INFORMATIONEN

Anträge auf Zugang für Betroffene und Verhältnismäßigkeit nach DSGVO

Datenschutzanfragen (Data Subjects Access Requests, DSARs) können für interne Datenschutzbeauftragte ein Alptraum sein und die Unternehmensressourcen völlig aufzehren, wie wir bereits besprochen haben. Die Beantwortung eines DSAR kann schwierig und kostspielig sein und viel Zeit und Geld für Management, Rechtsabteilung, Verwaltung und IT-Abteilung in Anspruch nehmen. Im Falle eines DSAR-Mitarbeiters, bei dem eine Bewerbung manchmal dazu dient, Informationen in einem Arbeitsrechtsstreit zu erlangen, trifft dies besonders zu.

Die Organisationen bemühen sich häufig, ihrer gesetzlichen Verantwortung gerecht zu werden, und haben strenge Strategien und Verfahren für den Umgang mit DSARs eingeführt. Dennoch verstehen sie immer noch nicht den Umfang ihrer Verantwortung und welche Anstrengungen sie nach dem Gesetz unternehmen sollen. In diesem Blogbeitrag befassen wir uns erneut mit dem Auskunftsrecht, um die Rechtsprechung und die dahinter stehenden Werte zu untersuchen. Es ist auch ein angemessener Zeitpunkt, dies zu tun, da das ICO den Entwurf seiner Leitlinien zum Auskunftsrecht (den Entwurf der Leitlinien zum Auskunftsrecht) zur öffentlichen Konsultation freigegeben hat (jetzt abgeschlossen).

Das Recht auf Zugang – ein Grundrecht

Das Auskunftsrecht ist eines der wichtigsten Rechte im Rahmen der Datenschutz-Grundverordnung, aber um es zu verstehen, müssen wir die Dinge in die richtige Perspektive rücken. Gemäß Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union (die Charta) sind das Recht auf Privatsphäre und der Schutz personenbezogener Daten als Grundrechte garantiert. Das Recht auf Auskunft selbst ist in Artikel 8 Absatz 2 der Charta verankert.

Um zu verstehen, wie ihre Rechte beeinträchtigt werden können und wie sie ihre anderen Datenrechte ausüben können, ist es sinnvoll, dass dem Auskunftsrecht Vorrang eingeräumt wird, denn eine Person möchte weiterhin die Möglichkeit haben, zu überprüfen, welche Daten eine Agentur über sie gespeichert hat. Es ist jedoch wichtig, darauf hinzuweisen, dass das Auskunftsrecht zwar ein Grundrecht ist, aber nicht absolut gilt und immer noch einem anderen Konzept des EU-Rechts, der Verhältnismäßigkeit, unterliegt.

Verhältnismäßigkeit nach der DSGVO

Im Sinne des Auskunftsrechts bezieht sich die DSGVO nicht ausdrücklich auf die Verhältnismäßigkeit, und das Datenschutzgesetz 2018 (DSG 2018) sieht keine Ausnahme von „unverhältnismäßigem Aufwand“ vor. Stattdessen heißt es in Artikel 12 Absatz 5 der DSGVO, dass ein für die Verarbeitung Verantwortlicher sich weigern kann, einer DSAR nachzukommen oder eine angemessene Gebühr zu verlangen, wenn der Antrag „offensichtlich unbegründet oder unverhältnismäßig“ ist. Es wurde viel darüber spekuliert, was diese Worte bedeuten. Wann könnte eine DSAR als „offensichtlich unbegründet“ bezeichnet werden?

In ihrem Entwurf der Zugangsleitlinien stellt die ICO fest, dass „exzessive“ Anfragen widersprüchliche und wiederholte Anfragen erfordern, aber nicht generell Anfragen, die eine große Menge an Daten enthalten und sich als belastend erweisen, voraussetzen. Der Entwurf der Zugangsleitlinien stellt fest, dass dazu auch „unbegründete“ Anträge gehören. Der Antragsteller hat nicht wirklich die Absicht, sein Auskunftsrecht auszuüben, oder er lässt die DSAR lediglich zu böswilligen oder störenden Zwecken zu.

Diese Ausnahme bezieht sich im Wesentlichen auf eine andere Theorie des EU-Rechts, die Doktrin des „Rechtsmissbrauchs“, bei der die Absichten des Einzelnen von den Gerichten bei der Ausübung ihres Ermessens berücksichtigt werden können. Ein Paradebeispiel (und der häufigste Fall, in dem diese Doktrin zum Tragen kommt) ist der Fall, in dem ein Arbeitnehmer eine Verdachtsmeldung abgibt, mit der er seinen ehemaligen Arbeitgeber belästigt oder stattdessen dessen Daten abfragt, um Dokumente oder Informationen zu erhalten. Das Motiv oder die Absicht der DSAR kann daher bei der Bestimmung der Antwortpflicht des für die Verarbeitung Verantwortlichen eine Rolle spielen.

Auch wenn diese Ausnahmen in einigen Fällen anwendbar sein könnten, muss darauf hingewiesen werden, dass der Grundsatz der Verhältnismäßigkeit als allgemeines Konzept im Rahmen der Datenschutz-Grundverordnung nach wie vor besteht und bei der Prüfung der Pflichten eines für die Verarbeitung Verantwortlichen von Bedeutung sein wird. Die Datenschutz-Grundverordnung ist zunächst eine EU-Verordnung und unterliegt daher, einschließlich der Verhältnismäßigkeit, den allgemeinen Grundsätzen des EU-Rechts.

Dies kommt in Erwägungsgrund 4 der Datenschutz-Grundverordnung zum Ausdruck, in dem es heißt, dass das Recht auf den Schutz personenbezogener Daten nicht absolut ist und nach dem Grundsatz der Verhältnismäßigkeit im Hinblick auf seine Rolle in der Gesellschaft betrachtet und gegen andere Grundrechte abgewogen werden muss.

Zweitens taucht die Verhältnismäßigkeit in einigen anderen Privilegien der Datenschutz-Grundverordnung auf. So heißt es beispielsweise in Artikel 14 Absatz 5, dass der für die Verarbeitung Verantwortliche nicht verpflichtet ist, den Betroffenen Informationen über die Verarbeitung zur Verfügung zu stellen, wenn dies unpraktisch wäre oder einen übermäßigen Aufwand erfordern würde.

In Artikel 19 heißt es, dass der für die Verarbeitung Verantwortliche nicht verpflichtet ist, Personen über die Berichtigung, Löschung oder Einschränkung ihrer Daten zu unterrichten, wenn dies unpraktisch ist oder einen unverhältnismäßigen Aufwand erfordert. Artikel 34 sieht die gleiche Ausnahme für die Meldung von Verletzungen des Schutzes personenbezogener Daten an die betroffenen Personen vor.

In diesem Zusammenhang spiegelt die DSGVO keine radikale Abkehr vom alten Recht wider, und der Grundsatz der Verhältnismäßigkeit ist offensichtlich immer noch lebendig und gut. Dies sollte für die für die Verarbeitung Verantwortlichen, die mit schwierigen und belastenden DSARs konfrontiert sind, eine Erleichterung darstellen.

Schlussfolgerungen

Wie wir gesehen haben, ist das Auskunftsrecht ein Grundrecht im Rahmen der Datenschutz-Grundverordnung und ein äußerst schwierig zu verhandelndes Recht. Bei der Reaktion auf DSARs bietet der Entwurf der ICO-Leitlinien für den Zugang leider nur eine recht eingeschränkte Anleitung für den Umfang der Verantwortung des für die Verarbeitung Verantwortlichen.

Sie stellt fest, dass die Datenschutz-Grundverordnung hohe Erwartungen an Organisationen stellt, Informationen zur Verfügung zu stellen, und dass „umfangreiche Anstrengungen“ unternommen werden sollten, um Informationen zu ermitteln und zu beschaffen, aber sie bietet keine praktischen Leitlinien oder Beispiele (die letztendlich hilfreicher wären), die Organisationen übernehmen könnten.

Gibt es DSGVO-Schulungen für Datenschutzbeauftragte?

17/03/2022 Keine Kommentare

Nachdem die Datenschutz-Grundverordnung vor etwa sieben Monaten in Kraft getreten ist, ist die Vorbereitung auf die Grundprinzipien dieser neuen europäischen Verordnung ein zentrales Anliegen der

mehr »

Zehn Tipps zur Verhinderung von Cyberangriffen

27/01/2021 Keine Kommentare

Cyberangriffe, manchmal sogar gegen große Unternehmen, werden immer häufiger. Abgesehen von den offensichtlichen Unannehmlichkeiten, die solche Angriffe sowohl aus betrieblicher Sicht als auch auf der

mehr »

Top-Tipps für die Meldung von Verstößen an Aufsichtsbehörden im Rahmen der DSGVO

02/12/2022 Keine Kommentare

Sie benachrichtigen die Aufsichtsbehörden über Verstöße gegen den Schutz personenbezogener Daten, was ein überlegtes Vorgehen erfordert. In der Hitze des Gefechts können nur allzu leicht

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Anträge auf Zugang für Betroffene und Verhältnismäßigkeit nach DSGVO

Das Recht auf Zugang – ein Grundrecht

Verhältnismäßigkeit nach der DSGVO

Schlussfolgerungen

Gibt es DSGVO-Schulungen für Datenschutzbeauftragte?

Zehn Tipps zur Verhinderung von Cyberangriffen

Top-Tipps für die Meldung von Verstößen an Aufsichtsbehörden im Rahmen der DSGVO

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen