Die Guidelines 01/2022 beinhalten ein Executive Summary und gehen im Hauptteil auf folgende Themenbereiche ein:
1) Introduction - general observations
2) Aim of the right of access, structure of Article 15 GDPR and general principles
3) General considerations regarding the assessment of access requests
4) Scope of the right of access and the personal data and information to which it refers
5) How can a controller provide access?
6) Limits and restrictions of the right of access
Der EDSA hält in den oben genannten Guidelines u.a. folgende Aussagen bzw. Klarstellungen fest:
a) Zweck: Mit dem Auskunftsrecht soll die Einhaltung (nur) datenschutzrechtlicher Vorgaben überprüft werden können:
„The overall aim of the right of access is to provide individuals with sufficient, transparent and easily accessible information about the processing of their personal data so that they can be aware of and verify the lawfulness of the processing and the accuracy of the processed data. This will make it easier - but is not a condition - for the individual to exercise other rights such as the right to erasure or rectification
(...)
The controller will have to deal with the request unless it is clear that the request is made under other rules than data protection rules" (vgl. S. 2).
b) Abgrenzung: Das Auskunftsrecht gemäss DSGVO ist von vergleichbaren nicht-datenschutzrechtlichen Ansprüchen abzugrenzen:
„The right of access according to data protection law is to be distinguished from similar rights with other objectives, for example the right of access to public documents which aims at guaranteeing transparency in public authorities’ decision-making and good administrative practice“ (vgl. S. 2).
In der schweizerischen Rechtsordnung wären z.B. die nicht-datenschutzrechtlichen Ansprüche nach Art. 400 OR (Rechenschaftspflicht des Beauftragten) sowie nach Art. 72 FIDLEG (Herausgabe von Dokumenten) vom Auskunftsrecht gemäss Art. 8 DSG bzw. Art. 25 revDSG abzugrenzen.
c) Kein absoluter Anspruch/Einschränkungen: Das Auskunftsrecht stellt keinen absoluten Anspruch dar; folgende Einschränkungsgründe müssen berücksichtigt werden:
„The right of access is subject to the limits that result from Art. 15(4) GDPR (rights and freedoms of others) and Art. 12 (5) GDPR (manifestly unfounded or excessive requests). Furthermore, Union or Member State law may restrict the right of access in accordance with Art. 23 GDPR. Derogations regarding the processing of personal data for scientific, historical research or statistical purposes or archiving purposes in the public interest can be based on Art. 89(2) and Art. 89(3) GDPR accordingly and for processing carried out for journalistic purposes or the purpose of academic artistic or literary expression on Art. 85(2) GDPR“ (vgl. S. 49)
d) Abwicklung: Der Anhang der Guidelines 01/2022 enthält mehrere Flussdiagramme mit einem möglichen Vorgehen für die Abwicklung von eingegangenen Auskunftsgesuchen. Dabei wird zwischen folgenden Schritten unterschieden:
Step 1: How to interpret and assess the request?
Step 2: How to answer the request?
Step 3: Checking limits and restrictions
Die vorliegenden Guidelines geben die Auffassung des EDSA wieder; es handelt sich dabei insbesondere um „allgemeine Leitlinien“ um „Klarheit hinsichtlich der Begriffe in den europäischen Datenschutzgesetzen“ zu fördern. Sie beziehen sich ausschliesslich auf die DSGVO und nicht auf das schweizerische Datenschutzgesetz (DSG).
Michal Cichocki
30.01.2022
Europäischer Datenschutzausschuss (EDSA/EDPB): Guidelines 01/2022 zum Auskunftsrecht gemäss Art. 15 DSGVO zur öffentlichen Konsultation publiziert
Am 28. Januar 2022 veröffentlichte der Europäische Datenschutzausschuss (EDSA/EDPB) seine Guidelines 01/2022 zum Auskunftsrecht gemäss Art. 15 DSGVO (Guidelines 01/2022 on data subject rights - right of access) in der Version 1.0. Dabei handelt es sich um eine Version für die öffentliche Konsultation, die bis 11. März 2022 dauert.