Die Empfehlungen sind das Ergebnis einer koordinierten Aufsichtsmaßnahmen der Europäischen Union, an der 30 Datenschutzbehörden beteiligt waren.
Im Jahr 2024 nahm die Nationale Datenschutzkommission (CNPD) am Coordinated Enforcement Framework (CEF) der Europäischen Union teil, an dem dreißig Datenschutzbehörden (APD) aus ganz Europa beteiligt waren, die koordinierte Untersuchungen durchführten, um die Einhaltung des Auskunftsrechts durch die für die Datenverarbeitung Verantwortlichen zu bewerten , d. h. die Antwort, die den betroffenen Personen gegeben wird, wenn sie alle Informationen über die Verarbeitung ihrer Daten erfahren möchten.
Zu diesem Zweck wurden in einigen Fällen förmliche Ermittlungen eingeleitet, die Notwendigkeit solcher Untersuchungen beurteilt und Untersuchungen zur Tatsachenermittlung durchgeführt. Insgesamt reagierten 1.185 Datenverantwortliche, darunter kleine und mittlere Unternehmen, Großunternehmen aus verschiedenen Branchen sowie mehrere öffentliche Einrichtungen, auf die Aktion.
Der im Januar 2025 vom Europäischen Datenschutzausschuss (EDSA) genehmigte Bericht fasst die Ergebnisse der koordinierten Maßnahmen zusammen und enthält einige Empfehlungen zur Erleichterung der Anwendung des Zugangsrechts. Bemerkenswert ist der Bekanntheitsgrad der CEPD-Leitlinien 01/2022 zu den Rechten der betroffenen Personen und zur Anwendung dieser Leitlinien unter den für die Datenverarbeitung Verantwortlichen .
Die Ergebnisse deuten darauf hin, dass das Bewusstsein für die EDPB-Leitlinien 01/2022 sowohl auf nationaler als auch auf europäischer Ebene geschärft werden muss. Diese Leitlinien sind von entscheidender Bedeutung, da sie den Verantwortlichen bei der Ausübung des Auskunftsrechts helfen. Sie erläutern, wie die Ausübung dieses Rechts erleichtert werden kann, und führen die damit verbundenen Ausnahmen und Beschränkungen auf.
In der koordinierten Aufsichtsmaßnahmen (CEF) 2024 wurden sieben Hauptherausforderungen ermittelt. Dazu gehören das Fehlen dokumentierter interner Verfahren für den Umgang mit Zugangsanträgen, inkonsistente Auslegungen der Beschränkungen des Zugangsrechts, Hindernisse für Einzelpersonen bei der Ausübung ihres Rechts, strenge formale Anforderungen oder die Anforderung übermäßiger Dokumentation. Zu jeder ermittelten Herausforderung enthält der Bericht eine Liste mit nicht verbindlichen Empfehlungen, die von den Verantwortlichen und Datenschutzbehörden berücksichtigt werden sollten.
Trotz der Herausforderungen bewerteten zwei Drittel der teilnehmenden Datenschutzbehörden den Grad der Einhaltung des Auskunftsrechts durch die für die Datenverarbeitung Verantwortlichen als „mittel“ bis „hoch“. Ein wichtiger Faktor, der den Grad der Einhaltung der Vorschriften beeinflusst, ist die Menge der eingehenden Zugriffsanfragen und die Größe der einzelnen Einheiten. Organisationen, die in großem Umfang Anfragen verarbeiten oder eine größere Anzahl von Anfragen erhalten, weisen im Vergleich zu kleinen Unternehmen mit begrenzten Ressourcen tendenziell ein höheres Maß an Compliance auf.
Der Bericht hob auch positive Praktiken in ganz Europa hervor, darunter die Einführung benutzerfreundlicher Online-Formulare, mit denen die Bürger auf vereinfachte Weise Zugriffsanfragen einreichen können, sowie Self-Service-Systeme, mit denen die Bürger ihre persönlichen Daten jederzeit mit nur wenigen Klicks herunterladen können.
Die CEF ist eine Schlüsselaktivität des Europäischen Komitees im Rahmen seiner Strategie 2024–2027, die darauf abzielt, die Forschung und Zusammenarbeit zwischen den Datenschutzbehörden zu stärken.
In Portugal beteiligte sich die Nationale Datenschutzkommission (CNPD) an dieser gemeinsamen Aktion, und zwar mithilfe eines detaillierten Fragebogens zu den Verfahren und Praktiken von Organisationen in Bezug auf das Zugangsrecht, allerdings nur im privaten Sektor, da der Fragebogen im Jahr 2022 ausschließlich auf den öffentlichen Sektor und auf Cloud-Computing-basierte Dienste ausgerichtet war und im Jahr 2023 die Position von Datenschutzbeauftragten behandelt wurde; beide Sektoren wurden abgedeckt.
Dabei wurde eine Diversifizierung der Wirtschaftsbereiche angestrebt und dabei insbesondere die an den Maßnahmen 2022 und 2023 beteiligten Branchen, die wiederkehrenden Beschwerden bzw. Auskunftsersuchen betroffener Personen sowie die von der Verarbeitung erfassten Datenkategorien berücksichtigt. Die CNPD beabsichtigt , im Laufe des Jahres 2025 zu ganz bestimmten Aspekten Vor-Ort -Kontrollen durchzuführen und dabei insbesondere die Antworten auf die ausgefüllten Fragebögen zu prüfen. Diese können im Rahmen der Feststellung einer möglichen Haftung für Ordnungswidrigkeiten zu korrigierenden Sanktionsmaßnahmen und/oder der Verhängung von Geldbußen führen.