Das jüngste EuGH-Urteil zur erweiterten Auskunftspflicht nach Artikel 15 DSGVO hat erhebliche Auswirkungen auf Unternehmen, die personenbezogene Daten verarbeiten. Neben der Auskunft über gespeicherte Daten müssen Unternehmen nun auch offenlegen, wann und warum auf personenbezogene Daten zugegriffen wurde. Diese neue Anforderung bringt nicht nur technische und organisatorische Herausforderungen mit sich, sondern auch rechtliche Risiken.
In diesem Beitrag erfahren Sie, was Unternehmen jetzt konkret tun müssen, um DSGVO-konform zu bleiben, welche Maßnahmen sie ergreifen sollten und welche Folgen eine Nichteinhaltung haben kann.
1. Die neuen Anforderungen des EuGH-Urteils
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 22. Juni 2023 (C-579/21) festgelegt, dass Unternehmen Betroffenen nicht nur allgemeine Informationen zu gespeicherten Daten geben müssen, sondern auch:
Wann (Datum und Uhrzeit) auf personenbezogene Daten zugegriffen wurde
Warum der Zugriff erfolgte (Zweck der Verarbeitung)
Ob die Daten an Dritte weitergegeben wurden
Das bedeutet, dass Unternehmen detaillierte Zugriffshistorien führen und auf Anfrage offenlegen müssen, um Transparenz zu gewährleisten.
2. Maßnahmen, die Unternehmen jetzt ergreifen müssen
a) Erweiterung der Protokollierungssysteme
Implementierung von Zugriffsprotokollen, die Zeitstempel und Zweck des Zugriffs erfassen
Sicherstellen, dass auch interne Datenzugriffe von Mitarbeitern nachvollziehbar sind
Automatisierte Logging-Systeme zur Erfassung und sicheren Speicherung dieser Daten einsetzen
b) Anpassung interner Prozesse
Klare Prozessbeschreibungen für Auskunftsanfragen erstellen
Schulungen für Mitarbeiter zur korrekten Dokumentation und Bearbeitung von Auskunftsanfragen
Sicherstellen, dass Datenschutzbeauftragte (DSB) über die neuen Anforderungen informiert sind
c) Datenschutzrichtlinien aktualisieren
Anpassung der Datenschutzerklärungen auf Websites und in internen Richtlinien
Ergänzung interner Compliance-Richtlinien für den Umgang mit personenbezogenen Daten
Prüfung bestehender Verträge mit Auftragsverarbeitern (z. B. Cloud-Dienste) auf DSGVO-Konformität
d) Effektive Bearbeitung von Auskunftsanfragen sicherstellen
Fristen beachten: Die DSGVO verlangt eine Antwort innerhalb eines Monats
Klare Verantwortlichkeiten innerhalb des Unternehmens definieren
Automatisierte Workflows oder Vorlagen für schnelle Reaktionen auf Anfragen nutzen
3. Konsequenzen bei Nichteinhaltung
Unternehmen, die die neuen Anforderungen nicht umsetzen, müssen mit erheblichen Risiken rechnen:
a) Bußgelder und rechtliche Folgen
Die Datenschutzbehörden können bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen
Betroffene können Schadensersatzforderungen stellen, falls ihre Rechte verletzt werden
b) Reputationsschäden
Datenschutzverstöße können massive Vertrauensverluste bei Kunden und Partnern verursachen
Medienberichterstattung über DSGVO-Verstöße kann das Unternehmensimage dauerhaft schädigen
c) Interne Kosten und Mehraufwand
Fehlt eine saubere Protokollierung, müssen Unternehmen mit hohem Aufwand Daten nachträglich rekonstruieren
Interne Ressourcen müssen für Compliance-Aufgaben umverteilt werden
4. Fazit: Jetzt handeln, um Datenschutz-Risiken zu minimieren
Die neuen Anforderungen des EuGH-Urteils sind kein optionaler Zusatz, sondern eine verbindliche Erweiterung der DSGVO-Compliance. Unternehmen sollten die Chance nutzen, ihre Datenschutzmaßnahmen zu optimieren und Transparenz als Wettbewerbsvorteil zu nutzen.
Empfohlene nächste Schritte:
Interne Protokollierungsmechanismen prüfen und erweitern
Mitarbeiter und Datenschutzbeauftragte schulen
Richtlinien und Datenschutzerklärungen anpassen
Effektive Prozesse für Auskunftsanfragen etablieren
Regelmäßige Audits durchführen, um DSGVO-Konformität zu sichern
Wer jetzt handelt, vermeidet Bußgelder und sichert das Vertrauen von Kunden und Geschäftspartnern langfristig!
