Die gestrige Entscheidung des EuGH zum Auskunftsersuchen nach Art. 15 DSGVO (Urteil des EuGH v. 12.1.2022, Rechtssache C-154/21) hat erhebliche Auswirkungen für Unternehmen und schafft teilweise Klarheit in Bezug auf den notwendigen Umfang von datenschutzrechtlichen Beauskunftungen.

Im Rahmen eines Vorabentscheidungsersuchens hatte der Oberste Gerichtshof in Österreich dem EuGH die Frage vorgelegt, wie genau Art. 15 Abs. 1 lit. c DSGVO auszulegen sei. Die Norm gibt der betroffenen Person das Recht auf Auskunft über die „Empfänger oder Kategorien von Empfängern“ der sie betreffenden personenbezogenen Daten. Die Regelung ist konsequent von Art. 13, 14 DSGVO abzugrenzen. Die hier verankerten Informationspflichten regeln lediglich, dass die betroffene Person über die beim Betroffenen oder bei Dritten erhobenen Daten zu informieren ist, garantieren aber im Gegensatz zu Art. 15 DSGVO kein tatsächliches Auskunftsrecht.

Der Oberste Gerichtshof fragte den EuGH sinngemäß, ob die betroffene Person damit auch das Recht habe, die konkrete Identität der Empfänger zu erfahren, oder ob der Verantwortliche sich wahlweise auch auf die Empfängerkategorien beschränken könne. 

Im Ausgangsverfahren hatte ein österreichischer Bürger die Österreichische Post gebeten, ihm die Empfänger zu nennen, denen die ihn betreffenden personenbezogenen Daten offengelegt worden waren. Die Post teilte ihm lediglich mit, sie mache die Daten, die sie in ihrer Funktion als Herausgeberin von Telefonbüchern verarbeite, Geschäftskunden zu Marketingzwecken zugänglich. Auch im gerichtlichen Verfahren wurde die Antwort auf die Anfrage nicht wesentlich konkreter – die Post offenbarte nur, welchen Unternehmens- und Organisationsarten sie die Daten angeboten hatte. Der Oberste Gerichtshof stand nun vor der entscheidungserheblichen Frage, ob der Bürger ein Recht auf Auskunft über die konkrete Empfänger-Identität hat – oder eben nicht. Zur Klärung dieser Frage setzte er das Ausgangsverfahren aus und legte die entscheidungserhebliche Frage dem EuGH vor.

Dieser schließt sich nun der betroffenenfreundlichen Auslegung grundsätzlich an und bejaht die Pflicht zur Offenbarung der konkreten Empfängeridentität. Ein Rückgriff auf die bloße Kategorie von Empfängern sei nur in Ausnahmefällen zulässig. Etwa, wenn der/die Empfänger (noch) nicht identifiziert werden können, oder aber der Antrag der betroffenen Person unbegründet oder exzessiv ist. Exzessiv sind Anträge insbesondere im Fall häufiger Wiederholung – an dieses Merkmal wird allerdings ein strenger Maßstab angelegt.

Begründet hat der EuGH seine betroffenenfreundliche Auslegung damit, dass ein weitreichendes Auskunftsrecht grundlegend sei, um die weiteren, von der DSGVO garantierten Betroffenenrechte effektiv durchsetzen zu können. Dazu gehören neben dem Recht auf Berichtigung und Löschung auch das Recht auf Einschränkung der Verarbeitung, Widerspruch gegen diese sowie auf einen Rechtsbehelf nach eingetretenen Schäden. 

Die Entscheidung des EuGH beseitigt damit weitere Unklarheiten bei der Auslegung der DSGVO. Zum einen betont der EuGH damit, dass er der Kontrolle betroffener Personen in Bezug auf ihre persönlichen Daten und den ihnen zustehenden Rechten einen hohen Stellenwert einräumt. Zum anderen bietet sie Unternehmen, die ihre Pflichten DSGVO-konform umsetzen wollen, ein gutes Stück der nötigen Orientierung – wenngleich mit der Reaktion auf Auskunftsansprüche nun in vielen Fällen ein erheblicher Mehraufwand einhergehen dürfte.

Im Umgang mit den neuen (und alten) Anforderungen an die DSGVO-konforme Reaktion auf Auskunftsansprüche beraten wir Sie gern. Darüber hinaus stehen wir Ihnen in allen Fragen des Datenschutz- und IT-Rechts mit unserer Expertise beratend zur Seite. Sprechen Sie uns an.

Aktuelle Beiträge

  • Die NIS-2-Richtlinie: Die wichtigsten Ziele und Regelungen

    Nach Inkrafttreten der NIS-2-Richtlinie am 16. Januar 2023 verbleiben Deutschland und anderen den EU-Mitgliedsstaaten nunmehr 21 Monate, um die Regelungen in nationales Recht umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Doch auch für die betroffenen Unternehmen besteht bereits jetzt Handlungsbedarf. Welche Neuerungen ergeben sich und was müssen Unternehmen jetzt beachten? Wir geben Ihnen in diesem Beitrag einen Überblick.

    Weiterlesen

  • EuGH Entscheidung zu Auskunftsersuchen

    Meldung: EuGH-Entscheidung zu Auskunftsersuchen nach Art. 15 DSGVO

    EuGH-Entscheidung zu Auskunftsersuchen nach Art. 15 DSGVO: Werden personenbezogene Daten offengelegt, dann muss der Verantwortliche über die konkrete Identität des Empfängers Auskunft erteilen.

    Weiterlesen

  • Google Fonts Datenschutz

    Google Fonts und Google Analytics – Können die Tools noch datenschutzkonform genutzt werden?

    Die Nutzung von Google Fonts und Google Analytics bringen datenschutzrechtliche Risiken mit sich, insbesondere nachdem europäische Gerichte und Datenschutzbehörden ihre Verwendung immer kritischer sehen. Wir geben daher einen Überblick über die Rechtslage.

    Weiterlesen

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.