Die Datenschutz-Grundverordnung (DSGVO) räumt betroffenen Personen das Recht ein, von den Verantwortlichen Auskunft über die Verarbeitung ihrer Daten zu verlangen. Wie der Europäische Gerichtshof (EuGH) das Auskunftsrecht weiter konkretisiert hat und mit welchen Leitlinien der Europäische Datenschutzausschuss (EDSA) umfassende Unterstützung bietet.
Vier wegweisende EuGH-Entscheidungen zum Auskunftsrecht
Das Auskunftsrecht ist von besonderer Bedeutung, da es den Betroffenen ermöglicht, weitere Rechte geltend zu machen. Dazu gehören Berichtigung, Löschung oder Schadensersatz. Der Europäische Gerichtshof (EuGH) versteht das Auskunftsrecht als ein starkes und weitreichendes Recht und hat es in mehreren Entscheidungen bestätigt. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat in seinem 29. Tätigkeitsbericht die wichtigsten EuGH-Entscheidungen zum Auskunftsrecht zusammengestellt:
Die Auskunft umfasst auch die Identität der Empfänger
Der EuGH hat entschieden, dass Verantwortliche den betroffenen Personen grundsätzlich die Identität der Empfänger mitteilen müssen, an die ihre Daten weitergegeben wurden. Die Nennung von Empfängerkategorien reicht nur in Ausnahmefällen aus: Wenn die Identifizierung der Empfänger unmöglich ist oder das Auskunftsersuchen offensichtlich unbegründet oder unverhältnismäßig wäre.
Diese Entscheidung (Urteil vom 12. Januar 2023, Az. C-154/21) unterstreicht die Bedeutung der Transparenz der Datenverarbeitung, damit die betroffenen Personen überprüfen können, ob ihre Daten rechtmäßig verarbeitet werden.
Auskunftsrecht umfasst auch Protokolldaten
Das Auskunftsrecht umfasst auch Informationen aus Protokolldaten. Diese dokumentieren, wann und warum auf Daten zugegriffen wurde. Der EuGH hat klargestellt (Urteil vom 22. Juni 2023, Az. C-579/21), dass es in der Regel ausreicht, die Betroffenen über die protokollierten Datenabfragen zu informieren, ohne die Namen der Beschäftigten zu nennen.
Die Identität der Beschäftigten muss nur dann offengelegt werden, wenn dies zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung erforderlich ist. Dabei sind jedoch die Rechte und Freiheiten der Beschäftigten zu berücksichtigen.
Erste Kopie ist auch bei Patientenakten kostenlos
Der EuGH hat entschieden, dass Patienten ohne Angabe von Gründen einen datenschutzrechtlichen Anspruch auf eine erste unentgeltliche Kopie ihrer Patientenakte haben. Diese vollständige Kopie ist erforderlich, damit der Patient die Richtigkeit und Vollständigkeit seiner Daten überprüfen kann.
Das Urteil (vom 26. Oktober 2023, Az. C-307/22) stellt sicher, dass Patienten eine vollständige und verständliche Kopie ihrer Daten erhalten, einschließlich Informationen wie Diagnosen, Untersuchungsergebnisse und Behandlungsdaten.
Recht auf Kopie ist das Recht auf Reproduktion der Daten
Laut EuGH (Urteil vom 4. März 2023, Az. C-487/21) bedeutet das Recht auf eine Kopie der personenbezogenen Daten eine originalgetreue und verständliche Wiedergabe der Daten. Dies umfasst Kopien von Auszügen aus Dokumenten oder ganzen Dokumenten sowie Auszüge aus Datenbanken, wenn dies für die wirksame Ausübung der Datenschutzrechte der betroffenen Personen erforderlich ist. Die Verantwortlichen müssen dabei die Rechte und Freiheiten anderer Personen berücksichtigen und die Daten in einem gängigen elektronischen Format zur Verfügung stellen.
Lese-Tipp: Umsetzung der NIS-2-Richtlinie in der EU – der aktuelle Stand
EDSA-Leitlinien zum Auskunftsrecht
Neben den Entscheidungen des EuGH bieten die Leitlinien des Europäischen Datenschutzausschusses (EDSA) eine umfassende Hilfestellung bei der Anwendung des Auskunftsrechts nach Art. 15 DSGVO.
Die Leitlinien geben zunächst einen Überblick über die komplexe Struktur der Regelung. Sie stellen die wichtigsten Grundsätze dar, die beim Auskunftsrecht zu beachten sind. Anschließend werden die Fragen, die sich für den Verantwortlichen stellen, der ein Auskunftsersuchen erhalten hat, ausführlich behandelt. Dazu gehören Fragen wie
- die Auslegung und Erteilung der Auskunft,
- Maßnahmen zum Auffinden der Daten,
- die Bedeutung einer „Kopie der Daten“ und
- die Grenzen des Auskunftsrechts.
Ein Flussdiagramm in den Leitlinien veranschaulicht die einzelnen Schritte bei der Bearbeitung eines Auskunftsersuchens. Weitere Leitlinien zu Betroffenenrechten wie dem Widerspruchsrecht oder dem Recht auf Löschung sind mittelfristig geplant. Für das grundsätzliche Auskunftsrecht liegen nun europaweit einheitliche Erläuterungen vor, die den Inhalt und die praktische Handhabung durch die Verantwortlichen detailliert beschreiben.
Fazit: Das Auskunftsrecht nach der DSGVO ist ein zentrales Element des Datenschutzes. Es wird durch die Rechtsprechung des EuGH und die Leitlinien des EDSA kontinuierlich konkretisiert und gestärkt. Unternehmen und Verantwortliche sollten sich mit diesen Vorgaben vertraut machen. Auch sollten sie sicherstellen, dass sie die Anforderungen an das Auskunftsrecht vollständig und korrekt umsetzen, um den Schutz personenbezogener Daten und die Rechte der Betroffenen zu gewährleisten.
Link-Tipp: Leitlinien zum Auskunftsrecht des EDSA