News

Europäischer Daten­schutz­ausschuss: Neue Leit­linien zum Auskunfts­recht

21.02.2022

Neue Leitlinien des Europäischen Datenschutzausschusses zum Auskunftsrecht erfordern eine Überprüfung interner Prozesse und Dokumentation zum Datenschutz im Unternehmen, um Bußgelder und Schadensersatzforderungen wegen unzureichender Auskünfte zu vermeiden.

Hohe Anforderungen an Erteilung von Auskünften

Der Europäische Datenschutzausschuss (EDSA) hat kürzlich neue Leitlinien zum Auskunftsrecht nach der Datenschutz-Grundverordnung (DS-GVO) zur öffentlichen Konsultation veröffentlicht.

In ihren neuen Leitlinien formulieren die Aufsichtsbehörden strenge Anforderungen an die Erteilung von datenschutzrechtlichen Auskünften. Vor allem bekräftigen die Leitlinien die von den Aufsichtsbehörden schon bislang mehrheitlich vertretene strenge Linie, wonach bei Auskünften grundsätzlich auch eine Kopie sämtlicher personenbezogener Daten herauszugeben ist, selbst wenn dies für das betroffene Unternehmen einen enormen Aufwand darstellt. Nur ausnahmsweise kämen punktuelle und individuell zu begründende Einschränkungen der Kopie in Betracht. Vom Auskunftsrecht erfasst seinen neben Namen, Adressen und Kontaktdaten eine Vielzahl weiterer Daten wie beispielsweise auch medizinische Befunde, Kaufhistorien, Bonitätsindikatoren oder Aktivitätslogs. Kopien von Daten, die aus sich heraus nicht verständlich sind (beispielsweise Codes oder „Rohdaten“), müssten der auskunftssuchenden Person außerdem verständlich erläutert werden.

Um in der Lage zu sein, unverzüglich und im Regelfall spätestens innerhalb eines Monats ordnungsgemäß Auskunft zu erteilen, müssten sich Unternehmen proaktiv auf Auskunftsersuchen vorbereiten und ggf. angemessene interne Prozesse hierfür schaffen, so der EDSA.

Private Enforcement - Schadensersatzforderungen betroffener Personen

Bei Verstößen gegen Auskunftspflichten drohen einerseits behördliche Maßnahmen und empfindliche Bußgelder. Beispielsweise hat die Hessische Datenschutzbehörde ausweislich ihres Tätigkeitsberichts für 2020 Verstöße gegen Auskunftspflichten mit Bußgeldern im mittleren fünfstelligen Bereich geahndet.

Die strengen Vorgaben der Aufsichtsbehörden dürften allerdings auch den aktuell zu beobachtenden Entwicklungen zum Private Enforcement im Datenschutzrecht weiter Vorschub leisten. Die hohen behördlichen Anforderungen an die Erteilung von Auskünften lassen erwarten, dass sich Unternehmen in Zukunft auch mit immer mehr Schadensersatzforderungen aufgrund von Verstößen gegen Auskunftspflichten konfrontiert sehen werden, bis hin zu Massenverfahren.

Dabei ist zu beobachten, dass sich in Deutschland zunehmend eine klägerfreundliche Rechtsprechung zum Datenschutz etabliert. Für Verstöße gegen die Auskunftspflicht hat beispielsweise das Landesarbeitsgericht Hamm jüngst in einem Fall immateriellen Schadensersatz in Höhe von 1.000 Euro zugesprochen. Das Arbeitsgericht Düsseldorf erkannte für eine verspätete Auskunft sogar immateriellen Schadensersatz in Höhe von 5.000 zu. Diese Entwicklung dürfte immer mehr Personen dazu ermutigen, auch bei Verstößen gegen Auskunftspflichten Schadensersatzansprüche geltend zu machen.

Revision von internen Prozessen und Dokumentation zum Datenschutz im Unternehmen

Wir empfehlen, interne Prozesse und Dokumentation zum Datenschutz im Unternehmen vor dem Hintergrund der neuen Leitlinien des EDSA sorgfältig zu prüfen und ggf. anzupassen. Vor allem Richtlinien zur Handhabung von Datenschutzanfragen und Vorlagen für Auskünfte sollten einer Revision unterzogen werden, um für Auskunftsanfragen gewappnet zu sein.

Der EDSA holt zu seinen neuen Leitlinien noch bis zum 11. März 2022 Feedback im öffentlichen Konsultationsverfahren ein. Es ist zwar nicht auszuschließen, dass der EDSA auf Grundlage des Feedbacks noch Änderungen an seinen Leitlinien vornehmen wird. Erfahrungsgemäß ist allerdings für die noch ausstehende finale Fassung der Leitlinien eher mit Klarstellungen und nicht mit elementaren Änderungen zu rechnen. Wir empfehlen daher, die vom EDSA formulierten Anforderungen schon jetzt zu berücksichtigen, zumal die veröffentlichte Fassung der Leitlinien die gemeinsame Linie der europäischen Aufsichtsbehörden wiedergibt.

Data Protection Litigation

Für Unternehmen wird es durch die aktuellen Entwicklungen zudem immer wichtiger, sich frühzeitig und strategisch mit den Herausforderungen, Chancen und Risiken der Data Protection Litigation auseinanderzusetzen. Das Datenschutzrecht bildet dabei den Schwerpunkt und zugleich das inhaltliche Scharnier zu anderen Bereichen, insbesondere den maßgeblichen Verfahrens- und Prozessordnungen. Essenziell im Bereich der Abwehr von zivilrechtlichen Massenklagen ist dabei auch das nahtlose Ineinandergreifen der datenschutzrechtlichen Expertise mit der Litigation. Mit unserer herausragenden Erfahrung in der Bewältigung von Massenverfahren unterstützen unsere eingespielten Teams aus anerkannten Datenschutz- und Litigation Experten Sie aus einer Hand.