Wie zuverlässig sind Auskünfte nach Artikel 15 DSGVO?

Woher wissen Betroffene, ob ihr Auskunftsersuchen nach Artikel 15 DSGVO von Verantwortlichen vollständig und zutreffend beantwortet wurde?  Überwiegend erhält man auf ein Auskunftsersuchen eine Antwort. Nicht immer, aber in der Regel. Wenn eine Antwort gegeben wird, bleibt allerdings offen, ob diese Antwort so umfassend ist, wie es das Gesetz vorsieht. In manchen Fällen werden Informationen und Angaben vorenthalten, in anderen Fällen wissen die Verantwortliche oft selbst nicht, ob die Auskunft vollständig ist oder ob es nicht noch weitere personenbezogene Daten im eigenen Verantwortungsbereich gibt. Was kann man tun?

Betroffene haben in der Regel keinerlei Möglichkeiten, die Richtigkeit und Vollständigkeit der Auskunft zu überprüfen. Sofern sie keine begründeten Zweifel vorweisen können, wird die Aufsichtsbehörde nichts unternehmen, um ein Unternehmen, eine Organisation oder eine Behörde zu prüfen. Selbst wenn sie begründete Zweifel anmelden können, ist noch lange nicht gesagt, dass es zu einer aktiven Prüfung kommt. Gerade in Österreich    ist die Datenschutzbehörde, was ihre Ressourcen anbelangt, heillos überfordert.

Pragmatisch betrachtet ist es sehr unwahrscheinlich, dass Verstöße gegen die DSGVO bekannt werden. Sofern Betroffenen zumindest minimale Auskünfte nach Artikel 15 erteilt werden und die Fristen dafür eingehalten werden, haben Verantwortliche in der Regel nichts zu befürchten. Nicht nur, weil es äußerst unwahrscheinlich ist, dass der Umgang mit personenbezogenen Daten bekannt wird, sondern auch weil in Österreich der Grundsatz gilt: verwarnen vor strafen. Warum also sollten Verantwortliche Ressourcen für eine datenschutzkonforme Verarbeitung aufwenden, sich bei der lukrativen Verarbeitung von personenbezogenen Daten einschränken? Ein Restrisiko: wenn Mitarbeiter*innen  Missbrauch von personenbezogenen Daten anzeigen.

Es bleibt letztlich eine Frage der Vertrauenswürdigkeit eines Verantwortlichen.