Europäischer Datenschutzausschuss: Aktualisierte Leitlinien zum Auskunftsrecht
Aktualisierte Leitlinien des Europäischen Datenschutzausschusses (EDSA) zum Auskunftsrecht erfordern eine Überprüfung interner Prozesse und Dokumentation zum Datenschutz im Unternehmen, um Bußgelder und Schadensersatzforderungen wegen unzureichender Auskünfte zu vermeiden.
Hintergrund: Umfassende Auskunftspflichten nach der DS-GVO
Die europäische Datenschutz-Grundverordnung (DS-GVO) verlangt von Unternehmen, Personen auf Anfrage unverzüglich – im Regelfall spätestens innerhalb eines Monats – Auskunft zu sie betreffenden personenbezogenen Daten zu erteilen. Dazu gehört zunächst eine Bestätigung, ob im Unternehmen überhaupt personenbezogene Daten der auskunftssuchenden Person verarbeitet werden. Ist das der Fall, so ist Auskunft über diese Daten in Form einer Kopie der personenbezogenen Daten zu erteilen. Außerdem sind bestimmte Informationen über die Verarbeitung der Daten sowie über diesbezügliche Rechte der betroffenen Person mitzuteilen.
Hohe Anforderungen der Datenschutzbehörden an Erteilung von Auskünften
Im Februar 2022 hatte der EDSA neue Leitlinien zum Auskunftsrecht nach der DS-GVO zur öffentlichen Konsultation veröffentlicht. Darin formulierten die Aufsichtsbehörden strenge Anforderungen an die Erteilung von datenschutzrechtlichen Auskünften.
Nach Durchführung des Konsultationsverfahrens hat der EDSA nun kürzlich eine aktualisierte Fassung seiner Leitlinien verabschiedet. Gegenüber der Konsultationsfassung weist die neue Version erwartungsgemäß keine bahnbrechenden Änderungen auf. Abgesehen von redaktionellen Korrekturen fokussieren sich die Anpassungen im Wesentlichen vielmehr auf punktuelle Klarstellungen und wenige ergänzende Fallbeispiele. Es bleibt also bei der strengen Linie der Aufsichtsbehörden.
Wenig überraschend greift der EDSA in der aktualisierten Fassung seiner Leitlinien nun insbesondere auch das zwischenzeitlich ergangene Urteil des Europäischen Gerichtshofs (EuGH) vom 12. Januar 2023 auf. Das Urteil bestätigt die von den Aufsichtsbehörden bereits in der Konsultationsfassung ihrer Leitlinien vertretene strenge Auffassung, dass in Auskünften grundsätzlich auch alle einzelnen Datenempfänger namentlich benannt werden müssen.
Revision von internen Prozessen und Dokumentation zum Datenschutz im Unternehmen
Um in der Lage zu sein, unverzüglich und im Regelfall spätestens innerhalb eines Monats ordnungsgemäß Auskunft zu erteilen, müssen sich Unternehmen proaktiv auf Auskunftsersuchen vorbereiten und ggf. angemessene interne Prozesse hierfür schaffen, so der EDSA in seinen Leitlinien.
Unternehmen sollten interne Prozesse und Dokumentation zum Datenschutz vor dem Hintergrund der aktualisierten Leitlinien des EDSA daher sorgfältig prüfen und ggf. optimieren. Vor allem Richtlinien zur Handhabung von Datenschutzanfragen und Vorlagen für Auskünfte sollten einer Revision unterzogen werden, um für Auskunftsanfragen gewappnet zu sein.
Private Enforcement - Schadensersatzforderungen betroffener Personen
Bei Verstößen gegen datenschutzrechtliche Auskunftspflichten drohen einerseits behördliche Maßnahmen und empfindliche Bußgelder. Beispielsweise hat die Hessische Datenschutzbehörde Verstöße gegen Auskunftspflichten mit Bußgeldern im mittleren fünfstelligen Bereich geahndet.
Die strengen Vorgaben der Aufsichtsbehörden leisten allerdings vor allem auch dem Private Enforcement im Datenschutzrecht weiter Vorschub. Unternehmen sehen sich dabei vermehrt mit immateriellen Schadensersatzforderungen aufgrund von Verstößen gegen Auskunftspflichten konfrontiert. Dabei ist zu beobachten, dass sich in Deutschland zunehmend eine klägerfreundliche Rechtsprechung zum Datenschutz etabliert. Für Verstöße gegen die Auskunftspflicht hat beispielsweise das Arbeitsgericht Oldenburg jüngst in einem Fall immateriellen Schadensersatz in Höhe von 10.000 Euro zugesprochen. Das Arbeitsgericht Düsseldorf erkannte für eine verspätete Auskunft immateriellen Schadensersatz in Höhe von 5.000 Euro zu, das Landesarbeitsgericht Hamm in Höhe von 1.000 Euro.
Einen ausführlichen Überblick zur Rechtsprechung deutscher Gerichte zum Schadensersatz für Datenschutzverstöße finden Sie in unserem Noerr GDPR Damages Tracker.