Was beachtet werden sollte:
Überraschende EuGH-Urteile zu den Betroffenenrechten
Das Recht auf Auskunft über die eigenen Daten besteht bereits seit Jahrzehnten und ist ebenso lange Anlass für zahlreiche Auseinandersetzungen. Die DS-GVO gewährt Betroffenen das gene-relle Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen. Im Rahmen der Auskunft sind neben den konkret verarbeiteten Daten auch Informationen über die Verarbeitungszwecke, die Kategorien der Daten, Empfänger oder Kategorien von Empfängern, die Dauer der Speicherung etc. bereitzustellen. In der Praxis sind trotz der auf den ersten Blick eindeutigen Regelung nach wie vor zahlreiche Einzelfragen ungeklärt. Der EuGH hat aber in die-sem Jahr zumindest drei Fragen abschließend geklärt:
Art. 15 DS-GVO verlangt u. a. die Angabe der „Empfänger oder Kategorien von Empfängern“. Die Auslegung war bisher in der Praxis weitestgehend uneinheitlich. Einerseits wurde vertreten, dass es ausreicht, Kategorien zu nennen, während andererseits die konkrete Benennung von Emp-fängern gefordert wurde. Der EuGH hat nun in einem Urteil klargestellt, dass grundsätzlich im-mer die Identität der Empfänger konkret mitgeteilt werden muss, es sei denn, dies erweist sich als unmöglich. Das Urteil aus Luxemburg hat erhebliche Auswirkungen auf die Auskunftspflicht. Die bisherig häufig gelebte Praxis, lediglich Empfängerkategorien zu nennen, ist nicht mehr aus-reichend. Künftig müssen in der Regel die konkreten Empfänger inklusive Firmen und Adresse identifizierbar benannt werden. Für Verantwortliche bedeutet dies einen erheblichen Mehrauf-wand bei der Dokumentation und Bereitstellung von Auskünften. Die Datenschutz-Compliance muss sicherstellen, dass die Weitergabe von Daten vollumfänglich nachvollziehbar ist.
Neben der bloßen Auskunft verlangen betroffene Personen häufig eine „Kopie“ ihrer personenbe-zogenen Daten. Nach einer weiteren Entscheidung des EuGH aus diesem Jahr muss es sich bei dieser Kopie um „eine vollständige und originalgetreue Wiedergabe“ aller personenbezogenen Daten des Betroffenen handeln. Eine allgemeine Beschreibung der Daten ist nicht ausreichend. Die Pflicht zur Bereitstellung einer „Kopie“ kann erfordern, dass der Verantwortliche der betroffenen Person Kopien von Dokumenten oder ganzen Datenbanken überlässt, um die erforderli-che Transparenz und leichte Verständlichkeit der Informationen zu gewährleisten. Selbst Rechte Dritter oder ein besonderes Geheimhaltungsinteresse des Verantwortlichen kann nur dazu führen, dass einzelne Angaben bei der Beauskunftung zu schwärzen sind, nicht aber dass die gesamte Auskunft verweigert werden kann.
Und schließlich hat der EuGH Ende Oktober klargestellt, dass der Anspruch auf eine Kopie im Sinne einer originalgetreuen und verständlichen Reproduktion voraussetzungsfrei besteht und nicht begründet werden muss. Das Gesetz ermöglicht es dem Verantwortlichen deshalb auch nicht, für den Auskunftsantrag der betroffenen Person eine Begründung zu verlangen. Im Umkehrschluss kann ein Antrag auch nicht zurückgewiesen werden, wenn mit ihm ein anderer Zweck verfolgt wird als der, von der Verarbeitung Kenntnis zu nehmen und deren Rechtmäßigkeit zu überprüfen.
Zusammenfassend lässt sich feststellen, dass dem Betroffenen im Rahmen der Auskunft alle konkreten Daten (und nicht bloß die Datenkategorien) inkl. der Verarbeitungszwecke, konkreten Empfänger und der Speicherdauer mitgeteilt werden müssen und er gleichzeitig im Rahmen der „Datenkategorie“ eine originalgetreue und verständliche Reproduktion aller Dokumente und Datenbank(-auszüge) zu seiner Person verlangen kann. Beide Rechte sind kostenfrei zu erfüllen und können nicht von einem bestimmten Zweck der betroffenen Person abhängig gemacht werden.
Gerade das Auskunftsrecht stellt die Verantwortlichen regelmäßig vor eine Herkulesaufgabe. Es ist daher unabdingbar, intern Prozesse zu implementieren, wie bei der Geltendmachung von Aus-kunftsansprüchen verfahren wird, um eine vollständige und fristgerechte Erfüllung des An-spruchs zu ermöglichen.