DatenschutzWoche vom 24.01.2022

European Data Protection Board: Was bereits über die Leitlinien zum Auskunftsrecht bekannt ist

Sowohl das European Data Protection Board (EDPB) als auch der Bundesdatenschutzbeauftragte (BfDI) und einige weitere europäische Datenschutzaufsichtsbehörden haben in der vergangenen Woche mitgeteilt, dass das EDPB in seiner Januar-Sitzung Leitlinien zum Recht aus Auskunft nach Art. 15 DSGVO verabschiedet hat. Veröffentlicht sind diese jedoch noch nicht.

Die Pressemitteilung des BfDI enthält aber einige wenige Informationen zum Inhalt. So sollen die Leitlinien insbesondere festlegen, „[…] welche Daten vom Auskunftsrecht erfasst sind und dass Betroffenen im Regelfall eine Kopie der Daten und nicht nur eine Zusammenfassung zu übergeben ist.“ Darüber hinaus soll es auch Empfehlungen zur Identifikation von Betroffenen geben, wobei insbesondere die Frage im Mittelpunkt stehen dürfte, wo die Grenze zwischen notwendiger Identifikation und unzulässiger Abschreckung verläuft.

Absehbar und wenig überraschend sind die Aufsichtsbehörden der Auffassung, dass die Motivation hinter dem Auskunftsersuchen kein Kriterium für die Erfüllung des Auskunftsanspruchs ist. Dies hatten zuletzt beispielsweise das Landgericht Frankenthal mit Urteil vom 12.01.2021, Az. 1 HK O 4/19 (beck-online) oder das Landesarbeitsgericht Sachsen mit Urteil vom 17.02.2021, Az. 2 Sa 63/20 (Volltext) anders beurteilt. Schon jetzt ist also klar, dass die Leitlinien des EDPB die Rechtsunsicherheiten beim Recht auf Auskunft nicht beseitigen werden.

Protokoll der 102. Datenschutzkonferenz veröffentlicht

Die Datenschutzaufsichtsbehörden des Bundes und Länder haben das Protokoll zur 102. Datenschutzkonferenz (DSK), die am 24. und 25. November 2021 per Videokonferenz stattgefunden hat, veröffentlicht. Wie schon in der Vergangenheit bietet das Protokoll einen interessanten Einblick in die aktuelle Tätigkeit der Aufsichtsbehörden. In TOP 4 ist zum Beispiel zu erfahren, dass das EDBP einen Musterbescheid für die 101 Beschwerden von NYOB vorbereitet hat, der jedoch nicht die erforderliche Mehrheit erreicht hat, um als einheitliche Grundlage angenommen zu werden.

Unter TOP 9 hat sich die DSK weiter mit der Frage beschäftigt, ob Datenschutzaufsichtsbehörden die Öffentlichkeit in Form einer Produktwarnung proaktiv über Produkte zur Datenverarbeitung informieren dürfen. Die von einer ad-hoc-Arbeitsgruppe erstellten internen Hinweise hierzu hat die DSK einstimmig zur Kenntnis genommen.

Unter TOP 19 berichtet die Berliner Datenschutzaufsicht außerdem, dass das mit Spannung erwartete Gutachten zur Rechtslage in den USA nunmehr in finaler Form vorliegt. Entgegen der Ankündigung der Berliner Behörde wurde das Gutachten jedoch bisher nicht veröffentlicht.

Zu den erwähnten Dokumenten wurden bereits folgende IFG-Anfragen gestellt:

• Musterbescheid der Task Force für die NOYB-Beschwerden
• Interne Hinweise zu Anforderungen an die proaktive Information der Öffentlichkeit über Produkte zur Datenverarbeitung
• Gutachten zur Rechtslage in den USA

Internationale Nachrichten

• Italien: Die bereits im Juni letzten Jahres verabschiedeten Cookie-Leitlinien der italienischen Datenschutzaufsichtsbehörde „Garante per la protezione dei dati personali“ (Garante) sind am 9. Januar 2022 in Kraft getreten.
• Portugal: Die portugiesische Datenschutzaufsicht CNPD hat gegen die Stadtverwaltung von Lissabon ein Bußgeld in von 1,25 Millionen Euro verhängt, weil diese ohne hinreichende Rechtsgrundlage, personenbezogene Daten der Anmelder von Demonstrationen verarbeitet hatte.
• Europa: Der Europäische Datenschutzbeauftragte hat eine Stellungnahme zu den europarechtlichen Anforderungen an die internationale Bekämpfung von Cybercrime und eine Stellungnahme zum Online-Targeting für politische Werbung abgegeben.

Aktuelle Gerichtsentscheidungen

• LG Frankenthal, Urteil vom 12.01.2021, Az. 1 HK O 4/19 (beck-online): Wird mit einer Widerklage ein Antrag auf Auskunft nach Art. 15 DSGVO verfolgt, ist die Widerklage unzulässig, jedenfalls aber unbegründet, wenn mit der Auskunft keine datenschutzrechtlichen Ziele verfolgt werden.
• BayObLG München, Beschluss vom 26.10.2021, Az. 202 StRR 126/21 (Volltext): Verurteilung zu einer Strafe von 90 Tagessätzen für das unbefugte Verschaffen von personenbezogenen Daten aus einem kommunalem Melderegister.
• Schleswig-Holsteinisches OVG, Urteil vom 25.11.2021, Az. 4 LB 20/13 (Volltext): Abweisung der Klage gegen die Deaktivierung der Facebook-Seite der Wirtschaftsakademie Schleswig-Holstein.
• LG Flensburg, Urteil vom 19.11.21, Az. 3 O 227/19 (Volltext): Die Anrufung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) führt nicht zu einer Hemmung der Verjährung, da das ULD keine Streitbeilegungsstelle im Sinne von § 204 Abs. 1 Nr. 4 BGB ist.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „EDSA beschließt Leitlinien zum Auskunftsrecht“ – Pressemitteilung vom 19.01.2022
• Datenschutzaufsicht Schleswig-Holstein: „Urteil des OVG Schleswig vom 25.11.2021, 4 LB 20/13: Anordnung zur Deaktivierung einer Fanpage im Jahr 2011 rechtmäßig“ – Meldung vom 19.01.2022
• Datenschutzkonferenz: Protokoll der 102. Datenschutzkonferenz am 24. und 25. November 2021