Die gestrige Entscheidung des EuGH zum Auskunftsersuchen nach Art. 15 DSGVO (Urteil des EuGH v. 12.1.2022, Rechtssache C-154/21) hat erhebliche Auswirkungen für Unternehmen und schafft teilweise Klarheit in Bezug auf den notwendigen Umfang von datenschutzrechtlichen Beauskunftungen.
Im Rahmen eines Vorabentscheidungsersuchens hatte der Oberste Gerichtshof in Österreich dem EuGH die Frage vorgelegt, wie genau Art. 15 Abs. 1 lit. c DSGVO auszulegen sei. Die Norm gibt der betroffenen Person das Recht auf Auskunft über die „Empfänger oder Kategorien von Empfängern“ der sie betreffenden personenbezogenen Daten. Die Regelung ist konsequent von Art. 13, 14 DSGVO abzugrenzen. Die hier verankerten Informationspflichten regeln lediglich, dass die betroffene Person über die beim Betroffenen oder bei Dritten erhobenen Daten zu informieren ist, garantieren aber im Gegensatz zu Art. 15 DSGVO kein tatsächliches Auskunftsrecht.
Der Oberste Gerichtshof fragte den EuGH sinngemäß, ob die betroffene Person damit auch das Recht habe, die konkrete Identität der Empfänger zu erfahren, oder ob der Verantwortliche sich wahlweise auch auf die Empfängerkategorien beschränken könne.
Im Ausgangsverfahren hatte ein österreichischer Bürger die Österreichische Post gebeten, ihm die Empfänger zu nennen, denen die ihn betreffenden personenbezogenen Daten offengelegt worden waren. Die Post teilte ihm lediglich mit, sie mache die Daten, die sie in ihrer Funktion als Herausgeberin von Telefonbüchern verarbeite, Geschäftskunden zu Marketingzwecken zugänglich. Auch im gerichtlichen Verfahren wurde die Antwort auf die Anfrage nicht wesentlich konkreter – die Post offenbarte nur, welchen Unternehmens- und Organisationsarten sie die Daten angeboten hatte. Der Oberste Gerichtshof stand nun vor der entscheidungserheblichen Frage, ob der Bürger ein Recht auf Auskunft über die konkrete Empfänger-Identität hat – oder eben nicht. Zur Klärung dieser Frage setzte er das Ausgangsverfahren aus und legte die entscheidungserhebliche Frage dem EuGH vor.
Die Expertinnen und Experten der ISiCO unterstützen Sie gern bei Auskunftsersuchen nach Art. 15 DSGVO.
Dieser schließt sich nun der betroffenenfreundlichen Auslegung grundsätzlich an und bejaht die Pflicht zur Offenbarung der konkreten Empfängeridentität. Ein Rückgriff auf die bloße Kategorie von Empfängern sei nur in Ausnahmefällen zulässig. Etwa, wenn der/die Empfänger (noch) nicht identifiziert werden können, oder aber der Antrag der betroffenen Person unbegründet oder exzessiv ist. Exzessiv sind Anträge insbesondere im Fall häufiger Wiederholung – an dieses Merkmal wird allerdings ein strenger Maßstab angelegt.
Begründet hat der EuGH seine betroffenenfreundliche Auslegung damit, dass ein weitreichendes Auskunftsrecht grundlegend sei, um die weiteren, von der DSGVO garantierten Betroffenenrechte effektiv durchsetzen zu können. Dazu gehören neben dem Recht auf Berichtigung und Löschung auch das Recht auf Einschränkung der Verarbeitung, Widerspruch gegen diese sowie auf einen Rechtsbehelf nach eingetretenen Schäden.
Die Entscheidung des EuGH beseitigt damit weitere Unklarheiten bei der Auslegung der DSGVO. Zum einen betont der EuGH damit, dass er der Kontrolle betroffener Personen in Bezug auf ihre persönlichen Daten und den ihnen zustehenden Rechten einen hohen Stellenwert einräumt. Zum anderen bietet sie Unternehmen, die ihre Pflichten DSGVO-konform umsetzen wollen, ein gutes Stück der nötigen Orientierung – wenngleich mit der Reaktion auf Auskunftsansprüche nun in vielen Fällen ein erheblicher Mehraufwand einhergehen dürfte.
Im Umgang mit den neuen (und alten) Anforderungen an die DSGVO-konforme Reaktion auf Auskunftsansprüche beraten wir Sie gern. Darüber hinaus stehen wir Ihnen in allen Fragen des Datenschutz- und IT-Rechts mit unserer Expertise beratend zur Seite. Sprechen Sie uns an.
Aktuelle Beiträge
-
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
-
Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können
Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
-
Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2
Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.