Awareness Academy –
Für ein respektvolles Miteinander ohne Geschlechterdiskriminierung in Ihrem Unternehmen!
Mehr Informationen finden Sie hier:
Zur Website

PWWL Seminare

Herzlich willkommen!

Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…

Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!

Ihr PWWL-Redaktionsteam

Christine Wahlig (Rechtsanwältin – Redaktionelle Leitung Blog) & Alice Tanke (Marketing Managerin)

Inside Workplace Law

Teil 5: Das Recht auf Auskunft nach Art. 15 DSGVO

Michael Datenschutz Nr. 1

Eine erste Analyse der „Guidelines 01/2022 on data subject rights – Right of access“ des Europäischen Datenschutzausschusses

In den ersten Beiträgen dieser Serie hatte ich über den Entwurf des Europäischen Datenschutzausschusses für eine Leitlinie zum Auskunftsrecht berichtet und mit der Analyse des Entwurfs begonnen.

Gegenstand dieses Beitrags ist Ziffer 5 des Entwurfs der Leitlinie 1/2022. Dieser befasst sich mit der Frage, wie Zugang zu den Daten gewährt werden kann bzw. muss.  

Einleitung

Die DSGVO enthält nur sehr wenig Regelungen dazu, wie ein Auskunftsbegehren erfüllt, wie Zugriff auf die Daten gewährt werden kann. Zentrale Vorschrift ist in diesem Zusammenhang Art. 12 DSGVO, der, wie dieser Beitrag zeigen wird, in der Praxis aber nur bedingt hilfreich ist.

Wie kann der Verantwortliche die Daten sammeln?

Bei den teilweise sehr komplexen IT-Systemen und der Vielzahl von personenbezogenen Daten, die verarbeitet werden, besteht häufig für Verantwortliche das zentrale Problem darin, alle personenbezogenen Daten der betroffenen Person, die Auskunft verlangt, zu finden. Es müssen alle IT-Systeme und nicht IT basierten, aber in den Anwendungsbereich der DSGVO (vgl. Art. 2 Abs. 1 DSGVO) fallenden Dateisysteme, durchsucht werden.

Der EDSA weist unter Berufung auf Art. 25 DSGVO darauf hin, dass Verantwortliche in ihren IT-Systemen Funktionen implementieren müssen, um die Betroffenenrechte auch erfüllen zu können. Es sollten daher entsprechende Suchfunktionen vorhanden sein, die es dem Verantwortlichen dann auch erlauben, innerhalb der Frist des Art. 12 DSGVO die zur Erfüllung des Auskunftsanspruchs erforderlichen Informationen zu finden und zusammen zu stellen.

Vorbereitende Maßnahmen

Art. 12 Abs. 1 DSGVO sieht vor, dass der Verantwortliche geeignete Maßnahmen treffen muss, um den betroffenen Personen die entsprechenden Auskünfte übermitteln zu können. Das sind sowohl Maßnahmen in technischer als auch in organisatorischer Hinsicht. Der Verantwortliche muss also sicherstellen, dass ein Auskunftsersuchen auch an der Stelle ankommt, die es dann erfüllen kann. Die intern zuständigen Personen müssen darauf vorbereitet sein, wie sie ein solches Auskunftsersuchen erfüllen, wo und wie sie die Informationen finden und was zur vollständigen Erfüllung des Auskunftsersuchens gehört.

Was „geeignete“ Maßnahmen sind, lässt sich nicht abstrakt generell feststellen, sondern muss im Einzelfall unter Berücksichtigung des Umfangs der verarbeiteten Daten, der Komplexität der IT Systeme aber auch der Erwartung, in welchem Umfang Auskunftsansprüche typischerweise geltend gemacht werden, festgelegt werden.

Der EDSA weist darauf hin, dass die Verpflichtung, geeignete Maßnahmen zu treffen, keine Einschränkung des Umfangs der Auskunft erlaubt. Die Eignung der Maßnahmen muss immer vor dem Hintergrund eines umfassenden Auskunftsrechts geprüft werden.

Ferner muss der Verantwortliche den betroffenen Personen die Ausübung ihrer Rechte erleichtern, zum Beispiel durch einen einfachen Zugang zu ihren Daten. Auch hier gilt, dass die Frage, welche Maßnahmen hier zu treffen sind, nicht abstrakt generell beantwortet werden kann.

Sprache und Format

Abschließend sei noch darauf hingewiesen, dass die Auskunft in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erfolgen hat. 

Die DSGVO legt nicht fest, in welcher Form die Auskunft erteilt wird. Sie kann mündlich, schriftlich oder auch auf elektronischem Weg erteilt werden. Unabhängig davon besteht aber der Anspruch auf eine Kopie nach Art. 15 Abs. 3 DSGVO.

Frist

Art. 12 Abs. 3 DSGVO verpflichtet den Verantwortlichen, die Auskunft unverzüglich, spätestens jedoch einen Monat nach Eingang des Auskunftsbegehrens zu erteilen.

Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. 

Davon zu unterscheiden ist die Frist des Art. 12 Abs. 4 DSGVO. Der Verantwortliche, der auf einen Antrag hin nicht tätig wird, muss den Antragsteller unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags hierüber sowie über die Gründe informieren. Ferner muss der Verantwortliche darüber unterrichten, dass die betroffene Person Beschwerde bei einer Aufsichtsbehörde einlegen kann oder einen gerichtlichen Rechtsbehelf.

Dr. Michael Witteler
Dr. Michael Witteler

Dr. Michael Witteler ist spezialisiert auf datenschutzrechtliche Angelegenheiten an der Schnittstelle von Arbeitsrecht und Datenschutz. Er ist Head der PWWL Practice Group Data & Privacy.

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments