DSGVO-Auskunftsanspruch über gespeicherte Daten hat seine Tücken

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Der Europäische Datenschutzausschuss (EDSA) und der EU-Datenschutzbeauftragte Wojciech Wiewiórowski haben in einer europaweiten Aktion die Umsetzung des allgemeinen Auskunftsrechts überprüft, das in der Datenschutz-Grundverordnung (DSGVO) verankert ist, und jetzt ihre Ergebnisse vorgelegt. Die Kontrolleure haben demnach einige Probleme ausgemacht, wie Bürger aktuell auf Basis dieses Anspruchs etwa herausfinden können, welche Daten Unternehmen und Behörden über sie gespeichert haben. Als Beispiel nennen sie Hindernisse wie übertriebene formale Anforderungen oder das unbegründete Verlangen, Ausweisdokumente vorzulegen.

Die beteiligten 30 Aufsichtsbehörden haben auch inkonsistente und übertriebene Auslegungen der gesetzlich vorgesehenen Schranken für das Zugangsrecht ausgemacht. Verantwortliche verließen sich teils zu sehr auf bestimmte Ausnahmen, um Anfragen automatisch abzulehnen. Ein weiteres Problem ist dem EDSA-Bericht zufolge, dass interne Verfahren zum Bearbeiten von Auskunftsbegehren nicht dokumentiert werden.

Insgesamt antworteten 1185 Zuständige aus der Wirtschaft sowie öffentlichen Einrichtungen auf die versandten Fragebögen. Zwei Drittel der teilnehmenden Kontrollinstanzen bewerteten den Grad der Rechtskonformität dieser Verantwortlichen von "durchschnittlich" bis "hoch". Ein wichtiger Faktor war dabei das Volumen der bei den Verantwortlichen eingehenden Auskunftsanfragen sowie die Größe der Organisation: Zuständige, die mehr Ersuchen erhielten, genügten den Anforderungen tendenziell eher als kleine Organisationen mit weniger Ressourcen. Positiv bewertet der EDSA die Umsetzung bewährter Verfahren wie nutzerfreundliche Online-Formulare und "Self-Service-Systeme", mit denen Individuen ihre Daten jederzeit mit wenigen Klicks selbstständig herunterladen können.

Auskünfte sind oft unzureichend

Die acht aus Deutschland beteiligten Behörden halten in ihrer Auswertung fest: Viele der kontaktierten Verantwortlichen gaben an, dass sie nur wenige Auskunftsanfragen erhalten hätten. Offenbar sei das wichtige Betroffenenrecht in der Öffentlichkeit nicht ausreichend bekannt. Im privaten Sektor wurzelten die meisten Ersuchen in Rechtsstreitigkeiten.

Viele Verantwortliche haben auch Schwierigkeiten, den Umfang des Auskunftsrechts und die Tragweite des Begriffs "personenbezogene Daten" in der Praxis zu erfassen. Oft würden nur die gängigsten internen Systeme durchsucht, nicht alle Datenbanken. Viele Zuständige wüssten zudem nicht, dass persönliche Informationen auch "in nicht-textuellen Dateien, in Metadaten oder in Sicherungsdaten enthalten sein können". Teils sei zu hören, dass das Recht auf Erhalt einer Kopie unabhängig vom Recht auf Auskunft sei. So werde eine explizite Anfrage der betroffenen Person zum Bereitstellen von Dokument- oder Datenbankauszügen erwartet.

Der EDSA veröffentlichte schon 2022 Leitlinien zu den Betroffenenrechten, zu denen der Auskunftsanspruch gehört. Diese will das Gremium nun im Lichte der Resultate aktualisieren. Der Bericht enthält bereits eine Reihe Empfehlungen. Die konzertierte Prüfaktion 2025 wird die Umsetzung des Rechts auf Löschung in den Fokus nehmen.

(olb)