datenrecht.ch

EDSA: Prä­zi­sie­run­gen in der fina­len Fas­sung der Leit­li­ni­en zum Auskunftsrecht

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA hat die auf den 28. März 2023 datier­te fina­le Fas­sung der Leit­li­ni­en zum Aus­kunfts­recht ver­öf­fent­licht. Die vor­ge­gan­ge­ne Ver­si­on stamm­te vom 18. Janu­ar 2022 und war zur öffent­li­chen Kon­sul­ta­ti­on auf­ge­legt. Ein Del­ta­view fin­det sich hier.

Die rele­van­ten Ände­run­gen betref­fen nicht eine sich durch­zie­hen­de kon­zep­tio­nel­le Fra­ge, son­dern ein­zel­ne Punkte:

Die Leit­li­ni­en ent­hal­ten ein hilf­rei­ches neu­es Bei­spiel 5 im Zusam­men­hang mit Aus­kunfts­be­geh­ren im Arbeits­pro­zess. Der Arbeit­ge­ber kann in die­sem Fall nicht davon aus­ge­hen, dass ein Aus­kunfts­be­geh­ren alle Daten meint, wes­halb der Arbeit­ge­ber zuerst eine Spe­zi­fi­zie­rung des Aus­kunfts­be­geh­rens ver­lan­gen kann:

Exam­p­le 5: In an employment rela­ti­on­ship, in case of a gene­ral­ly for­mu­la­ted request for access, it is not per se clear that the employee wants to recei­ve all user-log­in data, data on access to a work­place, data on sett­le­ments in the can­teen, data on sala­ry payments, etc. A request for spe­ci­fi­ca­ti­on made by the employer could for exam­p­le lead to the cla­ri­fi­ca­ti­on, that the employee’s inte­rest is to under­stand or veri­fy to whom his per­for­mance assess­ment has been pas­sed on. Wit­hout request for spe­ci­fi­ca­ti­on, the employee would recei­ve a lar­ge quan­ti­ty of infor­ma­ti­on, wit­hout having an inte­rest in most of the data. At the same time, the employer would need to give infor­ma­ti­on on the dif­fe­rent con­texts of pro­ce­s­sing which could con­cern the employee in order to allow the employee to spe­ci­fy the request sensibly.

Eine Klar­stel­lung betrifft den Fall, dass sich ein Aus­kunfts­be­geh­ren auf Daten bezieht, die zur Löschung vor­ge­se­hen sind – in die­sem Fall darf der Ver­ant­wort­li­che die ent­spre­chen­den Daten län­ger bear­bei­ten, damit er die Aus­kunfts­pflicht abklä­ren kann, auf Basis von Art. 6 Abs. 1 lit. c DSGVO, d.h. zur Erfül­lung einer Rechtspflicht.

Gestri­chen wur­de die frü­he­re Aus­sa­ge mit Bezug auf eine frü­he­re Aus­kunft gestützt auf eine sek­to­ri­el­le Rege­lung: hier müs­se der Ver­ant­wort­li­che prü­fen, ob das spä­te­re Aus­kunfts­be­geh­ren nach der DSGVO bereits erfüllt wur­de. Die­se Strei­chung kann aller­dings nicht bedeu­ten, dass eine frü­he­re Beaus­kunftung – um die­sen unschö­nen Aus­druck zu ver­wen­den – nicht beacht­lich wäre, bspw. bei der Prü­fung, ob ein Aus­kunfts­be­geh­ren unbe­grün­det oder exzes­siv ist.

Auf­ge­nom­men wur­de fer­ner die Recht­spre­chung des EuGH, wonach das Aus­kunfts­recht wenn mög­lich die ein­zel­nen Emp­fän­ger (nicht nur Kate­go­rien) umfasst. Wenn der Betrof­fe­ne das Aus­kunfts­ge­such dies­be­züg­lich nicht beschränkt, müs­sen des­halb grund­sätz­lich alle Emp­fän­ger genannt wer­den – das muss der Betrof­fe­ne mit ande­ren Wor­ten nicht aus­drück­lich ver­lan­gen. Dass es u.U. sehr vie­le Emp­fän­ger sind, mache das Gesuch dabei nicht grund­sätz­lich exzessiv.

Zum For­mat der Aus­kunft sieht Art. 15 Abs. 3 DSGVO vor, dass die Kopie der Daten bei elek­tro­ni­schen Begeh­ren “in einem gän­gi­gen elek­tro­ni­schen For­mat” zur Ver­fü­gung stel­len muss. Hier prä­zi­siert der EDSA,

In order to deter­mi­ne what for­mat is to be con­side­red as a com­mon­ly used for­mat in the situa­ti­on at hand, the con­trol­ler will have to assess if the­re are spe­ci­fic for­mats gene­ral­ly used in the controller’s area of ope­ra­ti­on or in the given con­text. When the­re are no such for­mats gene­ral­ly used, open for­mats set in an inter­na­tio­nal stan­dard, such as ISO, should, in gene­ral, be con­side­red as com­mon­ly used elec­tro­nic for­mats. Howe­ver, the EDPB does not exclude the pos­si­bi­li­ty that other for­mats may also be con­side­red to be com­mon­ly used within the mea­ning of Artic­le 15(3). When asses­sing if a for­mat is a com­mon­ly used elec­tro­nic for­mat, the EDPB con­siders that it is of importance how easi­ly the indi­vi­du­al can access infor­ma­ti­on pro­vi­ded in the cur­rent for­mat. In this regard it should be noted what infor­ma­ti­on the con­trol­ler has pro­vi­ded to the data sub­ject about how to access a file which has been pro­vi­ded in a spe­ci­fic for­mat, such as what pro­grams or soft­ware that could be used, to make the for­mat more acce­s­si­ble to the data subject.The data sub­ject should, howe­ver, not be obli­ged to buy soft­ware in order to get access to the information.

Zur Ein­hal­tung der Frist bei der Aus­kunfts­er­tei­lung ergänzt der EDSA in einer neu­en Fuss­no­te, dass ggf. natio­na­les Recht über den Zugang und loka­le Fei­er­ta­ge zu beach­ten ist.

Die Leit­li­ni­en ver­wei­sen fer­ner auf das hän­gi­ge EuGH-Ver­fah­ren Rs. C‑487/21, bei dem das Bun­des­ver­wal­tungs­ge­richt Öster­reichs fol­gen­de Fra­gen vor­ge­legt hat

  1. Ist der Begriff der „Kopie“ in Art 15 Abs. 3 [DSGVO] dahin­ge­hend aus­zu­le­gen, dass damit eine Foto­ko­pie bzw. ein Fak­si­mi­le oder eine elek­tro­ni­sche Kopie eines (elek­tro­ni­schen) Datums gemeint ist, oder fällt dem Begriffs­ver­ständ­nis deut­scher, fran­zö­si­scher und eng­li­scher Wör­ter­bü­cher fol­gend unter den Begriff auch eine „Abschrift“, un „dou­ble“ („dupli­ca­ta“) oder ein „tran­script“?
  2. Ist Art 15 Abs. 3 Satz 1 DSGVO, wonach „der Ver­ant­wort­li­che eine Kopie der per­so­nen­be­zo­ge­nen Daten, die Gegen­stand der Ver­ar­bei­tung sind“, zur Ver­fü­gung stellt, dahin­ge­hend aus­zu­le­gen, dass dar­in ein all­ge­mei­ner Rechts­an­spruch einer betrof­fe­nen Per­son auf Aus­fol­gung einer Kopie – auch – gesam­ter Doku­men­te ent­hal­ten ist, in denen per­so­nen­be­zo­ge­ne Daten der betrof­fe­nen Per­son ver­ar­bei­tet wer­den, bzw. auf Aus­fol­gung einer Kopie eines Daten­bank­aus­zu­ges bei Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten in einer sol­chen, oder besteht damit – nur – ein Rechts­an­spruch für die betrof­fe­ne Per­son auf ori­gi­nal­ge­treue Repro­duk­ti­on der nach Art 15 Abs. 1 DSGVO zu beaus­kunften­den per­so­nen­be­zo­ge­nen Daten?
  3. Für den Fall, dass die Fra­ge 2 dahin­ge­hend beant­wor­tet wird, dass nur ein Rechts­an­spruch für die betrof­fe­ne Per­son auf ori­gi­nal­ge­treue Repro­duk­ti­on der nach Art 15 Abs. 1 DSGVO zu beaus­kunften­den per­so­nen­be­zo­ge­nen Daten besteht, ist Art 15 Abs. 3 Satz 1 DSGVO dahin­ge­hend aus­zu­le­gen, dass es, bedingt durch die Art der ver­ar­bei­te­ten Daten (zum Bei­spiel in Bezug auf die im Erwä­gungs­grund 63 ange­führ­ten Dia­gno­sen, Unter­su­chungs­er­geb­nis­se, Befun­de oder auch Unter­la­gen im Zusam­men­hang mit einer Prü­fung im Sin­ne des Urteils des Gerichts­hofs vom 20. Dezem­ber 2017, Nowak) und das Trans­pa­renz­ge­bot in Art 12 Abs. 1 DSGVO, im Ein­zel­fall den­noch erfor­der­lich sein kann, auch Text­pas­sa­gen oder gan­ze Doku­men­te der betrof­fe­nen Per­son zur Ver­fü­gung zu stellen?
  4. Ist der Begriff „Infor­ma­tio­nen“, die nach Art 15 Abs. 3 Satz 3 DSGVO der betrof­fe­nen Per­son dann, wenn die­se den Antrag elek­tro­nisch stellt, „in einem gän­gi­gen elek­tro­ni­schen For­mat zur Ver­fü­gung zu stel­len“ sind, „sofern sie nichts ande­res angibt“, dahin­ge­hend aus­zu­le­gen, dass damit allein die in Art 15 Abs. 3 Satz 1 genann­ten „per­so­nen­be­zo­ge­nen Daten, die Gegen­stand der Ver­ar­bei­tung sind“ gemeint sind? 
    • a) Falls die Fra­ge 4 ver­neint wird: Ist der Begriff „Infor­ma­tio­nen“, die nach Art 15 Abs. 3 Satz 3 DSGVO der betrof­fe­nen Per­son dann, wenn die­se den Antrag elek­tro­nisch stellt, „in einem gän­gi­gen elek­tro­ni­schen For­mat zur Ver­fü­gung zu stel­len“ sind, „sofern sie nichts ande­res angibt“, dahin­ge­hend aus­zu­le­gen, dass dar­über hin­aus auch die Infor­ma­tio­nen gemäß Art 15 Abs. 1 Buchst. a) bis h) DSGVO gemeint sind?
    • b) Falls auch die Fra­ge 4 a) ver­neint wird: Ist der Begriff „Infor­ma­tio­nen“, die nach Art 15 Abs. 3 Satz 3 DSGVO der betrof­fe­nen Per­son dann, wenn die­se den Antrag elek­tro­nisch stellt, „in einem gän­gi­gen elek­tro­ni­schen For­mat zur Ver­fü­gung zu stel­len“ sind, „sofern sie nichts ande­res angibt“, dahin­ge­hend aus­zu­le­gen, dass damit über die „per­so­nen­be­zo­ge­nen Daten, die Gegen­stand der Ver­ar­bei­tung sind“ sowie über die in Art. 15 Abs. 1 Buchst. a) bis h) DSGVO genann­ten Infor­ma­tio­nen hin­aus bei­spiels­wei­se dazu­ge­hö­ren­de Meta­da­ten gemeint sind?

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter