EuGH-Entscheidung zur Auskunft personenbezogener Daten

Letztes Update:
31
.
03
.
2023
Lesezeit:
0
Min
Die EU-Datenschutzgrundverordnung (DSGVO) hat im Jahr 2018 den Datenschutz grundlegend verändert und zu mehr Pflichten für Unternehmen geführt, die personenbezogene Daten in ihrem Unternehmen verarbeiten und speichern. In diesem Beitrag zeigen wir Ihnen, wie der EuGH das Auskunftsrecht personenbezogener Daten ausgelegt hat und wie Sie damit umgehen sollten.
EuGH-Entscheidung zur Auskunft personenbezogener Daten
Die wichtigsten Erkenntnisse
  • Unternehmen müssen konkrete Empfänger personenbezogener Daten nennen.
  • Kategorien von Empfängern oder Verweis auf Datenschutzerklärung reicht nicht.
  • EuGH stärkt Rechte der Betroffenen auf detaillierte Auskunft.
  • Unternehmen müssen innerhalb eines Monats auf Auskunftsanfragen reagieren.
  • Auskunftspflicht umfasst auch Empfänger in Drittländern.

Gleichzeitig zu den grundlegenden Veränderungen und den erweiterten Pflichten für Unternehmen wurden die Rechte der betroffenen Personen zur Verbesserung des Schutzes ihrer personenbezogenen Daten erweitert.

Der Artikel 15 DSGVO spielt dabei eine wichtige Rolle, indem er die Auskunftsrechte der betroffenen Personen stärkt und ihnen die Möglichkeit gibt, einzusehen, inwiefern ihre Daten verarbeitet und weitergegeben werden. 

EuGH stärkt Auskunftsanspruch nach DSGVO

Nun hat der Europäische Gerichtshof (EuGH) dieses Recht erneut ausgeweitet und konkretisiert, wie die Auskunftspflicht von Unternehmen zu verstehen ist. In diesem Beitrag zeigen wir Ihnen, wie der EuGH das Auskunftsrecht ausgelegt hat und wie Sie damit umgehen sollten.

Das Wichtigste zur EuGH-Entscheidung in Kürze 

  • Unternehmen haben die Pflicht, auf Anfrage von betroffenen Personen Auskunft über die verarbeiteten Daten und deren Verwendung zu geben.
  • Die betroffene Person hat einen Anspruch darauf zu erfahren, welche personenbezogenen Daten an wen weitergeleitet wurden (zum Beispiel bei externer Datenverarbeitung).
  • Der EuGH hat klargestellt, dass dieser Pflicht nicht ausreichend damit nachgekommen wird, Kategorien von Empfängern zu nennen oder auf die eigene Datenschutzerklärung zu verweisen.
  • Unternehmen seien vielmehr dazu verpflichtet, die konkrete Identität Dritter preiszugeben, die personenbezogene Daten vom Unternehmen empfangen und verarbeitet haben.

Auskunft über personenbezogene Daten: Welche Pflichten haben Unternehmen? 

Die DSGVO beinhaltet unter anderem grundlegende Pflichten für Unternehmen, die sich auf den Umgang mit personenbezogenen Daten beziehen. Unternehmen müssen die personenbezogenen Daten von Kunden und Geschäftspartnern besonders schützen, Verarbeitungen sorgfältig prüfen und dokumentieren und Daten löschen, wenn diese keinen legitimen Zweck mehr erfüllen.

Sie benötigen rechtliche Unterstützung?

Unser Team besteht aus mehr als 90 Datenschutzexperten, die Sie gerne umfassend zum Thema beraten. Nehmen Sie jederzeit Kontakt zu uns auf.

Ein zentrales Thema ist dabei die Pflicht, der von der Datenverarbeitung betroffenen Person Auskunft über die gespeicherten und verarbeiteten Daten zu ermöglichen (sog. Auskunftsrecht). Diese Regelung findet sich in Art. 15 Abs. 1 DSGVO.

Was bringt das Auskunftsrecht nach Art. 15 DSGVO für Betroffene? 

Daneben steht das Recht der betroffenen Person, nach Auskunft die verwendeten Daten löschen zu lassen, wenn sie mit der Verarbeitung und Nutzung der Daten nicht einverstanden ist (sog. Recht auf Löschung bzw. Recht auf Vergessenwerden, Art. 17 Abs. 1 DSGVO). Daraus können sich im Zweifel auch Einschränkungen für die Zusammenarbeit mit den betroffenen Personen ergeben.

Klartext: Die betroffene Person hat das Recht zu erfahren, ob und welche personenbezogenen Daten von Unternehmen verwendet werden. Macht sie dieses Recht geltend und stellt eine Auskunftsanfrage, muss das Unternehmen innerhalb eines Monats antworten und entsprechend reagieren (z. B. die Daten löschen, wenn dies gewünscht ist).

Klage aus Österreich: EuGH entscheidet über DSGVO-Auskunftsrecht

Lange war unklar, was genau zur Erfüllung der Auskunftspflicht erforderlich ist. Durch die jüngste EuGH-Entscheidung hat das oberste Gericht der Europäischen Union nun Licht ins Dunkel gebracht und klargestellt, welche Pflichten Unternehmen bezüglich der Auskunft gegenüber Betroffenen treffen.

Ausgangspunkt des Rechtsstreits war eine Klage aus Österreich, in der eine betroffene Person bei der Österreichischen Post AG von ihrem Auskunftsrecht gemäß Art. 15 DSGVO Gebrauch machte. Die betroffene Person wollte konkret wissen, ob und falls zutreffend, welche personenbezogenen Daten über sie gespeichert wurden und wer die konkreten Empfänger dieser waren. Die Österreichische Post AG teilte der betroffenen Person daraufhin mit, dass ihre personenbezogenen Daten nur verarbeitet würden, „soweit dies rechtlich zulässig sei“. Anbei war außerdem ein Verweis auf die Webseite und die dort bereitgestellten Informationen. Der Auskunftssuchende erhob daraufhin Klage vor den österreichischen Gerichten und forderte Auskunft über den konkreten Empfänger seiner personenbezogenen Daten.

Sowohl das erstinstanzliche als auch das zweitinstanzliche Gericht wiesen die Klage ab und beriefen sich auf den Wortlaut des Art. 15 DSGVO, welcher dem Unternehmen eine Wahlmöglichkeit hinsichtlich des „Empfängers oder Kategorien von Empfängern“ einräume. Der Oberste Gerichtshof von Österreich (OGH), der mit dem Rechtsstreit in letzter Instanz befasst war, war sich bei der Frage eines möglichen Vorrangverhältnisses unschlüssig und legte folglich die Frage der Auslegung von Art. 15 DSGVO dem EuGH vor. 

Ergebnis: Weitreichende Auskunft über personenbezogene Daten 

Der EuGH stellte in seinem Urteil vom 12. Januar 2023 (C-154/21) klar, dass es grundsätzlich nicht ausreiche, bloße Kategorien von Empfängern offenzulegen oder auf die Rechtmäßigkeit der Verarbeitung zu verweisen. Auf Anfrage müssen der betroffenen Person konkrete Empfänger der personenbezogenen Daten mitgeteilt werden.

Dabei lässt der EuGH nur wenige Ausnahmen von dieser Verpflichtung zu, nämlich:

  • wenn es nicht (oder noch nicht) möglich ist, die konkreten Empfänger der Daten zu identifizieren oder 
  • wenn die Anfragen offensichtlich unbegründet und exzessiv sind.

Der Europäische Gerichtshof begründet seine Entscheidung damit, dass ein weitreichendes Auskunftsrecht erforderlich ist, damit betroffene Personen über genügend Informationen verfügen, um andere wichtige Rechte, insbesondere das Recht auf Löschung, Einschränkung oder Widerspruch der Verarbeitung eigener Daten, geltend zu machen.

Kurz: Im Fall der Österreichischen Post AG hätte nach Auffassung des EuGH demnach kein bloßer Verweis auf die Website und der pauschale Hinweis auf die Rechtmäßigkeit erfolgen dürfen, vielmehr hätte diese die konkreten Empfänger benennen müssen.

Urteil zum Auskunftsrecht verschärft die Pflichten für Unternehmen

Für Unternehmen bedeutet die EuGH-Entscheidung, dass sie nun verschärfte Pflichten hinsichtlich Auskunftsersuchen gegenüber betroffenen Personen treffen. Es reicht inzwischen nicht mehr, auf die Datenschutzbestimmungen oder Kategorien von Dritten zu verweisen, die personenbezogene Daten vom Verantwortlichen erhalten haben.
Vielmehr müssen Unternehmen jetzt individuell auf konkrete Auskunftsanfragen durch natürliche Personen eingehen und Betroffene mit den Informationen versorgen, die diese zur Ausübung ihrer Rechte benötigen.
Damit wird nicht nur die Auskunftspflicht an sich verschärft, die neuen Anforderungen haben auch Auswirkungen auf andere Pflichten aus der DSGVO:

  • Es ist ratsam, die DSGVO-Konformität im eigenen Unternehmen zu prüfen und ein besonderes Augenmerk auf das Verarbeitungsverzeichnis zu legen.
  • Verarbeitungsverträge mit Dritten (insbesondere Empfängern in Drittländern) sollten ordnungsgemäß überprüft und rechtskonform verwaltet werden. Dies hilft dabei, effizient und schnell auf Informationen zu konkreten Empfängern zuzugreifen. 
  • Informationen über konkrete Empfänger sollten innerhalb der vorgesehenen Antwortfrist von 4 Wochen an die Auskunftssuchenden übermittelt werden.

Wie können Auskünfte für Personen richtig erteilt werden? 

Unternehmen sollten darauf achten, die Anträge auf Auskunft sorgfältig zu beantworten. Das bedeutet, dass sie die genauen Verarbeitungstätigkeiten sowie die Identität konkreter Empfänger preisgeben müssen. Das Urteil des EuGH kann auch Auswirkungen auf andere DSGVO-Pflichten (z. B. Art. 14 DSGVO) haben, dies lässt sich dem Urteil aber nicht entnehmen.

Die Einhaltung von Datenschutzbestimmungen ist zum einen wichtig im Hinblick auf die Wahrung der Reputation und der Kundenzufriedenheit. Zum anderen drohen bei Verstößen gegen die DSGVO sensible Bußgelder von bis zu 2 % des weltweiten Jahresumsatzes. 

Fazit: Auskunft über personenbezogene Daten DSGVO-konform umsetzen

Es ist Unternehmen daher zu empfehlen, sich bereits im Vorfeld um eine effiziente Auflistung der Datenverarbeitung im Rahmen eines Verarbeitungsverzeichnisses zu kümmern. Dies kann dabei helfen, innerhalb der vorgegebenen Frist auf eine Anfrage von Betroffenen zu reagieren. Zudem ist es ratsam, die für Auskünfte zuständigen Mitarbeiter über aktuelle Ereignisse zu informieren und dahingehend zu schulen, damit diese die Pflichten der DSGVO erfüllen können.

Sie benötigen Unterstützung bei der Umsetzung der DSGVO?

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!