Der Europäische Datenschutzausschuss EDSA hat die auf den 28. März 2023 datierte finale Fassung der Leitlinien zum Auskunftsrecht veröffentlicht. Die vorgegangene Version stammte vom 18. Januar 2022 und war zur öffentlichen Konsultation aufgelegt. Ein Deltaview findet sich hier.
Die relevanten Änderungen betreffen nicht eine sich durchziehende konzeptionelle Frage, sondern einzelne Punkte:
Die Leitlinien enthalten ein hilfreiches neues Beispiel 5 im Zusammenhang mit Auskunftsbegehren im Arbeitsprozess. Der Arbeitgeber kann in diesem Fall nicht davon ausgehen, dass ein Auskunftsbegehren alle Daten meint, weshalb der Arbeitgeber zuerst eine Spezifizierung des Auskunftsbegehrens verlangen kann:
Example 5: In an employment relationship, in case of a generally formulated request for access, it is not per se clear that the employee wants to receive all user-login data, data on access to a workplace, data on settlements in the canteen, data on salary payments, etc. A request for specification made by the employer could for example lead to the clarification, that the employee’s interest is to understand or verify to whom his performance assessment has been passed on. Without request for specification, the employee would receive a large quantity of information, without having an interest in most of the data. At the same time, the employer would need to give information on the different contexts of processing which could concern the employee in order to allow the employee to specify the request sensibly.
Eine Klarstellung betrifft den Fall, dass sich ein Auskunftsbegehren auf Daten bezieht, die zur Löschung vorgesehen sind – in diesem Fall darf der Verantwortliche die entsprechenden Daten länger bearbeiten, damit er die Auskunftspflicht abklären kann, auf Basis von Art. 6 Abs. 1 lit. c DSGVO, d.h. zur Erfüllung einer Rechtspflicht.
Gestrichen wurde die frühere Aussage mit Bezug auf eine frühere Auskunft gestützt auf eine sektorielle Regelung: hier müsse der Verantwortliche prüfen, ob das spätere Auskunftsbegehren nach der DSGVO bereits erfüllt wurde. Diese Streichung kann allerdings nicht bedeuten, dass eine frühere Beauskunftung – um diesen unschönen Ausdruck zu verwenden – nicht beachtlich wäre, bspw. bei der Prüfung, ob ein Auskunftsbegehren unbegründet oder exzessiv ist.
Aufgenommen wurde ferner die Rechtsprechung des EuGH, wonach das Auskunftsrecht wenn möglich die einzelnen Empfänger (nicht nur Kategorien) umfasst. Wenn der Betroffene das Auskunftsgesuch diesbezüglich nicht beschränkt, müssen deshalb grundsätzlich alle Empfänger genannt werden – das muss der Betroffene mit anderen Worten nicht ausdrücklich verlangen. Dass es u.U. sehr viele Empfänger sind, mache das Gesuch dabei nicht grundsätzlich exzessiv.
Zum Format der Auskunft sieht Art. 15 Abs. 3 DSGVO vor, dass die Kopie der Daten bei elektronischen Begehren “in einem gängigen elektronischen Format” zur Verfügung stellen muss. Hier präzisiert der EDSA,
In order to determine what format is to be considered as a commonly used format in the situation at hand, the controller will have to assess if there are specific formats generally used in the controller’s area of operation or in the given context. When there are no such formats generally used, open formats set in an international standard, such as ISO, should, in general, be considered as commonly used electronic formats. However, the EDPB does not exclude the possibility that other formats may also be considered to be commonly used within the meaning of Article 15(3). When assessing if a format is a commonly used electronic format, the EDPB considers that it is of importance how easily the individual can access information provided in the current format. In this regard it should be noted what information the controller has provided to the data subject about how to access a file which has been provided in a specific format, such as what programs or software that could be used, to make the format more accessible to the data subject.The data subject should, however, not be obliged to buy software in order to get access to the information.
Zur Einhaltung der Frist bei der Auskunftserteilung ergänzt der EDSA in einer neuen Fussnote, dass ggf. nationales Recht über den Zugang und lokale Feiertage zu beachten ist.
Die Leitlinien verweisen ferner auf das hängige EuGH-Verfahren Rs. C‑487/21, bei dem das Bundesverwaltungsgericht Österreichs folgende Fragen vorgelegt hat
- Ist der Begriff der „Kopie“ in Art 15 Abs. 3 [DSGVO] dahingehend auszulegen, dass damit eine Fotokopie bzw. ein Faksimile oder eine elektronische Kopie eines (elektronischen) Datums gemeint ist, oder fällt dem Begriffsverständnis deutscher, französischer und englischer Wörterbücher folgend unter den Begriff auch eine „Abschrift“, un „double“ („duplicata“) oder ein „transcript“?
- Ist Art 15 Abs. 3 Satz 1 DSGVO, wonach „der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung stellt, dahingehend auszulegen, dass darin ein allgemeiner Rechtsanspruch einer betroffenen Person auf Ausfolgung einer Kopie – auch – gesamter Dokumente enthalten ist, in denen personenbezogene Daten der betroffenen Person verarbeitet werden, bzw. auf Ausfolgung einer Kopie eines Datenbankauszuges bei Verarbeitung der personenbezogenen Daten in einer solchen, oder besteht damit – nur – ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art 15 Abs. 1 DSGVO zu beauskunftenden personenbezogenen Daten?
- Für den Fall, dass die Frage 2 dahingehend beantwortet wird, dass nur ein Rechtsanspruch für die betroffene Person auf originalgetreue Reproduktion der nach Art 15 Abs. 1 DSGVO zu beauskunftenden personenbezogenen Daten besteht, ist Art 15 Abs. 3 Satz 1 DSGVO dahingehend auszulegen, dass es, bedingt durch die Art der verarbeiteten Daten (zum Beispiel in Bezug auf die im Erwägungsgrund 63 angeführten Diagnosen, Untersuchungsergebnisse, Befunde oder auch Unterlagen im Zusammenhang mit einer Prüfung im Sinne des Urteils des Gerichtshofs vom 20. Dezember 2017, Nowak) und das Transparenzgebot in Art 12 Abs. 1 DSGVO, im Einzelfall dennoch erforderlich sein kann, auch Textpassagen oder ganze Dokumente der betroffenen Person zur Verfügung zu stellen?
- Ist der Begriff „Informationen“, die nach Art 15 Abs. 3 Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass damit allein die in Art 15 Abs. 3 Satz 1 genannten „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ gemeint sind?
- a) Falls die Frage 4 verneint wird: Ist der Begriff „Informationen“, die nach Art 15 Abs. 3 Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass darüber hinaus auch die Informationen gemäß Art 15 Abs. 1 Buchst. a) bis h) DSGVO gemeint sind?
- b) Falls auch die Frage 4 a) verneint wird: Ist der Begriff „Informationen“, die nach Art 15 Abs. 3 Satz 3 DSGVO der betroffenen Person dann, wenn diese den Antrag elektronisch stellt, „in einem gängigen elektronischen Format zur Verfügung zu stellen“ sind, „sofern sie nichts anderes angibt“, dahingehend auszulegen, dass damit über die „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ sowie über die in Art. 15 Abs. 1 Buchst. a) bis h) DSGVO genannten Informationen hinaus beispielsweise dazugehörende Metadaten gemeint sind?