Die DSGVO enthält selbst kaum Ausnahmen von den Betroffenenrechten wie z.B. dem Informationsrecht, dem Auskunftsrecht oder dem Recht, über Datensicherheitsverletzungen informiert zu werden, abgesehen von Art. 12 Abs. 5 DSGVO (offenkundig unbegründete oder exzessive Anträge). Die Mitgliedstaaten können aber gestützt auf Art. 23 DSGVO Ausnahmen und Einschränkungen vorsehen, sofern ihr Recht den Vorgaben von Art. 23 entspricht. Deutschland z.B. hat davon in §§ 32 ff. BDSG Gebrauch gemacht und für private Verantwortliche bspw. eine Ausnahme der Informations- und Auskunftspflicht etwa dann vorgesehen, wenn die Erfüllung dieser Pflichten die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen jene Interessen der betroffenen Person überwiegen.
Der Europäische Datenschutzausschuss (EDSA) hat nun den Entwurf von Leitlinien zu Art. 23 DSGVO veröffentlicht (Guidelines 10/2020 on restrictions under Article 23 GDPR, Version 1.0, 15. Dezember 2020). Stellungnahmen werden bis zum 12. Februar 2021 entgegengenommen. Die Leitlinien äussern sich in erster Linie zu den Anforderungen an das entsprechende mitgliedstaatliche Recht aus Art. 23 DSGVO.
Praktisch wichtig sind folgende Hinweis des EDSA:
Verantwortliche müssen dokumentieren, wenn sie sich auf eine Ausnahme berufen (Accountability-Grundsatz, Art. 5 Abs. 2 DSGVO):
66. In light of the accountability principle (Article 5(2) GDPR), the controller should document the application of restrictions on concrete cases by keeping a record of their application. This record should include the applicable reasons for the restrictions, which grounds among those listed in Article 23(1) GDPR apply (where the legislative measure allows for restrictions on different grounds), its timing and the outcome of the necessity and proportionality test. The records should be made available on request to the data protection supervisory authority (SA).
67. In case the controller has a data protection officer (DPO), the DPO should be informed without undue delay whenever data subject rights are restricted in accordance with the legislative measure. The DPO should be given access to the associated records and any documents concerning the factual or legal context in which the restriction takes place. The involvement of the DPO in the application of restrictions should also be documented.
Zudem sollen die Verantwortlichen die Erfüllung der Betroffenenrechte nachholen, wenn der Ausnahmegrund nicht länger erfüllt ist:
During the application of a restriction, data subjects may be allowed to exercise certain rights, if not all their rights need to be restricted. In order to assess when the restriction can be partially or integrally lifted, a necessity and proportionality test may be performed several times during the application of a restriction.
75. When the restriction is lifted – which should be documented in the record mentioned in point 5 –, data subjects can exercise all their rights.
76. If the controller does not allow data subjects to exercise their rights after the restriction has been lifted, the data subject can submit a complaint to the SA against the controller, in accordance with Article 57(1)(f) GDPR.