Europäischer Datenschutzausschuss zum Recht auf Auskunft

Der Europäische Datenschutzausschuss (EDSA) hat am im Januar seine „Guidelines 01/2022 on data subject rights – Right of access“ (PDF) in der Version 1.0 veröffentlicht.

Die Version ist die Konsultationsfassung. Interessierte können nach Angaben des EDSA also Stellungnahmen zu dem Papier beim EDSA einreichen. Und zwar binnen 6 Wochen nach Veröffentlichung des Dokuments.

Inhaltsübersicht

Die Guideslines des EDSA haben es in sich. Auf über 50 Seiten arbeitet man sich an dem Recht auf Auskunft ab.

Um folgende Inhalte geht es:

1 Introduction – general observations
2 Aim of the right of access, structure of Article 15 GDPR and general principles
2.1 Aim of the right of access
2.2 Structure of Article 15 GDPR
2.2.1 Defining the content of the right of access
2.2.1.1 Confirmation as to ‘whether’ or not personal data are being processed
2.2.1.2 Access to the personal data being processed
2.2.1.3 Information on the processing and on data subject rights
2.2.2 Provisions on Modalities
2.2.2.1 Providing a copy
2.2.2.2 Providing further copies
2.2.2.3 Making the information available in a commonly used electronic form
2.2.3 Possible limitation of the right of access … 14 2.3 General principles of the right of access
2.3.1 Completeness of the information
2.3.2 Correctness of the information
2.3.3 Time reference point of the assessment
2.3.4 Compliance with data security requirements
3 General considerations regarding the assessment of access requests
3.1 Introduction
3.1.1 Analysis of the content of the request
3.1.2 Form of the request
3.1.3 Identification of the data subject and link between the personal data and the data subject
3.2 Issues with establishing the identity of the person making the request
3.3 Proportionality assessment regarding identification of the requesting person
3.4 Requests made via third parties / proxies
3.4.1 Exercise of the right of access on behalf of children
3.4.2 Exercising the right of access through portals / channels provided by a third party
4 Scope of the right of access and the personal data and information to which it refers
4.1 Definition of personal data
4.2 The personal data the right of access refers to
4.2.1 “personal data concerning him or her”
4.2.2 Personal data which “are being processed”
4.2.3 The scope of a new request to access
4.3 Information on the processing and on data subject rights
5 How can a controller provide access?
5.1 How can the controller retrieve the requested data?
5.2 Appropriate measures for providing access
5.2.1 Taking “appropriate measures”
5.2.2 Different means to provide access
5.2.3 Providing access in a ”concise, transparent, intelligible and easily accessible form using clear and plain language”
5.2.4 A vast amount of information necessitates specific requirements on how the information is provided
5.2.5 Format
5.3 Timing for the provision of access
6 Limits and restrictions of the right of access
6.1 General remarks
6.2 Article 15 (4) GDPR
6.3 Article 12(5) GDPR
6.3.1 What does manifestly unfounded mean?
6.3.2 What does excessive mean?
6.3.3 Consequences
6.4 Possible restrictions in Union or Member States law based on Article 23 GDPR and derogations
Annex –Flowchart

Einzelaspekte des Dokuments

Erwartungsgemäß versteht der EDSA den Auskunftsanspruch des Art. 15 DSGVO als „weit“. Umfasst werden von dem Auskunftsanspruch alle personenbezogenen Daten.

Ebenso legt der EDSA die Möglichkeiten von Verantwortlichen aus, das Recht auf Auskunft zu beschränken – die Ausnahmen in Art. 15 Abs. 4 DSGVO – auch restriktiv aus.

Heraus kommt also ein sehr weites Verständnis des Rechts auf Auskunft. Hier kann man dem EDSA aber zugestehen, dass zumindest im Hinblick auf den Anspruch an sich (nicht dessen Beschränkung durch Art. 15 Abs. 4 DSGVO) auch der BGH dies so zu sehen scheint.

Ganz schön hat der EDSA die Phasen der Bearbeitung eines Auskunftsantrags ausgeteilt und jeweils mit Informationen hinterlegt:

  1. Bezieht sich die Anfrage auf personenbezogene Daten?
  2. Bezieht sich der Antrag auf die antragstellende Person (oder die Person, in deren Namen die bevollmächtigte Person den Antrag stellt)?
  3. Gelten andere Bestimmungen als die Datenschutz-Grundverordnung, die den Zugang zu einer bestimmten Datenkategorie regeln?
  4. Fällt der Antrag in den Anwendungsbereich von Artikel 15?
  5. Möchten die betroffenen Personen Zugang zu allen oder zu Teilen der über sie verarbeiteten Informationen?

Interessant sind auch die Ausführungen zu den Maßnahmen, die nach Ansicht des EDSA getroffen werden müssen bzw. dürfen, um sicherzustellen, dass die anfragende Person wirklich die ist, für die sie sich ausgibt.

Garniert wird das Dokument immer wieder durch Fallbeispiele, zu denen der EDSA dann seine Auffassung darlegt.

Beendet werden die Ausführungen dann noch mit einem Ablaufdiagramm, das die Schritte der Bearbeitung eines Auskunftsersuchens darstellen soll.