Auskunftsrecht: EDSA hat Bericht zur koordinierten Prüfaktion CEF 2024 publiziert

Prüfung, inwiefern die EDSA-Leitlinien zum Auskunftsrecht sich auf den praktischen Umgang mit Auskunftsanträgen auswirken

[datensicherheit.de, 23.01.2025] Für die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat die Vorsitzende für das Jahr 2025, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, deren Stellungnahme vom 22. Januar 2025 publiziert. Demnach hat am 16. Januar 2025 der Europäische Datenschutzausschuss (EDSA) über die Ergebnisse der 2024 durchgeführten europaweiten Prüfaktion im Rahmen des „Coordinated Enforcement Framework“ (CEF) beraten und seinen Bericht verabschiedet. Bei dieser Aktion sei untersucht worden, „wie Verantwortliche das Auskunftsrecht betroffener Personen umsetzen“.

Verantwortliche berücksichtigen im durchschnittlichen bis hohen Maß die EDSA-Anforderungen des Auskunftsrechts

In Deutschland hätten sich die Landesdatenschutz-Aufsichtsbehörden aus Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beteiligt und insgesamt 116 Verantwortliche geprüft. Auf europäischer Ebene hätten weitere 22 mitgliedstaatliche Datenschutzaufsichtsbehörden teilgenommen. Insgesamt werteten die beteiligten Aufsichtsbehörden laut DSK Angaben von 1.185 Verantwortlichen aus.

So hätten europäische Datenschutzaufsichtsbehörden Erkenntnisse aus der Praxis dazu gewinnen können, inwiefern die EDSA-Leitlinien zum Auskunftsrecht sich auf den praktischen Umgang mit Auskunftsanträgen auswirkten. „Der Abschlussbericht des EDSA zeichnet ein grundsätzlich ermutigendes Bild. Die Mehrheit der teilnehmenden Aufsichtsbehörden stellte fest, dass die befragten Verantwortlichen nach eigenen Angaben in einem durchschnittlichen bis hohen Maß die Anforderungen des Auskunftsrechts berücksichtigen“, berichtet Kamp. Überraschend groß sei jedoch die Zahl an Verantwortlichen, die angegeben hätten, im Jahr 2023 keinen oder nur sehr wenige Auskunftsanträge erhalten zu haben.

Im EDSA-Bericht dargestellte Ergebnisse decken sich weitestgehend mit denen beteiligter deutscher Aufsichtsbehörden

Bei der Vollständigkeit der Auskunft und der Anwendung der Grenzen des Auskunftsrechts gebe es allerdings konkreten Nachbesserungsbedarf. Außerdem stellten einige Verantwortliche zum Teil unzulässige Hürden für die Geltendmachung des Auskunftsrechts auf, etwa indem pauschal Zusatzinformationen oder im Einzelfall nicht erforderliche Identifikationsdokumente bei der betroffenen Person angefordert würden.

Die im Bericht des EDSA dargestellten Ergebnisse deckten sich weitestgehend mit denen der beteiligten deutschen Aufsichtsbehörden. Deren gemeinsame Auswertung könne im Annex zum EDSA-Bericht eingesehen werden.

Gewonnene Informationen stehen mit Veröffentlichung des EDSA-Berichts auch für weiterführende Auswertungen bereit

Unter Berücksichtigung dieser Ergebnisse sei es Aufsichtsbehörden möglich, Verantwortliche zielgerichteter zu sensibilisieren und Handlungsempfehlungen zu geben. Die gewonnenen Informationen stünden mit der Veröffentlichung des EDSA-Berichts auch für weiterführende Auswertungen zur Verfügung.

Die koordinierte Aktion zum Auskunftsrecht sei die dritte Initiative im Rahmen des CEF, welches darauf abziele, die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) und die Zusammenarbeit zwischen Datenschutzbehörden innerhalb der EU zu optimieren. Frühere koordinierte Aktionen befassten sich laut DSK im Jahr 2022 mit der Nutzung von „Cloud“-Diensten durch den öffentlichen Sektor und im Jahr 2023 mit der Benennung und der Rolle von Datenschutzbeauftragten.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 20.01.2025
CEF 2024: EDPB identifies challenges to the full implementation of the right of access

EDPS EUROPEAN DATA PROTECTION SUPERVISOR, 20.01.2025
Coordinated Enforcement Action: EDPS findings highlight challenges on right of access to personal data

edpb European Data Protection Board, 20.01.2025
Coordinated Enforcement Action, implementation of the right of access by controllers

edpb European Data Protection Board, 18.01.2025
Coordinated Enforcement Action, use of cloud-based services by the public sector

edpb European Data Protection Board, 17.01.2025
Coordinated Enforcement Action, Designation and Position of Data Protection Officers