Die Stärkung des Datenschutzes sollte mit der DSGVO erreicht werden. Tatsächlich ist das Thema in weiten Teilen der Gesellschaft angekommen und das Bewusstsein hat zugenommen. Ein Grund dafür ist ganz sicher, dass die Betroffenenrechte gestärkt wurden. Gerade der Auskunftsanspruch von Betroffenen, der in Artikel 15 DSGVO verankert ist, bildet einen wichtigen Baustein.
Inzwischen läuft eine intensive Debatte um die Auslegung sowie die Grenzen des Auskunftsanspruchs. „Viele Unternehmen verbinden eine hohe Unsicherheit mit dem Auskunftsanspruch von Betroffenen“, berichtet Dr. Jörn Voßbein aus zahlreichen Meetings und gibt sich optimistisch: „Der Artikel 15 ist kein Hexenwerk, aber er erfordert fachliche Expertise.“ Es stellen sich viele Fragen. Die weite Auslegung sowie die aktuellen Empfehlungen von europäischer Ebene gilt es zu betrachten.
„Der Blick ins Gesetz erleichtert die Rechtsfindung“ ist ein geläufiger Satz unter Juristen. Seine Anwendung nutzt auch beim Artikel 15 DSGVO. Demnach können betroffene Person von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, welche Daten dort über sie gespeichert sind bzw. verarbeitet werden. Ein zweifelsohne bedeutsames Betroffenenrecht in der DSGVO.
Trifft nun im Unternehmen X eine Auskunftsanfrage ein, so ist eine klare Schrittfolge bestehend aus Bestätigung der Anfrage, Einhaltung einer Monatsfrist, Klärung der Identität des Anfragenden, sowie Ermittlung der verarbeiteten Daten einzuhalten. Welche Informationen müssen nun von Unternehmen X beauskunftet werden?
Hieran schließt sich eine Kernfragen zum Umfang des Auskunftsrechts an. Der Europäische Datenschutzausschuss (EDSA) hat am 28. Januar 2022 Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO veröffentlicht. Ziel: Eine Vereinheitlichung der Rechtsauslegung in der EU. Klare EDSA-Position: Der Antrag auf Auskunft bezieht sich auf alle personenbezogenen Daten der betroffenen Person. Darunter fällt auch sämtliche E-Mail-Kommunikation. Dies gelte sogar dann, wenn die E-Mails bereits gelöscht wurden, der Server-Provider aber noch Zugriff auf diese hat. Unternehmen X müsste also sämtliche Kommunikation herausgeben. Eine Milderung gibt es dann aber doch: Wenn die Menge der Daten zu umfangreich ist, darf der Verantwortliche verlangen, dass der Betroffene seinen Antrag konkreter fasst. Klare Ansage der EDSA: Es kommt nicht auf die Qualität der Daten (Aussagegehalt, Zeitpunkt oder besonderer Zweck) an. Entscheidend ist, dass sich eine Information auf eine natürliche Person bezieht.
Hilfreich bei der Umsetzung der Auskünfte ist ein gut gepflegtes Verzeichnis von Verarbeitungstätigkeiten (oftmals kurz „Verfahrensverzeichnis“). Hierin kann man erkennen, wo welche Daten zu welchen Zwecken wie lange zu einer betroffenen Person gespeichert sind bzw. verarbeitet werden. Dies Umsetzung des Auskunftsrechts muss schließlich zeitnah geschehen (in der Regel binnen einem Monat, maximal binnen drei Monaten, was nur auf dem ersten Blick eine lange Frist ist).
„Für den Unternehmensalltag lassen sich daraus drei Maßnahmen gewinnen:
- Das Auskunftsmanagement muss professionelle Standards erfüllen,
- die Datenarchivierung muss rechtssicher, zentral und umfassend erfolgen und
- die Belegschaft sollte bei dem wichtigen Thema Auskunftsanspruch von Betroffenen durch regelmäßige Fortbildungen über aktuelles Wissen und entsprechende Instrumente verfügen“,
skizziert UIMC-Geschäftsführer Dr. Jörn Voßbein einen Drei-Punkte-Plan zum innerbetrieblichen Umgang mit der Herausforderung Auskunftsanspruch gemäß Artikel 15 DSGVO.
www.uimc.de