INFORMATIONEN

Anträge auf Zugang für Betroffene und Verhältnismäßigkeit nach DSGVO

Datenschutzanfragen (Data Subjects Access Requests, DSARs) können für interne Datenschutzbeauftragte ein Alptraum sein und die Unternehmensressourcen völlig aufzehren, wie wir bereits besprochen haben. Die Beantwortung eines DSAR kann schwierig und kostspielig sein und viel Zeit und Geld für Management, Rechtsabteilung, Verwaltung und IT-Abteilung in Anspruch nehmen. Im Falle eines DSAR-Mitarbeiters, bei dem eine Bewerbung manchmal dazu dient, Informationen in einem Arbeitsrechtsstreit zu erlangen, trifft dies besonders zu.

Die Organisationen bemühen sich häufig, ihrer gesetzlichen Verantwortung gerecht zu werden, und haben strenge Strategien und Verfahren für den Umgang mit DSARs eingeführt. Dennoch verstehen sie immer noch nicht den Umfang ihrer Verantwortung und welche Anstrengungen sie nach dem Gesetz unternehmen sollen. In diesem Blogbeitrag befassen wir uns erneut mit dem Auskunftsrecht, um die Rechtsprechung und die dahinter stehenden Werte zu untersuchen. Es ist auch ein angemessener Zeitpunkt, dies zu tun, da das ICO den Entwurf seiner Leitlinien zum Auskunftsrecht (den Entwurf der Leitlinien zum Auskunftsrecht) zur öffentlichen Konsultation freigegeben hat (jetzt abgeschlossen).

Das Recht auf Zugang – ein Grundrecht

Das Auskunftsrecht ist eines der wichtigsten Rechte im Rahmen der Datenschutz-Grundverordnung, aber um es zu verstehen, müssen wir die Dinge in die richtige Perspektive rücken. Gemäß Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union (die Charta) sind das Recht auf Privatsphäre und der Schutz personenbezogener Daten als Grundrechte garantiert. Das Recht auf Auskunft selbst ist in Artikel 8 Absatz 2 der Charta verankert.

Um zu verstehen, wie ihre Rechte beeinträchtigt werden können und wie sie ihre anderen Datenrechte ausüben können, ist es sinnvoll, dass dem Auskunftsrecht Vorrang eingeräumt wird, denn eine Person möchte weiterhin die Möglichkeit haben, zu überprüfen, welche Daten eine Agentur über sie gespeichert hat. Es ist jedoch wichtig, darauf hinzuweisen, dass das Auskunftsrecht zwar ein Grundrecht ist, aber nicht absolut gilt und immer noch einem anderen Konzept des EU-Rechts, der Verhältnismäßigkeit, unterliegt.

Verhältnismäßigkeit nach der DSGVO

Im Sinne des Auskunftsrechts bezieht sich die DSGVO nicht ausdrücklich auf die Verhältnismäßigkeit, und das Datenschutzgesetz 2018 (DSG 2018) sieht keine Ausnahme von „unverhältnismäßigem Aufwand“ vor. Stattdessen heißt es in Artikel 12 Absatz 5 der DSGVO, dass ein für die Verarbeitung Verantwortlicher sich weigern kann, einer DSAR nachzukommen oder eine angemessene Gebühr zu verlangen, wenn der Antrag „offensichtlich unbegründet oder unverhältnismäßig“ ist. Es wurde viel darüber spekuliert, was diese Worte bedeuten. Wann könnte eine DSAR als „offensichtlich unbegründet“ bezeichnet werden?

In ihrem Entwurf der Zugangsleitlinien stellt die ICO fest, dass „exzessive“ Anfragen widersprüchliche und wiederholte Anfragen erfordern, aber nicht generell Anfragen, die eine große Menge an Daten enthalten und sich als belastend erweisen, voraussetzen. Der Entwurf der Zugangsleitlinien stellt fest, dass dazu auch „unbegründete“ Anträge gehören. Der Antragsteller hat nicht wirklich die Absicht, sein Auskunftsrecht auszuüben, oder er lässt die DSAR lediglich zu böswilligen oder störenden Zwecken zu.

Diese Ausnahme bezieht sich im Wesentlichen auf eine andere Theorie des EU-Rechts, die Doktrin des „Rechtsmissbrauchs“, bei der die Absichten des Einzelnen von den Gerichten bei der Ausübung ihres Ermessens berücksichtigt werden können. Ein Paradebeispiel (und der häufigste Fall, in dem diese Doktrin zum Tragen kommt) ist der Fall, in dem ein Arbeitnehmer eine Verdachtsmeldung abgibt, mit der er seinen ehemaligen Arbeitgeber belästigt oder stattdessen dessen Daten abfragt, um Dokumente oder Informationen zu erhalten. Das Motiv oder die Absicht der DSAR kann daher bei der Bestimmung der Antwortpflicht des für die Verarbeitung Verantwortlichen eine Rolle spielen.

Auch wenn diese Ausnahmen in einigen Fällen anwendbar sein könnten, muss darauf hingewiesen werden, dass der Grundsatz der Verhältnismäßigkeit als allgemeines Konzept im Rahmen der Datenschutz-Grundverordnung nach wie vor besteht und bei der Prüfung der Pflichten eines für die Verarbeitung Verantwortlichen von Bedeutung sein wird. Die Datenschutz-Grundverordnung ist zunächst eine EU-Verordnung und unterliegt daher, einschließlich der Verhältnismäßigkeit, den allgemeinen Grundsätzen des EU-Rechts.

Dies kommt in Erwägungsgrund 4 der Datenschutz-Grundverordnung zum Ausdruck, in dem es heißt, dass das Recht auf den Schutz personenbezogener Daten nicht absolut ist und nach dem Grundsatz der Verhältnismäßigkeit im Hinblick auf seine Rolle in der Gesellschaft betrachtet und gegen andere Grundrechte abgewogen werden muss.

Zweitens taucht die Verhältnismäßigkeit in einigen anderen Privilegien der Datenschutz-Grundverordnung auf. So heißt es beispielsweise in Artikel 14 Absatz 5, dass der für die Verarbeitung Verantwortliche nicht verpflichtet ist, den Betroffenen Informationen über die Verarbeitung zur Verfügung zu stellen, wenn dies unpraktisch wäre oder einen übermäßigen Aufwand erfordern würde.

In Artikel 19 heißt es, dass der für die Verarbeitung Verantwortliche nicht verpflichtet ist, Personen über die Berichtigung, Löschung oder Einschränkung ihrer Daten zu unterrichten, wenn dies unpraktisch ist oder einen unverhältnismäßigen Aufwand erfordert. Artikel 34 sieht die gleiche Ausnahme für die Meldung von Verletzungen des Schutzes personenbezogener Daten an die betroffenen Personen vor.

In diesem Zusammenhang spiegelt die DSGVO keine radikale Abkehr vom alten Recht wider, und der Grundsatz der Verhältnismäßigkeit ist offensichtlich immer noch lebendig und gut. Dies sollte für die für die Verarbeitung Verantwortlichen, die mit schwierigen und belastenden DSARs konfrontiert sind, eine Erleichterung darstellen.

Schlussfolgerungen

Wie wir gesehen haben, ist das Auskunftsrecht ein Grundrecht im Rahmen der Datenschutz-Grundverordnung und ein äußerst schwierig zu verhandelndes Recht. Bei der Reaktion auf DSARs bietet der Entwurf der ICO-Leitlinien für den Zugang leider nur eine recht eingeschränkte Anleitung für den Umfang der Verantwortung des für die Verarbeitung Verantwortlichen.

Sie stellt fest, dass die Datenschutz-Grundverordnung hohe Erwartungen an Organisationen stellt, Informationen zur Verfügung zu stellen, und dass „umfangreiche Anstrengungen“ unternommen werden sollten, um Informationen zu ermitteln und zu beschaffen, aber sie bietet keine praktischen Leitlinien oder Beispiele (die letztendlich hilfreicher wären), die Organisationen übernehmen könnten.

Clean Desk Policy – praktische Einblicke

Datenschutz wird durch die Clean Desk Policy praktiziert. Eine so genannte „Clean Desk“-Politik bedeutet nicht nur Ordnung am Arbeitsplatz, sondern auch praktizierten Datenschutz. Dieses Prinzip

mehr »

DSGVO – Der Grundsatz der Genauigkeit

Der Grundsatz der Richtigkeit ist einer der sieben Grundprinzipien der DSGVO, zu denen auch die Grundsätze der Rechtmäßigkeit, der Fairness und Transparenz, der Datenminimierung, der

mehr »