Im Jahr 2024 nahm die Datenschutzkommission (DPC) an der dritten koordinierten Aktion des Europäischen Datenschutzausschusses (EDSA) teil, bei der es um das Auskunftsrecht ging. Ziel dieser Aktion war es, den Bekanntheitsgrad und das Verständnis der EDSA-Leitlinien 01/2022 zum Auskunftsrecht bei den für die Datenverarbeitung Verantwortlichen zu ermitteln. Das Auskunftsrecht ist für den Datenschutz von grundlegender Bedeutung und eines der am häufigsten ausgeübten Rechte. Es ermöglicht Einzelpersonen zu überprüfen, ob Organisationen ihre personenbezogenen Daten gesetzeskonform verarbeiten.
Um zu dieser Initiative beizutragen, führte der DPC eine umfassende Informationsbeschaffungsmaßnahme durch, bei der er einen Fragebogen an 30 Organisationen aus verschiedenen Sektoren verteilte. Die eingegangenen Antworten wurden analysiert und in den nationalen Bericht des DPC aufgenommen, der dem vom EDPB veröffentlichten Hauptbericht beigefügt ist.
Zu den wichtigsten Ergebnissen des nationalen DPC-Berichts zählen
- Organisationen, die gut strukturierte Praktiken und Compliance-Teams für die Bearbeitung von Anträgen auf Auskunft über personenbezogene Daten (Subject Access Requests, SARs) etabliert haben, weisen das höchste Maß an Compliance und Bewusstsein für die Bestimmungen der DSGVO auf.
- Organisationen, die eine größere Menge an SARs erhielten, verfügten im Vergleich zu Organisationen mit nur wenigen Anfragen tendenziell über besser dokumentierte interne Prozesse zur Verwaltung dieser Anfragen.
- Organisationen, die automatisierte Workflow-Systeme, digitale Tools, Software oder Ticketsysteme einsetzen, konnten Zugriffsanfragen effizienter verwalten und verfolgen.
- Bei der Bestimmung des Umfangs der personenbezogenen Daten bei der Beantwortung eines SAR fielen uns bei den Befragten bewährte Vorgehensweisen auf, die eine Checkliste zur Aufbewahrung der personenbezogenen Daten befolgen. Dazu gehört auch die sinnvolle Verwendung von Verzeichnissen von Verarbeitungstätigkeiten (ROPAs), anhand derer sich feststellen lässt, ob neue Daten verarbeitet werden.
Sowohl der nationale DPC-Bericht als auch der EDPB-Bericht sind jetzt auf der EDPB-Website hier verfügbar .