Der EDSA veröffentlicht neue Leitlinien über das Auskunftsrecht nach Art. 15 DSGVO

An der Tagung vom 19. Januar 2022 hat der Europäische Datenschutzausschuss («EDSA») einen Entwurf neuer Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO erarbeitet. Am 28. Januar 2022 wurde dieser Leitlinienentwurf veröffentlicht. Den Gegenstand dieser Leitlinien bilden die Ziele des Auskunftsrechts, allgemeine Überlegungen zur Bewertung eines Auskunftsantrags sowie zur Umsetzung des Rechts durch die datenschutzverantwortliche Person (nachfolgend: «die Datenschutzverantwortliche»).

Das Ziel des Auskunftsrechts

Das Auskunftsrecht ist in Art. 15 DSGVO geregelt. Es besteht aus drei Komponenten:

• Erstens kann sich die betroffene Person darüber informieren, ob persönliche Daten bearbeitet werden oder nicht.

• Zweitens ermöglicht das Auskunftsrecht den Zugang zu diesen Daten. Dies umfasst ebenfalls die Möglichkeit, Kopien dieser Daten zu erhalten.

• Drittens hat die betroffene Person das Recht, über die Art der Datenverarbeitung informiert zu werden. Dies beinhaltet z.B. den Zweck der Datenverarbeitung, die Kategorien der persönlichen Daten, allfällige Empfänger solcher Daten sowie die Dauer der Bearbeitung.

Mit dem Auskunftsrecht soll ein einfaches und wirkungsvolles Instrument geschaffen werden, damit sich eine Person über eine allfällige Datenbearbeitung informieren und deren Rechtmässigkeit prüfen kann. Das Auskunftsrecht vereinfache auch die Ausübung anderer Rechte wie namentlich das Berichtigungsrecht oder das Recht zur Löschung, ohne jedoch Voraussetzung für deren Ausübung zu sein.

Allgemeine Überlegungen zur Bewertung des Antrags der betroffenen Person

Die Datenschutzverantwortliche sollte gewisse Fragen beim Umgang mit Auskunftsanträgen berücksichtigen:

• Zunächst ist zu ermitteln, ob der Antrag überhaupt personenbezogene Daten betrifft. Denn nur personenbezogene Daten und Informationen über die Verarbeitung solcher Daten können Gegenstand eines Antrags nach Art. 15 DSGVO sein.

• Handelt es sich um personenbezogene Daten, so stellt sich die Frage nach dem «Wer». Die den Antrag stellende Person muss entsprechend berechtigt sein. Es muss sich also um die Person handeln, deren persönliche Daten verarbeitet werden, oder es muss eine entsprechende Bevollmächtigung vorliegen. Es gilt zu verhindern, dass Personendaten an unbefugte Dritte gelangen. Ist die Identität der Antragstellerin unsicher, können zusätzliche Informationen zur Identifikation gefordert werden. Die geforderten Informationen müssen jedoch im Verhältnis zum Umfang der Auskunft und den betroffenen Daten stehen.

• Weiter stellt sich die Frage, ob der Antrag unter Art. 15 DSGVO fällt. Damit ein Antrag gemäss Art. 15 DSGVO vorliegt, sind keine formellen Voraussetzungen nötig. Die Datenschutzverantwortliche soll entgegenkommend handeln und einem Antrag stets folgen, sofern nicht klar ist, dass sich der Antrag nicht auf das Datenschutzrecht abstützt. Es ist nicht an der Datenschutzverantwortlichen zu bewerten, ob ein Antrag sinnvoll oder zielführend für die den Antrag stellende Person ist. Allein die Bitte zu erfahren, welche persönlichen Daten bearbeitet werden, reicht aus, um als Antrag nach Art. 15 DSGVO qualifiziert zu werden.

• Die Datenschutzverantwortliche hat zu ermitteln, ob sich der Antrag auf sämtliche oder nur einen Teil der persönlichen Daten bezieht. Sofern nicht ausdrücklich etwas anderes verlangt wird, sollte Auskunft über sämtliche personenbezogene Daten erteilt werden.
  
  

Die Person, die den Antrag stellt, ist nicht verpflichtet, auf die gesetzliche Grundlage zu verweisen. Es gibt nebst der DSGVO weitere Grundlagen, die ein Recht auf Auskunft gewähren. Die Datenschutzverantwortliche sollte grundsätzlich sämtliche einschlägigen Rechtsgrundlagen beachten. Dies gilt insbesondere in den Fällen, in welchen im Antrag auf spezifische Rechtsgrundlagen verwiesen wird.

Umfang des Auskunftsrechts

Der EDSA hält fest, dass nicht nur Standarddaten wie Namen, Adresse, Telefonnummer etc. zu den persönlichen Daten zählen; das Auskunftsrecht erstreckt sich auch auf pseudonymisierte Daten. Der Umfang richtet sich grundsätzlich nach Art. 4 DSGVO.

Wie erteilt man eine Auskunft?

Die Leitlinien befassen sich vertieft mit der Frage, wie eine Auskunft zu erteilen ist. Da sich der Auskunftsantrag – soweit es nicht explizit eingeschränkt wird – auf sämtliche personenbezogene Daten bezieht, müssen die IT-Systeme aber auch die analogen Systeme geprüft werden. Die Auskunft muss klar und verständlich geschrieben werden. Sie sollte den Standpunkt wiederspiegeln, wie er zum Zeitpunkt des Eingangs des Auskunftsantrags bestand.

Wird ein Antrag elektronisch gestellt, so soll auch die Auskunft elektronisch erteilt werden (PDF). Vorbehalten bleibt der Fall, dass die Auskunft oder Kopien der Daten explizit in Papierform verlangt werden.

Schranken

Schranken des Auskunftsrechts bestehen im Rahmen von Art. 15 Abs. 4 und 5 DSGVO. Eine Auskunft muss nicht erteilt werden, wenn eine solche die Rechte von anderen Personen einschränkt oder wenn es sich um einen missbräuchlichen Auskunftsantrag handelt. Der Nachweis, dass ein Antrag auf Auskunft missbräuchlich ist, hat die Datenschutzverantwortliche zu erbringen. Dabei spricht sich der EDSA für eine enge Auslegung dieser Schranke aus, so dass dies eher die Ausnahme bilden dürfte.

Es sei darauf hingewiesen, dass der Europäische Datenschutzausschuss (EDSA) am 28. Januar 2022 das öffentliche Konsultationsverfahren zu der geplanten Leitlinie mit dem Titel „Guidelines 01/2022 on data subject rights – Right of access“ gestartet hat, welches am 11. März 2022 endete. Die Veröffentlichung der Leitlinie 01/2022 steht also unmittelbar bevor. 

Das neue Datenschutzgesetz der Schweiz gewährt in Art. 25 revDSG ähnliche Auskunftsrechte. Möchten Sie wissen, wie Sie Ihr Unternehmen auf entsprechende Anträge vorbereiten, stehen wir Ihnen gerne zur Verfügung.