Brüssel, 20. Januar – Der Europäische Datenschutzausschuss (EDSA) hat einen Bericht über die Umsetzung des Rechts auf Auskunft durch die für die Verarbeitung Verantwortlichen angenommen. Der Bericht fasst die Ergebnisse einer Reihe koordinierter nationaler Maßnahmen zusammen, die 2024 im Rahmen des Koordinierten Durchsetzungsrahmens (CEF) durchgeführt wurden. Es listet die Probleme auf, die für einige Verantwortliche beobachtet wurden, zusammen mit einer Reihe von Empfehlungen, um ihnen bei der Umsetzung des Zugangsrechts zu helfen. Ein zentrales Element ist die Sensibilisierung der für die Verarbeitung Verantwortlichen für die EDSA-Leitlinien 01/2022 zu den Rechten betroffener Personen – Auskunftsrecht und ob diese Leitlinien in der Praxis befolgt wurden.
Der stellvertretende Vorsitzende des EDSA, Zdravko Vukíc, erklärte: „Die Fazilität „Connecting Europe“ ist eine wertvolle Initiative zur Stärkung der Zusammenarbeit zwischen den Datenschutzbehörden: Indem sie ausgewählte Themen koordiniert angehen, erreichen sie mehr Effizienz und Konsistenz. Die Art und Weise, wie die für die Verarbeitung Verantwortlichen das Auskunftsrecht umsetzen, steht im Mittelpunkt des Datenschutzes und ist eines der am häufigsten ausgeübten Rechte betroffener Personen.“
Im Laufe des Jahres 2024 leiteten 30 Datenschutzbehörden in ganz Europa koordinierte Untersuchungen zur Einhaltung des Auskunftsrechts durch die für die Verarbeitung Verantwortlichen ein, indem sie förmliche Untersuchungen einleiteten, prüften, ob eine förmliche Untersuchung gerechtfertigt war, und/oder Tatsachenfeststellungen durchführten. Insgesamt 1185 Verantwortliche, bestehend aus kleinen und mittleren Unternehmen (KMU) und großen Unternehmen, die in verschiedenen Branchen und Bereichen tätig sind, sowie verschiedenen Arten von öffentlichen Einrichtungen, reagierten auf die Maßnahme.
Verbesserungsbereiche und Hauptherausforderungen
Die Ergebnisse deuten darauf hin, dass eine stärkere Sensibilisierung für die Leitlinien 01/2022 sowohl auf nationaler als auch auf EU-Ebene erforderlich ist, da die Leitlinien den für die Verarbeitung Verantwortlichen bei der Umsetzung des Auskunftsrechts helfen, erläutern, wie die Ausübung dieses Rechts erleichtert werden kann, und die Ausnahmen und Einschränkungen des Auskunftsrechts auflisten.
Als Ergebnis der CEF-Maßnahme 2024 wurden sieben Herausforderungen ermittelt. Eine davon ist das Fehlen dokumentierter interner Verfahren zur Bearbeitung von Zugriffsanfragen. Darüber hinaus wurden auch widersprüchliche und übermäßige Auslegungen der Grenzen des Zugangsrechts beobachtet, wie etwa die übermäßige Berufung auf bestimmte Ausnahmen, um Zugangsanträge automatisch abzulehnen. Ein weiteres Beispiel sind die Hindernisse, auf die Einzelpersonen bei der Ausübung ihres Rechts auf Zugang stoßen könnten, wie z. B. formale Anforderungen oder die Anforderung, übermäßige Ausweisdokumente vorzulegen. Für jede ermittelte Herausforderung enthält der Bericht eine Liste unverbindlicher Empfehlungen, die von den für die Verarbeitung Verantwortlichen und den Datenschutzbehörden zu berücksichtigen sind.
Positive Ergebnisse
Trotz der bestehenden Herausforderungen bewerteten zwei Drittel der teilnehmenden Datenschutzbehörden den Grad der Konformität der antwortenden Verantwortlichen in Bezug auf das Recht auf Zugang von „durchschnittlich“ bis „hoch“. Ein wichtiger Faktor, der sich auf die Einhaltung der Vorschriften auswirkte, war das Volumen der Zugangsanträge, die die für die Verarbeitung Verantwortlichen erhielten, sowie die Größe der Organisation. Insbesondere erreichten große Verantwortliche oder Verantwortliche, die mehr Anfragen erhielten, mit größerer Wahrscheinlichkeit ein höheres Compliance-Niveau als kleine Organisationen mit weniger Ressourcen.
Positive Ergebnisse wurden in ganz Europa beobachtet. Dazu gehören die Umsetzung bewährter Verfahren durch die für die Verarbeitung Verantwortlichen, wie benutzerfreundliche Online-Formulare, die es Einzelpersonen ermöglichen, einen Zugangsantrag einfach einzureichen, sowie Self-Service-Systeme, mit denen Einzelpersonen ihre personenbezogenen Daten mit wenigen Klicks und jederzeit autonom herunterladen können.
Hintergrund und nächste Schritte
Die CEF ist eine Schlüsselmaßnahme des EDSA im Rahmen seiner Strategie 2024-2027, mit der die Durchsetzung und Zusammenarbeit zwischen den Datenschutzbehörden gestrafft werden sollen.
In den letzten drei Jahren wurden zwei frühere CEF-Maßnahmen durchgeführt.
Die Ergebnisse dieser nationalen Maßnahmen werden aggregiert und zusammen analysiert, um einen tieferen Einblick in das Thema zu erhalten und gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene zu ermöglichen.
Im Jahr 2023 veröffentlichte der EDSA den Bericht über seine erste koordinierte Maßnahme zur Nutzung cloudbasierter Dienste durch den öffentlichen Sektor.
Im Jahr 2024 veröffentlichte der EDSA auch den Bericht über die Ergebnisse der zweiten koordinierten Maßnahme zur Benennung und Position von Datenschutzbeauftragten.
Die Maßnahme der Fazilität „Connecting Europe 2025“ betrifft die Umsetzung des Rechts auf Löschung.
Die hier veröffentlichte Pressemitteilung wurde automatisch aus dem Englischen übersetzt. Der EDSA übernimmt keine Gewähr für die Richtigkeit der Übersetzung. Bitte beachten Sie den offiziellen Text in seiner englischen Fassung, falls Zweifel bestehen.