DSGVO: EU-Datenschützer prüfen Umsetzung des Auskunftsrechts
Rund um den in der DSGVO verankerten Anspruch auf Einsicht in eigene Daten gibt es viele Beschwerden. Der EU-Datenschutzausschuss startet dazu eine Aktion.
(Bild: peterschreiber.media/Shutterstock.com)
Der Europäische Datenschutzausschuss (EDSA) legt mit seiner dritten europaweiten Aktion zur Durchsetzung des Grundrechts auf Privatheit los. Dabei geht es um die Umsetzung des in der Datenschutz-Grundverordnung (DSGVO) verankerten allgemeinen Auskunftsrechts. Vorgeschlagen hat diesen Brennpunkt der Bundesdatenschutzbeauftragte Ulrich Kelber. Der EDSA veröffentlichte 2022 bereits Leitlinien zu den Betroffenenrechten, zu denen der Auskunftsanspruch gehört. Betroffene können damit etwa in Erfahrung bringen, welche Daten Unternehmen und Behörden über sie gespeichert haben. Die Aufsichtsbehörden wollen nun untersuchen, wie Organisationen diese Vorgaben in der Praxis anwenden.
Ziel der koordinierten Maßnahme ist es auch herauszufinden, ob die Leitlinien angepasst werden müssen oder Verantwortliche weiter sensibilisiert werden sollten. Hauptsächliches Instrument ist ein Fragebogen, der an Organisationen in den teilnehmenden Mitgliedsstaaten verschickt werden soll. Im Anschluss könnten etwa auch Untersuchungen bei vermuteten Missständen eingeleitet werden. Über mögliche weitere Überwachungs- und Durchsetzungsmaßnahmen wird der EDSA anhand der gewonnenen Erkenntnisse entscheiden. Ferner sollen alle Ergebnisse gesammelt werden, um einen tieferen Einblick in das Thema zu vermitteln und dieses auf EU-Ebene gezielt weiterzuverfolgen. Der Ausschuss wird auch einen Bericht mit den Resultaten veröffentlichen.
Das Auskunftsrecht gilt als einer der wichtigsten und am häufigsten ausgeübten Ansprüche der Bürger aus der DSGVO. Es fungiert regelmäßig als Türöffner für die Inanspruchnahme anderer Betroffenenrechte wie der auf Berichtigung und Löschung. "Oft münden die entsprechenden Vorgänge in Beschwerden", erklärt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Aus ihren Reihen sind Kontrolleure aus Bayern, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, dem Saarland und Schleswig-Holstein sowie der Bundesbeauftragte beteiligt.
Auskunftsrecht als Basis für die Privatsphäre
Die vorhandenen EDSA-Leitlinien legen insbesondere fest, welche Daten vom Auskunftsrecht erfasst sind und dass Betroffenen im Regelfall eine Kopie und nicht nur eine Zusammenfassung zu übergeben ist. Außerdem müssen die Verantwortlichen angemessene Maßnahmen treffen, um Personen hinter Auskunftsersuchen zu identifizieren. Andererseits dürfen sie aber auch keine höheren Hürden aufbauen. Eine Anfrage darf dem Papier zufolge nicht allein unter Verweis auf einen hohen Bearbeitungsaufwand abgelehnt werden. Auch die Motivation hinter einem Ersuchen spielt keine Rolle.
Die schwedische Aufsicht verhängte im Juni eine Millionenstrafe gegen Spotify: Der Streaming-Dienst informierte Nutzer nicht klar genug darüber, wie er ihre Daten verwendet. In den Niederlanden soll Uber 10 Millionen Euro zahlen, weil der Dienstleister Ansprüche seiner Fahrer nicht hinreichend beachtete. Der Europäische Gerichtshof (EuGH) fasste das Auskunftsrecht für Betroffene etwa von Scoring im Mai ziemlich weit. Der Begriff "Kopie" bezieht sich demnach nicht auf ein Dokument als solches, "sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen". Mit an Bord der EDSA-Aktion ist auch der EU-Datenschutzbeauftragte Wojciech Wiewiórowski. Er unterstrich: Das Auskunftsrecht "ist die Grundlage dessen, was Datenschutz und Privatsphäre in der EU bedeuten". Es müsse als solches "ordnungsgemäß gewährleistet werden".
(mki)
