In ihrem aktuellen Tätigkeitsbericht (PDF, S. 19) informiert die Datenschutzstelle Liechtenstein u.a. auch zu Beratungsanfragen zu dem Themenkomplex „Auskunft“ nach Art. 15 DSGVO.
Mehrere betroffene Personen als auch Verantwortliche stellten die Frage, ob im Rahmen der Auskunftserteilung nach Art. 15 DSGVO auch eine Information über technische und organisatorische Maßnahmen (TOM) erteilt werden muss. Dies ist ein Fall, der in der Praxis recht häufig vorkommt. Daneben verlangen Betroffene oft auch die Herausgabe des Verzeichnisses der Verarbeitungstätigkeiten.
Die Antwort der Datenschutzbehörde ist hier (meines Erachtens zu Recht) eindeutig.
„Weder Art. 13 oder 14 DSGVO noch Art. 15 DSGVO begründen einen Rechtsanspruch auf Informationen zu TOM.“
Die Aufsichtsbehörde geht in ihrer Einschätzung also auch auf die Informationspflichten nach Art. 13 und 14 DSGVO ein. Auch diese enthielten aber keine entsprechende Verpflichtung zur Zugänglichmachung der TOMs.
Zwar sehe Art. 30 DSGVO vor, dass im Verarbeitungsverzeichnis eine allgemeine Beschreibung der TOM zu erfolgen muss.
„Dieses Verzeichnis muss allerdings nicht gegenüber betroffenen Personen offengelegt werden.“
Dies ist eine weitere praxisrelevante Feststellung der Aufsichtsbehörde.