Die gestrige Entscheidung des EuGH zum Auskunftsersuchen nach Art. 15 DSGVO (Urteil des EuGH v. 12.1.2022, Rechtssache C-154/21) hat erhebliche Auswirkungen für Unternehmen und schafft teilweise Klarheit in Bezug auf den notwendigen Umfang von datenschutzrechtlichen Beauskunftungen.

Im Rahmen eines Vorabentscheidungsersuchens hatte der Oberste Gerichtshof in Österreich dem EuGH die Frage vorgelegt, wie genau Art. 15 Abs. 1 lit. c DSGVO auszulegen sei. Die Norm gibt der betroffenen Person das Recht auf Auskunft über die „Empfänger oder Kategorien von Empfängern“ der sie betreffenden personenbezogenen Daten. Die Regelung ist konsequent von Art. 13, 14 DSGVO abzugrenzen. Die hier verankerten Informationspflichten regeln lediglich, dass die betroffene Person über die beim Betroffenen oder bei Dritten erhobenen Daten zu informieren ist, garantieren aber im Gegensatz zu Art. 15 DSGVO kein tatsächliches Auskunftsrecht.

Der Oberste Gerichtshof fragte den EuGH sinngemäß, ob die betroffene Person damit auch das Recht habe, die konkrete Identität der Empfänger zu erfahren, oder ob der Verantwortliche sich wahlweise auch auf die Empfängerkategorien beschränken könne. 

Im Ausgangsverfahren hatte ein österreichischer Bürger die Österreichische Post gebeten, ihm die Empfänger zu nennen, denen die ihn betreffenden personenbezogenen Daten offengelegt worden waren. Die Post teilte ihm lediglich mit, sie mache die Daten, die sie in ihrer Funktion als Herausgeberin von Telefonbüchern verarbeite, Geschäftskunden zu Marketingzwecken zugänglich. Auch im gerichtlichen Verfahren wurde die Antwort auf die Anfrage nicht wesentlich konkreter – die Post offenbarte nur, welchen Unternehmens- und Organisationsarten sie die Daten angeboten hatte. Der Oberste Gerichtshof stand nun vor der entscheidungserheblichen Frage, ob der Bürger ein Recht auf Auskunft über die konkrete Empfänger-Identität hat – oder eben nicht. Zur Klärung dieser Frage setzte er das Ausgangsverfahren aus und legte die entscheidungserhebliche Frage dem EuGH vor.

Dieser schließt sich nun der betroffenenfreundlichen Auslegung grundsätzlich an und bejaht die Pflicht zur Offenbarung der konkreten Empfängeridentität. Ein Rückgriff auf die bloße Kategorie von Empfängern sei nur in Ausnahmefällen zulässig. Etwa, wenn der/die Empfänger (noch) nicht identifiziert werden können, oder aber der Antrag der betroffenen Person unbegründet oder exzessiv ist. Exzessiv sind Anträge insbesondere im Fall häufiger Wiederholung – an dieses Merkmal wird allerdings ein strenger Maßstab angelegt.

Begründet hat der EuGH seine betroffenenfreundliche Auslegung damit, dass ein weitreichendes Auskunftsrecht grundlegend sei, um die weiteren, von der DSGVO garantierten Betroffenenrechte effektiv durchsetzen zu können. Dazu gehören neben dem Recht auf Berichtigung und Löschung auch das Recht auf Einschränkung der Verarbeitung, Widerspruch gegen diese sowie auf einen Rechtsbehelf nach eingetretenen Schäden. 

Die Entscheidung des EuGH beseitigt damit weitere Unklarheiten bei der Auslegung der DSGVO. Zum einen betont der EuGH damit, dass er der Kontrolle betroffener Personen in Bezug auf ihre persönlichen Daten und den ihnen zustehenden Rechten einen hohen Stellenwert einräumt. Zum anderen bietet sie Unternehmen, die ihre Pflichten DSGVO-konform umsetzen wollen, ein gutes Stück der nötigen Orientierung – wenngleich mit der Reaktion auf Auskunftsansprüche nun in vielen Fällen ein erheblicher Mehraufwand einhergehen dürfte.

Im Umgang mit den neuen (und alten) Anforderungen an die DSGVO-konforme Reaktion auf Auskunftsansprüche beraten wir Sie gern. Darüber hinaus stehen wir Ihnen in allen Fragen des Datenschutz- und IT-Rechts mit unserer Expertise beratend zur Seite. Sprechen Sie uns an.

Aktuelle Beiträge

  • Datenschutzvorfall

    Meldung eines Datenschutzvorfalls – ein Leitfaden

    Stellt ein Unternehmen fest, dass es zu einer Datenschutzpanne gekommen ist, fallen Mitarbeitern und Geschäftsführung in aller Aufruhr meist zuerst das Bußgeld ein. Wir zeigen Ihnen im Folgenden, wie Sie dabei am besten vorgehen und wann sie überhaupt einen Vorfall melden müssen.

    Weiterlesen

  • Die Bedeutung von IT-Sicherheit für Unternehmen und wie sie sich schützen können

    Cyber-Angriffe sind der Albtraum eines jeden Unternehmens. Je stärker die Geschäftsprozesse digitalisiert und Systeme vernetzt werden, desto größer wird auch das Risiko von Cyber-Angriffen. Wir werfen einen genaueren Blick auf die Folgen von IT-Angriffen und warum Unternehmen nicht länger zögern sollten, Maßnahmen zur Verbesserung ihrer IT-Sicherheit zu ergreifen.

    Weiterlesen

  • KI Logistik

    KI in der Logistik: Chancen, Herausforderungen und Datenschutzstrategien

    Die Logistikbranche in Deutschland hat die Chancen und Möglichkeiten der Künstlichen Intelligenz (KI) erkannt und ist vielen anderen Wirtschaftszweigen bereits weit voraus. Dieser Blogbeitrag zeigt auf, welche konkreten Einsatzmöglichkeiten KI in der Logistik bietet und wie Datenschutzanforderungen bei der Implementierung von KI-Lösungen erfüllt werden können.

    Weiterlesen

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.