon im Voraus analysieren, welche Informationen einen Personenbezug haben. Im Falle eines Auskunftsersuchens, sollten Verantwortliche auch schon im Voraus geklärt haben, wo sie die entsprechenden Informationen einholen können.
- Fehlerhafte Aufbewahrungsfristen: Verantwortliche hätten im Zusammenhang mit Auskunftsersuchen regelmäßig ungenaue, inkonsistente oder exzessive Aufbewahrungsfristen. Hier sollten feste Kriterien bestehen, die anhand dokumentierter, objektiver Kriterien begründet sind. Zudem sei auch zu beachten, dass Aufbewahrungsfristen aus anderen Rechtsgebieten immer mit dem Recht auf Auskunft abgestimmt werden müssen.
- Fehlinterpretation des Spezifizierungsrechts: Der EDSA hat festgestellt, dass Verantwortliche ihr Recht, eine Spezifizierung des Auskunftsersuchens zu verlangen, häufig zu großzügig auslegen würden. Auch hier sei es erforderlich, eine einzelfallbezogene Bewertung vorzunehmen. Im Rahmen eines Anfrageformulars könne Betroffenen auch die Möglichkeit eröffnet werden, auszuwählen welche Art von Auskünften sie anfordern wollen.
- Keine einzelfallbezogene Auskunftserteilung: Zuletzt stellt der EDSA fest, dass viele Verantwortliche eine unnötigerweise detaillierte oder nicht auf die jeweilige Anfrage zugeschnittene Auskunft erteilen. Auch hier solle je nach Einzelfall eine Antwort erstellt werden.
Positive Entwicklungen
Trotz der identifizierten Herausforderungen zeigt der Bericht auch ermutigende Fortschritte. Insgesamt bewerten zwei Drittel der Aufsichtsbehörden die Konformität der untersuchten Unternehmen als „durchschnittlich“ bis „hoch“. Größere Unternehmen mit mehr Antragsvolumen erreichten noch bessere Ergebnisse. Zudem lobt der EDSA „die Umsetzung bewährter Verfahren […] wie benutzerfreundliche Online-Formulare […] sowie Self-Service-Systeme, mit denen Einzelpersonen ihre personenbezogenen Daten mit wenigen Klicks und jederzeit autonom herunterladen können“.
Konkrete Ergebnisse
Der Europäische Datenschutzbeauftragte (EDSB) hat im Rahmen des CEF 2024 europäische Organisationen (EUIs) untersucht. Laut seiner Pressemitteilung kam er zum Ergebnis, dass hier insgesamt sehr wenige Anfragen eingehen. Dies könne daran liegen, dass es für verschiedene Individuen die Möglichkeit gibt, ihre personenbezogenen Daten selbst runterzuladen. Allerdings gäbe es auch bei EUIs immer wieder Inkonsistenz bei der Beantwortung von Anfragen.
Laut einer Pressemitteilung des rheinland-pfälzischen Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Dieter Kugelmann, habe der CEF 2024 gezeigt, dass in seinem Bundesland „die Implementierung des Auskunftsrechts […] teilweise durchaus geglückt“ ist. Allerdings hätte es auch hier „Unkenntnisse über die Reichweite des Auskunftsanspruchs und die Errichtung übersteigerter Formanforderungen“ gegeben.
Auch die niedersächsische Datenschutzaufsicht zeigt sich in einer Pressemitteilung erfreut über ihr Ergebnis. Die 15 stichprobenartig untersuchten Unternehmen hätten sich gesetzeskonform verhalten. Allerdings würden „die zahlreichen Anfragen und Beschwerden […] zu dem Thema“ zeigen, dass auch in Niedersachsen Nachholbedarf besteht.
Zudem zeigt sich der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern in einer Pressemitteilung darüber erfreut, dass es „den befragten Verantwortlichen besonders gut gelungen [ist], auf die konkreten Interessen der Antragsteller einzugehen“.
Fazit
Das Ergebnis des CEF 2024 zu Herausforderungen beim Auskunftsrecht zeigt, dass das Recht von vielen Verantwortlichen noch nicht optimal umgesetzt wird. Unternehmen sollten die Empfehlungen des Berichts nutzen, um bestehende Lücken zu schließen und ihre Prozesse zu verbessern. Eine stärkere Sensibilisierung für die geltenden Leitlinien und die Implementierung nutzerfreundlicher Lösungen können nicht nur die Compliance stärken, sondern auch das Vertrauen von Nutzern und Kunden fördern. Wir als Externe Datenschutzbeauftragte helfen Ihnen bei der Erarbeitung entsprechender Strategien weiter.