Die englische Aufsichtsbehörde ICO hat einen detaillierten Leitfaden zum Umgang mit Betroffenenbegehren veröffentlicht.
Der Leitfaden enthält bspw. auch Ausführungen dazu, welche Anstrengungen von Unternehmen bei der Suche nach Personendaten des Betroffenen erwartet werden:
- Daten in Archiv- und Backupsystemen seien grundsätzlich zu durchsuchen, auch wenn die Möglichkeiten eingeschränkter sind als bei Produktivsystemen (wobei sich hier im Umsetzungsrecht Ausnahmen finden können, wie bspw. in § 34 Abs. 1 Ziff. 2 des deutschen BDSG). Dagegen muss ein Unternehmen nicht versuchen, gelöschte Daten wiederherzustellen (was auf den Löschbegriff zurückwirkt, denn die Löschung muss nur dazu führen, dass Personendaten unter den gegebenen Umständen nicht wiederherstellbar sind, eine theoretische Wiederherstellbarkeit schadet nicht – ein Auskunftsbegehren beeinflusst diesen Standard nicht, wenn eine Wiederherstellung nicht verlangt ist).
- Bei E‑Mails: Wenn eine Suche 2000 E‑Mails ergibt, bei denen der Betroffene in Kopie war, genügt eine entsprechende Mitteilung ohne Kopie der E‑Mails. Sofern sich der Inhalt der Mails aber ebenfalls auf den Betroffenen bezieht, hat dieser Anspruch auf eine Kopie (ggf. geschwärzt). Was das ICO nicht anspricht, ist die Frage, unter welchen Umständen Mitarbeiter überhaupt ein Recht auf eine Kopie von E‑Mails hat, dazu vgl. Berlin; LG Köln; LG Heidelberg; und Hessen; vgl. auch das Urteil A3/2015/3077 des englischen Court of Appeal vom 16. Februar 2017 betr. Unverhältnismässigkeit des Aufwands).
Interessant ist auch die Bestätigung, dass die Auskunftsfrist bei berechtigten Rückfragen des Verantwortlichen bei der betroffenen Person zum genaueren Gegenstand eines Auskunftsbegehrens anhält:
This means that you do not need to provide the individual with a copy of the information, or any of the supplementary information that you cannot reasonably provide, unless you have obtained clarification.