Das Coordinated Enforcement Framework (CEF) wurde im Jahr 2020 durch den Europäischen Datenschutzausschuss (EDSA) gegründet, um die Kooperation der Aufsichtsbehörden in Europa, die einheitliche Durchsetzung der Datenschutz-Grundverordnung (DS-GVO) und die Arbeiten des EDSA zu fördern.

Im Jahr 2024 hat der EDSA die Umsetzung des Auskunftsrechts als Thema seiner dritten koordinierten Aktion ausgewählt. Das Auskunftsrecht ermöglicht es Einzelpersonen zu überprüfen, ob ihre personenbezogenen Daten von Organisationen gesetzeskonform verarbeitet werden. Es ist eines der wichtigsten und am häufigsten ausgeübten Rechte der Bürgerinnen und Bürger und fungiert regelmäßig als eine Art Türöffner für die Ausübung anderer Betroffenenrechte, etwa des Rechts auf Berichtigung und Löschung. Oft münden die entsprechenden Vorgänge in Beschwerden bei den Datenschutzaufsichtsbehörden.

In Deutschland beteiligten sich neben dem LfDI Rheinland-Pfalz die Landesdatenschutzaufsichtsbehörden aus Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Saarland und Schleswig-Holstein sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und prüften insgesamt 116 Verantwortliche. Insgesamt werteten die beteiligten 30 Aufsichtsbehörden auf EU-Ebene Angaben von 1.185 Verantwortlichen aus.

Am 16. Januar 2025 hat der Europäische Datenschutzausschuss seinen Bericht zu den Ergebnissen der im Jahr 2024 durchgeführten CEF-Aktion verabschiedet. Der Bericht beleuchtet positive Erkenntnisse und Best Practices, identifiziert aber auch Nachbesserungsbedarf und weiterhin bestehende Herausforderungen. Die für Rheinland-Pfalz wichtigsten Punkte sind im Folgenden zusammengefasst.

Positive Erkenntnisse

• Die Leitlinien 01/2022 zum Auskunftsrecht haben sich insbesondere bei nichtöffentlichen Verantwortlichen als wertvolles Instrument erwiesen. Bei vielen Verantwortlichen wurden Geschäftsprozesse und Praktiken etabliert, die in den Leitlinien empfohlen wurden: z.B. die Einführung von Antrags-Formularen oder die interne Schulung der Mitarbeitenden, um ein reibungsloses Auskunftsverfahren sicherzustellen.
• Verantwortliche haben ihre Prozesse zur Gewährleistung des Auskunftsrechts durch technische Lösungen optimiert, z.B. durch Nutzung von spezieller Software oder Anwendungen, um die Auskunftsanträge und die Prozesse zur Gewährleistung der Auskünfte zu managen und nicht zuletzt auch zu dokumentieren.  
• Als Best Practices wurde identifiziert, dass zum Zwecke der Gewährleistung einer umfassenden und zeitnahen Auskunft in den einzelnen Abteilungen zuständige Personen festgelegt wurden, die mit den Anträgen umgehen sollen. Bei anderen Verantwortlichen wurde ein Team etabliert, dass für die Zusammenstellung der Informationen und Gewährleistung des Auskunftsrechts zuständig ist - bis hin zur Eskalation in die Rechtsabteilung hinein oder zum Datenschutzbeauftragten hin.
• Eine besonders betroffenenfreundliche Umsetzung des Auskunftsrechts erfolgt bei vielen Verantwortlichen durch die Zurverfügungstellung von Formularen, um die Geltendmachung des Auskunftsrechts für die betroffenen Personen zu erleichtern und gleichzeitig sicherzustellen, dass alle relevanten Informationen von der betroffenen Person mitgeteilt werden. Außerdem wurden bei einigen Verantwortlichen die Möglichkeit der Nutzung von Self-Service Portalen etabliert, in denen die Daten heruntergeladen werden können, um das Recht auf Auskunft effektiv und fristgerecht zu behandeln (mit Verifizierungstool) .
• Einige Verantwortliche stellen den betroffenen Personen ergänzende Informationen zur Verfügung, um die beauskunfteten Daten zu erläutern; besonders dann, wenn ganze Datensätze oder Kopien von Originaldaten zur Verfügung gestellt werden.
• Durch Veröffentlichung der in Bezug auf das Auskunftsrecht etablierten Geschäftsprozesse auf der Webseite schaffen Verantwortliche eine stärkere Transparenz für die betroffenen Personen.

Nachbesserungsbedarf und Empfehlungen

• Die Reichweite des Auskunftsrechts wurde in den vergangenen Jahren durch Rechtsprechung des EuGHs und durch die Leitlinien des EDSA stärker konkretisiert. Trotzdem sind sich viele Verantwortliche der Reichweite und Bedeutung des Betroffenenrechts nicht bewusst. Dies hat vielerorts zur Folge, dass das Recht in unzulässiger Weise beschnitten wird, z.B. indem nicht alle Datenkategorien beauskunftet werden oder keine vollständigen Kopien zur Verfügung gestellt werden, obwohl dies zur Kontextualisierung der Daten erforderlich wäre.
• Auskunftsanträge und begleitende Kommunikation sollten nicht mit den sonstigen Geschäfts- oder Verwaltungsvorgängen, die die betroffene Person betreffen, aufbewahrt werden. Dies ist bei vielen Verantwortlichen festgestellt worden mit der Konsequenz, dass diese Informationen zu langen Speicherfristen unterlagen und der Zugriff nicht dem Zweck entsprechend begrenzt wurde.
• Insbesondere bei kleinen Unternehmen und Behörden wurde festgestellt, dass keine internen Geschäftsprozesse zur Gewährleistung des Auskunftsrechts etabliert wurden. Dies kann dazu führen, dass Auskünfte falsch eingeordnet und verspätet erteilt werden.
• Einige Verantwortliche stellten zum Teil unzulässige Hürden für die Geltendmachung des Auskunftsrechts auf, etwa indem pauschal Zusatzinformationen oder im Einzelfall nicht erforderliche Identifikationsdokumente bei der betroffenen Person angefordert wurden.
• Die gesetzlichen Einschränkungen des Auskunftsrechts werden von vielen Verantwortlichen zu extensiv ausgelegt. So wurden Auskunftsanträge bereits dann als offenkundig unbegründet abgelehnt, wenn die Anträge zu unpräzise waren, hohe Kosten verursachten oder damit andere Ziele verfolgt werden als die des Datenschutzes. Dies steht nicht im Einklang mit der betreffenden Rechtsprechung des EuGHs.
• Viele Datenschutzaufsichtsbehörden haben festgestellt, dass in dem Fall eines unspezifischen Auskunftsantrags um Präzisierung gebeten wird, wenn gar keine große Menge von Daten verarbeitet werden oder ohne zuvor die Informationssysteme und Dateien des Verantwortlichen nach Daten zu überprüfen. Damit lagen die die Präzisierung flankierenden Anforderungen in Erwägungsgrund 63 S. 7 DS-GVO nicht vor. Die Möglichkeit zur Präzisierung sollte nicht dazu genutzt werden, das Auskunftsrecht einzuschränken, oder irgendwelche Informationen vor der betroffenen Person zu verbergen. Deswegen wird auch empfohlen, der betroffenen Person zeitgleich mit der Bitte um Präzisierung bereits Informationen zur Verfügung stellen über die Datenverarbeitungstätigkeiten, die die betroffene Person betreffen könnten.
• Außerdem wurde in vielen Fällen festgestellt, dass die Informationen nach Art. 15 Abs. 1 und Abs. 2 DS-GVO nur unzureichend auf die betroffenen Personen zugeschnitten sind, teilweise wurden einfach die allgemeinen Informationen nach Artt. 13, 14 DS-GVO zur Verfügung gestellt. Dies betraft insbesondere Informationen über die Empfänger der personenbezogenen Daten, die Angabe der Speicherdauer ohne Unterscheidungen zwischen Verarbeitungstätigkeiten oder Datenkategorien und steht nicht im Einklang mit der Rechtsprechung des EuGHs v. 12.01.2023 (Rs. C-154/21, Österreichische Post).

Diesen Herausforderungen stellt der CEF-Bericht spezifische Empfehlungen gegenüber. Verantwortliche sollten schon im Rahmen des Datenschutzmanagements sicherstellen, dass ausreichende Vorkehrungen für eine umfassende und zeitgerechte Auskunft getroffen werden. Dazu zählt die Kenntnis über die grundlegenden Datenbanken und Datenverarbeitungen und die Festlegung von Geschäftsprozessen zur Gewährleistung des Auskunftsrechts.

Die Aufsichtsbehörden werden aufgefordert, die praxisrelevanten Leitlinien 01/2022 und die einschlägige Rechtsprechung des EuGHs weiter zu verbreiten und die Verantwortlichen zu sensibilisieren. Insbesondere zu dem Feld der Einschränkungen des Auskunftsrechts sollten die Leitlinien zudem noch um Best Practices und Fallbeispiele ergänzt werden, um den Verantwortlichen eine stärkere Orientierung zu bieten.

Die gewonnenen Erkenntnisse und europaweit abgestimmten Handlungsempfehlungen geben den Aufsichtsbehörden die Gelegenheit, auf breiterer Grundlage zu handeln. Das Spannungsverhältnis zwischen effektiver Verwirklichung des Rechts und Begrenzung des Aufwands für die Verantwortlichen kann mit gezielten Maßnahmen zu großen Teilen aufgelöst werden. Damit kommt die europaweite Kooperation der Aufsichtsbehörden und die gebündelte Expertise, die in den Bericht der CEF-Aktion geflossen ist, den Verantwortlichen und damit wiederum den betroffenen Personen zugute.