IckeT - Fotolia
Wie Behörden die Umsetzung von Betroffenenrechten prüfen
In einer europäischen Datenschutzaktion zum Auskunftsrecht prüfen auch deutsche Aufsichtsbehörden, wie Unternehmen das zentrale Betroffenenrecht umgesetzt haben. Ein Überblick.
Im Datenschutz geht es im Kern nicht um Daten, sondern es geht um die Menschen, die die Inhaber der Daten sind, um ihre informationelle Selbstbestimmung und den Schutz ihrer Privatsphäre.
Deshalb stehen die „Rechte der betroffenen Person“ auch im Zentrum der Datenschutz-Grundverordnung (DSGVO). So ist es nicht verwunderlich, dass die Datenschutzaufsichtsbehörden in der EU ganz besonders auf die Umsetzung der Betroffenenrechte achten.
Das Auskunftsrecht ist eines der bedeutendsten Betroffenenrechte der DSGVO, so der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen). Insbesondere können Einzelpersonen mithilfe des Auskunftsrechts überprüfen, ob ihre personenbezogenen Daten von Unternehmen und anderen Verantwortlichen auf rechtskonforme Wiese verarbeitet werden.
Darüber hinaus ermöglicht es erst, andere Datenschutzrechte wie zum Beispiel das Recht auf Berichtigung und Löschung auszuüben. Bei unzureichender oder nicht erteilter Auskunft können sich Betroffene an die Datenschutzaufsichten wenden und sich beschweren. Beim LfD Niedersachsen gehen zum Auskunftsrecht jedes Jahr mehrere hundert Beschwerden ein.
Umsetzung des Auskunftsrechts wird überprüft
Der Europäische Datenschutzausschuss (EDSA) hat nun seine europaweite Aktion „Coordinated Enforcement Framework (CEF)“ für 2024 gestartet, mit dem Thema Recht auf Auskunft.
„Mit den koordinierten Prüfungen setzen wir ein starkes Zeichen für den Datenschutz und insbesondere für das wichtige Recht auf Auskunft, das allen Bürgerinnen und Bürgern zusteht", so Denis Lehmkemper, Landesbeauftragter für den Datenschutz (LfD) Niedersachsen.
Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte (EDSB), kommentierte: „Einzelpersonen sollten das Recht haben, Auskunft darüber zu erhalten, welche personenbezogenen Daten über sie zu welchem Zweck gespeichert werden. Dieses Recht ist die Grundlage dessen, was Datenschutz und Privatsphäre in der EU bedeuten, und muss als solches ordnungsgemäß gewährleistet werden.“
Die EDSA-Leitlinien (PDF) und die jüngste Rechtsprechung des Europäischen Gerichtshofs haben dazu beigetragen, europaweit einen weitgehend einheitlichen Maßstab zur Umsetzung des Rechts auf Auskunft herzustellen, so die Datenschutzkonferenz (DSK), bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder.
Ziel der koordinierten Aktion ist es, zu beurteilen, wie Organisationen das Auskunftsrecht in der Praxis umsetzen und inwiefern zu konkreten Aspekten Anpassungen oder Klarstellungen der EDSA-Leitlinien oder eine weitere Sensibilisierung von Verantwortlichen oder Betroffenen durch die Datenschutzbehörden sinnvoll sein könnten.
Kerninstrument der Initiative ist ein Fragebogen zur Umsetzung des Rechts auf Auskunft durch Verantwortliche, der in den teilnehmenden Mitgliedsstaaten koordiniert zum Einsatz kommen soll.
Im Rahmen des CEF wird den zur Prüfung ausgewählten Organisationen, im Saarland zum Beispiel die Anbieter der Daseinsvorsoge, zum Beispiel im Bereich Wasser und Energie, ein Fragebogen übersandt, der die prozesshafte Umsetzung des Rechts auf Auskunft in der Praxis zum Gegenstand hat.
Die Ergebnisse der gemeinsamen Initiative werden dann später in einem Bericht des EDSA veröffentlicht.
Guter Anlass für eine Selbstprüfung zum Auskunftsrecht
Ob das eigene Unternehmen nun Teil der Prüfung durch eine Datenschutzaufsichtsbehörde ist oder nicht, sollte man die laufende Überprüfung zum Anlass nehmen, das eigene Verfahren zur Umsetzung des Rechts auf Auskunft zu hinterfragen.
Dabei helfen insbesondere auch diese Fragen, die sich aus Veröffentlichungen von Aufsichtsbehörden zu dem Fragebogen ableiten:
- Dokumentieren Sie die Bearbeitung von Auskunftsersuchen gemäß Art. 15 DSGVO? Wenn ja, erläutern Sie bitte Ihren Dokumentationsprozess. Bitte gehen Sie auch auf ihr Zugriffs- und das Rollenmanagement in Bezug auf diese Dokumentation ein.
- Wie lange speichern Sie Informationen über Auskunftsanträge von betroffenen Personen und damit verbundene Korrespondenz, einschließlich der Antwort?
- Haben Sie ein vordefiniertes Verfahren zur Bearbeitung von Auskunftsanträgen gemäß Art. 15 DSGVO?
- Berücksichtigen Sie die Umsetzung der Rechte der betroffenen Personen, insbesondere das Auskunftsrecht gemäß Art. 15 DSGVO, bei der Digitalisierung Ihrer Prozesse oder beim Onboarding oder der Einbindung neuer digitaler Tools?
- Überwachen oder kontrollieren Sie systematisch die Bearbeitung von Auskunftsanträgen nach Art. 15 DSGVO (die Anzahl der eingegangenen Auskunftsanträge, das Datum des Eingangs, den jeweiligen Status der Bearbeitung der Anträge)?
- Senden Sie der betroffenen Person eine Bestätigung über den Eingang der Auskunftsantrages zu?
- Über welche Kommunikationskanäle können Auskunftsanträge gemäß Art. 15 DSGVO an Sie übermittelt werden?
- In welcher Form – und wenn auch elektronisch, in welchem (Datei-)Format (xls, pdf, docx, zip, Sonstiges) – geben Sie die Auskunft gemäß Art. 15 DSGVO?
- Welche Sicherheitsmaßnahmen treffen Sie bei der Erteilung der Auskunft gemäß Art. 15 DSGVO?
- Wie stellen Sie die endgültige Identifizierung der betroffenen Person sicher, die das Auskunftsrecht nach Art. 15 DSGVO geltend macht?
- Beantworten Sie Auskunftsanträge gemäß Art. 15 DSGVO, die über Dritte (zum Beispiele Portale zur Ausübung von Datenschutzrechten) oder von einer im Auftrag der betroffenen Person handelnden Person eingereicht werden? Stellen Sie sicher, dass diese Dritten im Namen der betroffenen Person rechtmäßig handeln?
- Welche Maßnahmen ergreifen Sie, um sicherzustellen, dass Auskunftsanträge gemäß Art. 15 DSGVO unverzüglich, in jedem Fall jedoch innerhalb eines Monats nach Eingang beantwortet werden?
- Wie ermitteln Sie, welche Daten Sie im Rahmen eines Auskunftsantrages gemäß Art. 15 DSGVO berücksichtigen müssen?
- Wie stellen Sie bei Auszügen oder vollständigen oder teilweisen Unterlagen, die personenbezogene Daten enthalten, sicher, dass die darin enthaltenen personenbezogenen Daten für die betroffene Person im Sinne von Art. 12 Abs. 1 DSGVO verständlich sind?
- Unter welchen Umständen geben Sie Auskunft über die Identität von Personen in Ihrer Organisation, die die personenbezogenen Daten der betroffenen Person verarbeiten?
- Inwieweit prüfen Sie, ob die Rechte und Freiheiten anderer Personen vor der Erteilung der Auskunft gemäß Art. 15 DSGVO und insbesondere vor der Zusendung einer Kopie betroffen sind?
Ohne Zweifel sind diese Fragen (als Teil des Fragebogens) hilfreich für eine Selbstkontrolle, die bei einem so wichtigen Thema wie dem Auskunftsrecht nach DSGVO nicht fehlen sollte.