Eine erste Analyse der „Guidelines 01/2022 on data subject rights – Right of access“ des Europäischen Datenschutzausschusses
In den ersten Beiträgen dieser Serie hatte ich über den Entwurf des Europäischen Datenschutzausschusses für eine Leitlinie zum Auskunftsrecht berichtet und mit der Analyse des Entwurfs begonnen.
Gegenstand dieses Beitrags ist Ziffer 4 des Entwurfs der Leitlinie 1/2022. Dieser befasst sich mit dem Umfang der zu erteilenden Auskünfte, einem in der Praxis sehr relevanten Thema. Während es relativ einfach ist festzustellen, ob ein wirksames Auskunftsersuchen vorliegt, ist es ungleich schwieriger, den Umfang der zu erteilenden Auskünfte korrekt zu bestimmen.
Einleitung
Hat der Verantwortliche festgestellt, dass ein wirksames Auskunftsbegehren vorliegt, muss er herausfinden, welche personenbezogenen Daten und sonstigen Informationen im Rahmen der Auskunft mitzuteilen sind. Es sei daran erinnert, dass das Auskunftsrecht nur in Bezug auf die Verarbeitung personenbezogener Daten, die in den sachlichen und territorialen Anwendungsbereich der DSGVO fallen, ausgeübt werden kann. Ob dies der Fall ist, ist anhand der Art. 2 und 3 DSGVO zu prüfen.
Personenbezogene Daten, die nicht automatisiert verarbeitet werden oder die nicht Teil eines Dateisystems gemäß Art. 2 Abs. 1 DSGVO sind, oder von einer natürlichen Person im Rahmen einer rein persönlichen Tätigkeit im Sinne von Art. 2 Abs. 2 DSGVO verarbeitet werden, sind daher nicht von dem Auskunftsanspruch erfasst.
Was sind personenbezogene Daten?
Was ist ein personenbezogenes Datum?
Die Definition in Art. 4 Abs. 1 DSGVO ist sehr weitgehend. Ein personenbezogenes Datum ist jede Information über eine identifizierte oder identifizierbare natürliche Person.
Darüber hinaus umfasst das Auskunftsrecht, wie die meisten Rechte der betroffenen Person, auch abgeleitete Daten, einschließlich personenbezogener Daten, die von einem Diensteanbieter erstellt wurden, während das Recht auf Datenübertragbarkeit nur Daten umfasst, die von der betroffenen Person bereitgestellt wurden. Während sämtliche Informationen zu einer natürlichen Person vom Auskunftsanspruch dem Grunde nach erfasst werden, gilt das nicht für rechtliche Schlussfolgerungen. Hat sich der Arbeitgeber zum Beispiel ein Gutachten zu der Frage, ob das Verhalten eines Mitarbeitenden eine verhaltensbedingte Kündigung rechtfertigt, erstellen lassen, werden von dem Auskunftsbegehren nur Angaben zu der Person im Sachverhalt erfasst, nicht jedoch die rechtliche Bewertung des Verhaltens.
Anders als anonymisierte Daten zählen pseudonymisierte Daten noch zu den personenbezogenen Daten.
Worauf bezieht sich das Auskunftsersuchen?
Das Auskunftsersuchen bezieht sich auf personenbezogene Daten des Antragstellers, die vom Verantwortlichen verarbeitet werden. Was unter den Begriff der Verarbeitung fällt, ergibt sich aus Art. 4 Nr. 2 DSGVO. Abstrakt fällt unter den Begriff der Verarbeitung „jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. Es beginnt mit der Erhebung der Daten und endet mit deren Löschung.
Weitere Informationen nach Art. 15 Abs. 1 lit. a bis h und Abs. 2
Nach Art. 15 Abs. 1 hat der Verantwortliche noch folgende Informationen zu geben:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Nach Art. 15 Abs. 2 DSGVO muss ferner bei Verarbeitung in einem Drittland über die geeigneten Garantien gemäß Art. 46 DSGVO unterrichtet werden.
Dabei handelt es sich im Wesentlichen um die Informationen, die ohnehin im Rahmen von Art. 13 und 14 DSGVO vor der Erhebung von personenbezogenen Daten zu erteilen sind. Daher bereitet dieser Teil des Auskunftsanspruchs in der Praxis die wenigsten Probleme.
Der Entwurf der Leitlinie des EDSA enthält aber auch zu dem Inhalt der zu erteilenden Informationen nach Abs. 1 Buchstabe a bis h weitergehende Informationen, die auch für die Erteilung der Information nach Art. 13 und 14 DSGVO hilfreich sind.