13.01.2023
Meldung: EuGH-Entscheidung zu Auskunftsersuchen nach Art. 15 DSGVO
EuGH-Entscheidung zu Auskunftsersuchen nach Art. 15 DSGVO: Werden personenbezogene Daten offengelegt, dann muss der Verantwortliche über die konkrete Identität des Empfängers Auskunft erteilen.
Inhalt
Dr. Philipp Siedenburg
Director Datenschutz
Die gestrige Entscheidung des EuGH zum Auskunftsersuchen nach Art. 15 DSGVO (Urteil des EuGH v. 12.1.2022, Rechtssache C-154/21) hat erhebliche Auswirkungen für Unternehmen und schafft teilweise Klarheit in Bezug auf den notwendigen Umfang von datenschutzrechtlichen Beauskunftungen.
Im Rahmen eines Vorabentscheidungsersuchens hatte der Oberste Gerichtshof in Österreich dem EuGH die Frage vorgelegt, wie genau Art. 15 Abs. 1 lit. c DSGVO auszulegen sei. Die Norm gibt der betroffenen Person das Recht auf Auskunft über die „Empfänger oder Kategorien von Empfängern“ der sie betreffenden personenbezogenen Daten. Die Regelung ist konsequent von Art. 13, 14 DSGVO abzugrenzen. Die hier verankerten Informationspflichten regeln lediglich, dass die betroffene Person über die beim Betroffenen oder bei Dritten erhobenen Daten zu informieren ist, garantieren aber im Gegensatz zu Art. 15 DSGVO kein tatsächliches Auskunftsrecht.
Der Oberste Gerichtshof fragte den EuGH sinngemäß, ob die betroffene Person damit auch das Recht habe, die konkrete Identität der Empfänger zu erfahren, oder ob der Verantwortliche sich wahlweise auch auf die Empfängerkategorien beschränken könne.
Im Ausgangsverfahren hatte ein österreichischer Bürger die Österreichische Post gebeten, ihm die Empfänger zu nennen, denen die ihn betreffenden personenbezogenen Daten offengelegt worden waren. Die Post teilte ihm lediglich mit, sie mache die Daten, die sie in ihrer Funktion als Herausgeberin von Telefonbüchern verarbeite, Geschäftskunden zu Marketingzwecken zugänglich. Auch im gerichtlichen Verfahren wurde die Antwort auf die Anfrage nicht wesentlich konkreter – die Post offenbarte nur, welchen Unternehmens- und Organisationsarten sie die Daten angeboten hatte. Der Oberste Gerichtshof stand nun vor der entscheidungserheblichen Frage, ob der Bürger ein Recht auf Auskunft über die konkrete Empfänger-Identität hat – oder eben nicht. Zur Klärung dieser Frage setzte er das Ausgangsverfahren aus und legte die entscheidungserhebliche Frage dem EuGH vor.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Dieser schließt sich nun der betroffenenfreundlichen Auslegung grundsätzlich an und bejaht die Pflicht zur Offenbarung der konkreten Empfängeridentität. Ein Rückgriff auf die bloße Kategorie von Empfängern sei nur in Ausnahmefällen zulässig. Etwa, wenn der/die Empfänger (noch) nicht identifiziert werden können, oder aber der Antrag der betroffenen Person unbegründet oder exzessiv ist. Exzessiv sind Anträge insbesondere im Fall häufiger Wiederholung – an dieses Merkmal wird allerdings ein strenger Maßstab angelegt.
Begründet hat der EuGH seine betroffenenfreundliche Auslegung damit, dass ein weitreichendes Auskunftsrecht grundlegend sei, um die weiteren, von der DSGVO garantierten Betroffenenrechte effektiv durchsetzen zu können. Dazu gehören neben dem Recht auf Berichtigung und Löschung auch das Recht auf Einschränkung der Verarbeitung, Widerspruch gegen diese sowie auf einen Rechtsbehelf nach eingetretenen Schäden.
Die Entscheidung des EuGH beseitigt damit weitere Unklarheiten bei der Auslegung der DSGVO. Zum einen betont der EuGH damit, dass er der Kontrolle betroffener Personen in Bezug auf ihre persönlichen Daten und den ihnen zustehenden Rechten einen hohen Stellenwert einräumt. Zum anderen bietet sie Unternehmen, die ihre Pflichten DSGVO-konform umsetzen wollen, ein gutes Stück der nötigen Orientierung – wenngleich mit der Reaktion auf Auskunftsansprüche nun in vielen Fällen ein erheblicher Mehraufwand einhergehen dürfte.
Im Umgang mit den neuen (und alten) Anforderungen an die DSGVO-konforme Reaktion auf Auskunftsansprüche beraten wir Sie gern. Darüber hinaus stehen wir Ihnen in allen Fragen des Datenschutz- und IT-Rechts mit unserer Expertise beratend zur Seite. Sprechen Sie uns an.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern