EuGH-Entscheidung zur Auskunft personenbezogener Daten
- Unternehmen müssen konkrete Empfänger personenbezogener Daten nennen.
- Kategorien von Empfängern oder Verweis auf Datenschutzerklärung reicht nicht.
- EuGH stärkt Rechte der Betroffenen auf detaillierte Auskunft.
- Unternehmen müssen innerhalb eines Monats auf Auskunftsanfragen reagieren.
- Auskunftspflicht umfasst auch Empfänger in Drittländern.
- Item A
- Item B
- Item C
Gleichzeitig zu den grundlegenden Veränderungen und den erweiterten Pflichten für Unternehmen wurden die Rechte der betroffenen Personen zur Verbesserung des Schutzes ihrer personenbezogenen Daten erweitert.
Der Artikel 15 DSGVO spielt dabei eine wichtige Rolle, indem er die Auskunftsrechte der betroffenen Personen stärkt und ihnen die Möglichkeit gibt, einzusehen, inwiefern ihre Daten verarbeitet und weitergegeben werden.
EuGH stärkt Auskunftsanspruch nach DSGVO
Nun hat der Europäische Gerichtshof (EuGH) dieses Recht erneut ausgeweitet und konkretisiert, wie die Auskunftspflicht von Unternehmen zu verstehen ist. In diesem Beitrag zeigen wir Ihnen, wie der EuGH das Auskunftsrecht ausgelegt hat und wie Sie damit umgehen sollten.
Das Wichtigste zur EuGH-Entscheidung in Kürze
- Unternehmen haben die Pflicht, auf Anfrage von betroffenen Personen Auskunft über die verarbeiteten Daten und deren Verwendung zu geben.
- Die betroffene Person hat einen Anspruch darauf zu erfahren, welche personenbezogenen Daten an wen weitergeleitet wurden (zum Beispiel bei externer Datenverarbeitung).
- Der EuGH hat klargestellt, dass dieser Pflicht nicht ausreichend damit nachgekommen wird, Kategorien von Empfängern zu nennen oder auf die eigene Datenschutzerklärung zu verweisen.
- Unternehmen seien vielmehr dazu verpflichtet, die konkrete Identität Dritter preiszugeben, die personenbezogene Daten vom Unternehmen empfangen und verarbeitet haben.
Auskunft über personenbezogene Daten: Welche Pflichten haben Unternehmen?
Die DSGVO beinhaltet unter anderem grundlegende Pflichten für Unternehmen, die sich auf den Umgang mit personenbezogenen Daten beziehen. Unternehmen müssen die personenbezogenen Daten von Kunden und Geschäftspartnern besonders schützen, Verarbeitungen sorgfältig prüfen und dokumentieren und Daten löschen, wenn diese keinen legitimen Zweck mehr erfüllen.
Sie benötigen rechtliche Unterstützung?
Unser Team besteht aus mehr als 90 Datenschutzexperten, die Sie gerne umfassend zum Thema beraten. Nehmen Sie jederzeit Kontakt zu uns auf.
Ein zentrales Thema ist dabei die Pflicht, der von der Datenverarbeitung betroffenen Person Auskunft über die gespeicherten und verarbeiteten Daten zu ermöglichen (sog. Auskunftsrecht). Diese Regelung findet sich in Art. 15 Abs. 1 DSGVO.
Was bringt das Auskunftsrecht nach Art. 15 DSGVO für Betroffene?
Daneben steht das Recht der betroffenen Person, nach Auskunft die verwendeten Daten löschen zu lassen, wenn sie mit der Verarbeitung und Nutzung der Daten nicht einverstanden ist (sog. Recht auf Löschung bzw. Recht auf Vergessenwerden, Art. 17 Abs. 1 DSGVO). Daraus können sich im Zweifel auch Einschränkungen für die Zusammenarbeit mit den betroffenen Personen ergeben.
Klartext: Die betroffene Person hat das Recht zu erfahren, ob und welche personenbezogenen Daten von Unternehmen verwendet werden. Macht sie dieses Recht geltend und stellt eine Auskunftsanfrage, muss das Unternehmen innerhalb eines Monats antworten und entsprechend reagieren (z. B. die Daten löschen, wenn dies gewünscht ist).
Klage aus Österreich: EuGH entscheidet über DSGVO-Auskunftsrecht
Lange war unklar, was genau zur Erfüllung der Auskunftspflicht erforderlich ist. Durch die jüngste EuGH-Entscheidung hat das oberste Gericht der Europäischen Union nun Licht ins Dunkel gebracht und klargestellt, welche Pflichten Unternehmen bezüglich der Auskunft gegenüber Betroffenen treffen.
Ausgangspunkt des Rechtsstreits war eine Klage aus Österreich, in der eine betroffene Person bei der Österreichischen Post AG von ihrem Auskunftsrecht gemäß Art. 15 DSGVO Gebrauch machte. Die betroffene Person wollte konkret wissen, ob und falls zutreffend, welche personenbezogenen Daten über sie gespeichert wurden und wer die konkreten Empfänger dieser waren. Die Österreichische Post AG teilte der betroffenen Person daraufhin mit, dass ihre personenbezogenen Daten nur verarbeitet würden, „soweit dies rechtlich zulässig sei“. Anbei war außerdem ein Verweis auf die Webseite und die dort bereitgestellten Informationen. Der Auskunftssuchende erhob daraufhin Klage vor den österreichischen Gerichten und forderte Auskunft über den konkreten Empfänger seiner personenbezogenen Daten.
Sowohl das erstinstanzliche als auch das zweitinstanzliche Gericht wiesen die Klage ab und beriefen sich auf den Wortlaut des Art. 15 DSGVO, welcher dem Unternehmen eine Wahlmöglichkeit hinsichtlich des „Empfängers oder Kategorien von Empfängern“ einräume. Der Oberste Gerichtshof von Österreich (OGH), der mit dem Rechtsstreit in letzter Instanz befasst war, war sich bei der Frage eines möglichen Vorrangverhältnisses unschlüssig und legte folglich die Frage der Auslegung von Art. 15 DSGVO dem EuGH vor.
Ergebnis: Weitreichende Auskunft über personenbezogene Daten
Der EuGH stellte in seinem Urteil vom 12. Januar 2023 (C-154/21) klar, dass es grundsätzlich nicht ausreiche, bloße Kategorien von Empfängern offenzulegen oder auf die Rechtmäßigkeit der Verarbeitung zu verweisen. Auf Anfrage müssen der betroffenen Person konkrete Empfänger der personenbezogenen Daten mitgeteilt werden.
Dabei lässt der EuGH nur wenige Ausnahmen von dieser Verpflichtung zu, nämlich:
- wenn es nicht (oder noch nicht) möglich ist, die konkreten Empfänger der Daten zu identifizieren oder
- wenn die Anfragen offensichtlich unbegründet und exzessiv sind.
Der Europäische Gerichtshof begründet seine Entscheidung damit, dass ein weitreichendes Auskunftsrecht erforderlich ist, damit betroffene Personen über genügend Informationen verfügen, um andere wichtige Rechte, insbesondere das Recht auf Löschung, Einschränkung oder Widerspruch der Verarbeitung eigener Daten, geltend zu machen.
Kurz: Im Fall der Österreichischen Post AG hätte nach Auffassung des EuGH demnach kein bloßer Verweis auf die Website und der pauschale Hinweis auf die Rechtmäßigkeit erfolgen dürfen, vielmehr hätte diese die konkreten Empfänger benennen müssen.
Urteil zum Auskunftsrecht verschärft die Pflichten für Unternehmen
Für Unternehmen bedeutet die EuGH-Entscheidung, dass sie nun verschärfte Pflichten hinsichtlich Auskunftsersuchen gegenüber betroffenen Personen treffen. Es reicht inzwischen nicht mehr, auf die Datenschutzbestimmungen oder Kategorien von Dritten zu verweisen, die personenbezogene Daten vom Verantwortlichen erhalten haben.
Vielmehr müssen Unternehmen jetzt individuell auf konkrete Auskunftsanfragen durch natürliche Personen eingehen und Betroffene mit den Informationen versorgen, die diese zur Ausübung ihrer Rechte benötigen.
Damit wird nicht nur die Auskunftspflicht an sich verschärft, die neuen Anforderungen haben auch Auswirkungen auf andere Pflichten aus der DSGVO:
- Es ist ratsam, die DSGVO-Konformität im eigenen Unternehmen zu prüfen und ein besonderes Augenmerk auf das Verarbeitungsverzeichnis zu legen.
- Verarbeitungsverträge mit Dritten (insbesondere Empfängern in Drittländern) sollten ordnungsgemäß überprüft und rechtskonform verwaltet werden. Dies hilft dabei, effizient und schnell auf Informationen zu konkreten Empfängern zuzugreifen.
- Informationen über konkrete Empfänger sollten innerhalb der vorgesehenen Antwortfrist von 4 Wochen an die Auskunftssuchenden übermittelt werden.
Wie können Auskünfte für Personen richtig erteilt werden?
Unternehmen sollten darauf achten, die Anträge auf Auskunft sorgfältig zu beantworten. Das bedeutet, dass sie die genauen Verarbeitungstätigkeiten sowie die Identität konkreter Empfänger preisgeben müssen. Das Urteil des EuGH kann auch Auswirkungen auf andere DSGVO-Pflichten (z. B. Art. 14 DSGVO) haben, dies lässt sich dem Urteil aber nicht entnehmen.
Die Einhaltung von Datenschutzbestimmungen ist zum einen wichtig im Hinblick auf die Wahrung der Reputation und der Kundenzufriedenheit. Zum anderen drohen bei Verstößen gegen die DSGVO sensible Bußgelder von bis zu 2 % des weltweiten Jahresumsatzes.
Fazit: Auskunft über personenbezogene Daten DSGVO-konform umsetzen
Es ist Unternehmen daher zu empfehlen, sich bereits im Vorfeld um eine effiziente Auflistung der Datenverarbeitung im Rahmen eines Verarbeitungsverzeichnisses zu kümmern. Dies kann dabei helfen, innerhalb der vorgegebenen Frist auf eine Anfrage von Betroffenen zu reagieren. Zudem ist es ratsam, die für Auskünfte zuständigen Mitarbeiter über aktuelle Ereignisse zu informieren und dahingehend zu schulen, damit diese die Pflichten der DSGVO erfüllen können.
Sie benötigen Unterstützung bei der Umsetzung der DSGVO?
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.