Europaweit sind in den letzten Jahren bereits zahlreiche Bußgelder wegen der Verletzung von wenigen 100,00 € bis hin zu stattlichen 60.000,00 €.

Die praktische Bedeutung des sorgsamen Umgangs mit Auskunftsanfragen zeigt sich auch in der Häufung von Schadensersatzklagen nach Art. 82 DS-GVO, die sich auf nicht erteilte, verspätete oder unvollständige Auskünfte stützen. Es gibt inzwischen hunderte Urteile der Zivil-und Arbeitsgerichten, die sich mit den Auskunftsrechten und daraus resultierenden Schadensersatzansprüchen beschäftigen. Die Gefahr dieser Schadensersatzansprüche besteht bei größeren Unternehmen insbesondere dadurch, dass sich hieraus Massenklageverfahren entwickeln können.

Die Europäische Datenschutzbehörde (EDSA) hat dies zum Anlass genommen, europaweit koordinierte Prüfungen zum Recht auf Auskunft durchzuführen. Auch die niedersächsische Datenaufsichtsbehörde beteiligt sich an dieser Aktion und wird Unternehmen aus unterschiedlichen Wirtschaftszweigen prüfen. Auch in Niedersachsen gehen jährlich hunderte von Beschwerden wegen der Verletzung des Auskunftsrechts ein. 

Uns liegt der Entwurf des europaweit koordinierten Fragebogens vor. Dieser Entwurf stellt auf 19 Seiten teils sehr detaillierte Fragen und verbindet dies jeweils mit der Aufforderung, entsprechende Vorlagen,
Richtlinien, Arbeitsanweisungen, verwendete Textbausteine etc. vorzulegen. Nachfolgend einige Beispiele für die Fragen, wobei diese wesentlich untergliederter und jeweils mit der Anforderung verbunden sind, entsprechende Vorlagen, Richtlinien, Arbeitsunterweisungen etc. vorzulegen.

Damit Sie einen ersten Eindruck von der Fragebogenaktion und den Erwartungen an die innerbetriebliche Organisation gewinnen können, nachfolgend ein stark vereinfachter Extrakt aus den Fragen.

•             Dokumentieren Sie die Erfüllung von Auskunftsersuchen?

•             Wie lange speichern Sie Informationen über Auskunftsersuchen? Geben Sie bitte alle Vorschriften an, auf die Sie diese Aufbewahrungsfrist stützen.

•             Haben Sie vordefinierte Verfahren für die Bearbeitung von Auskunftsersuchen?

•             Beziehen Sie Ihren Datenschutzbeauftragten in das Verfahren ein?

•             Überwachen und kontrollieren Sie systematisch die Bearbeitung von Anträgen auf Auskunft.

•             Senden Sie Bestätigungen über den Eingang von Auskunftsanträgen an die betroffene Person?

•             Über welche Kommunikationskanäle können Anträge auf Auskunft an Sie gestellt werden?

•             Werden Auskunftsanfragen an die zuständige Stelle im Unternehmen weitergeleitet?

•             Ist die Datensicherheit im Rahmen des Auskunftsverfahrens sichergestellt?

•             Berücksichtigen Sie bei der Beantwortung von Auskunftsersuchen besondere Merkmale der
betroffenen Personen (etwa Alter, Sehbehinderung)?

•             Wie stellen sie sicher, dass die betroffene Person, die das Auskunftsrecht ausübt, identifiziert werden kann?

•             Welche Informationen verlangen Sie von der betroffenen Person, die Auskunft beantragt, wenn sie begründete Zweifel an der Identität der betroffenen Person haben?

•             Welche Maßnahmen ergreifen Sie, um sicherzustellen, dass Anträge auf Auskunft unverzüglich, auf jeden Fall aber innerhalb eines Monats nach Eingang beantwortet werden?

•             Wie erkennen Sie , welche Daten Sie im Rahmen eines Auskunftsersuchens auswählen müssen?

•             Wie oft wurde von den Anspruchstellern die Unvollständigkeit der erteilten Auskunft gerügt?

•             Wie wählen Sie aus, zu welchen Dokumenten Sie Zugang gewähren?

•             Unter welchen Umständen geben Sie Auskunft über die Identität von Personen innerhalb Ihrer Organisation, die die personenbezogenen Daten verarbeiten?

•             Inwieweit prüfen Sie, ob die Rechte und Freiheiten anderer Personen betroffen sind, bevor
Sie gemäß Art. 15 DS-GVO Zugang gewähren und insbesondere bevor Sie eine Kopie senden?

•             Wie oft haben Sie bei Auskunftsersuchen die der betroffenen Person erteilten Informationen aufgrund der Rechte Dritter eingeschränkt (Geheimhaltung, Schwärzung)?

Kennen Sie die Leitlinien 01/2022 des europäischen Datenschutzausschusses und wenden Sie diese in der Praxis an?

Gerne unterstützen wir Sie bei der Einführung eines
Prozesses zum Umgang mit Auskunftsersuchen. Ebenso unterstützen wir Sie gerne
in aufsichtsbehördlichen Verfahren.