Der Europäische Datenschutzausschuss (EDSA) ist umtriebig. Allein gestern hat dieser drei weitere Leitlinien zur Anwendung der EU-Datenschutz-Grundverordnung (DS-GVO) veröffentlicht. Diese sollen die einheitliche Anwendung der DS-GVO durch die nationalen Datenschutzbehörden sicherstellen.

Zuletzt hat auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, in einer Presseerklärung vom 19.01.2023 darüber informiert, dass der EDSA erst am 17.01.2023 Leitlinien zu den Betroffenenrechten der DS-GVO veröffentlicht hat.

Im Fokus steht dabei das Auskunftsrecht, mit dem Betroffene u.a. in Erfahrung bringen können, welche Daten Unternehmen und Behörden über sie gespeichert haben. Die Leitlinien legen insbesondere fest, welche Daten vom Auskunftsrecht erfasst sind und dass Betroffenen im Regelfall eine Kopie der Daten und nicht nur eine Zusammenfassung zu übergeben ist. Außerdem müssen die für die Datenverarbeitung Verantwortlichen angemessene Maßnahmen treffen, um Personen hinter Auskunftsersuchen zu identifizieren, damit keine unberechtigten Dritten an die Daten gelangen. Es dürfen aber auf der anderen Seite auch keine höheren Hürden aufgebaut werden, als für die Identifizierung erforderlich.

Ebenso darf ein Auskunftsersuchen beispielsweise nicht alleine unter Verweis auf einen hohen Bearbeitungsaufwand abgelehnt werden. Auch die Motivation hinter einem Auskunftsersuchen ist kein Kriterium für die Erfüllung des Auskunftsanspruchs. Die Leitlinien geben zusätzlich Hinweise und Beispiele, in welchen zeitlichen Abständen Betroffene das Auskunftsrecht gegenüber einem Unternehmen oder einer Behörde erneut geltend machen können, ohne dass ihr Ersuchen als exzessiv abgelehnt oder mit einer Gebühr belegt werden kann.

Die fehlende Beachtung dieser Leitlinien birgt selbstredend das Risiko von Verstößen gegen die DS-GVO und kann ein aufsichtsbehördliches Einschreiten und die Auferlegung ggf. empfindlicher Geldbußen zur Folge haben.

Unternehmen sollten daher dringend ihre Datenschutzkonzepte überprüfen und ggf. anpassen; erst recht vor dem Hintergrund der im letzten Jahr vom EDSA veröffentlichten – stark umsatzorientierten – Leitlinien zur Berechnung von Geldbußen bei Verstößen gegen die DS-GVO!

Zur Erinnerung: Die DS-GVO eröffnet – differenziert nach der Art des Verstoßes – einen Bußgeldrahmen von bis zu 10 Mio. bzw. 20 Mio. EUR oder 2 % bzw. 4 % des gesamten erzielten Jahresumsatzes des vergangenen Geschäftsjahres (Art. 83 Abs. 4 – 6 DS-GVO).

Ausblick:

Noch im laufenden Jahr kann mit der Veröffentlichung einer endgültigen Fassung der Bußgeldleitlinien des EDSA gerechnet werden. Der EDSA hat angekündigt, der finalen Fassung eine Referenztabelle beizufügen, die eine Reihe von Ausgangspunkten für die Bußgeldberechnung enthalten soll, bei denen die Schwere des Verstoßes mit dem Umsatz eines Unternehmens in Beziehung gesetzt wird.

Ebenfalls noch im laufenden Jahr dürfte eine Entscheidung des EuGH zum Vorlagebeschluss des Bundesarbeitsgerichts (BAG, NZA 2021, 1713) zu erwarten sein, das sich vertieft mit der Haftung und dem Recht auf Schadenersatz aus Art. 82 DS-GVO befasst hat und dabei von einer sehr weiten Auslegung von Art. 82 DS-GVO ausgeht. So soll bereits der bloße Verstoß gegen die Vorgaben der DS-GVO einen ersatzfähigen immateriellen Schaden begründen. Der 8. Senat des BAG verzichtet damit vollständig auf den Nachweis eines konkreten Schadens des Anspruchstellers (anders als etwa das OLG Düsseldorf in einem Beschluss vom 16.02.2021, Az. 16 U 269/20). Zudem setze die Haftung nach Art. 82 DS-GVO kein schuldhaftes Handeln des Verantwortlichen voraus, womit schon auf der Tatbestandsseite ungewöhnlich niedrige Anforderungen an die Geltendmachung von Schadensersatz wegen Datenschutzverstößen gestellt werden und was letztlich auf eine Art verschuldensunabhängige Gefährdungshaftung hinauslaufen würde.

Rechtsanwalt Jan Leue