Beim Auskunftsrecht handelt es sich um das wichtigste Betroffenenrecht, da sich alle weiteren Betroffenenrechte (z.B. Recht auf Löschung, Recht auf Berichtigung, Recht auf Einschränkung der Verarbeitung) im Grunde aus diesem ergeben. Erst dann, wenn eine betroffene Person Kenntnis darüber erlangt, welche Daten ein Unternehmen über sie gespeichert hat, kann sie weitere Rechte überhaupt geltend machen. Ein in der Vergangenheit häufig diskutiertes Thema war dabei stets die Reichweite des Auskunftsanspruchs. Insbesondere die Fragestellung, inwiefern ein Unternehmen auch die Empfänger von personenbezogenen Daten offenlegen muss, war hier erst vor kurzem Gegenstand in einem Fall rund um die Österreichische Post. Speziell ging es hierbei um die Frage, ob die bloße Nennung der Empfängerkategorien ausreichend wäre, um ein Auskunftsersuchen zu bedienen oder ob wirklich die konkreten Empfänger aufgeschlüsselt werden müssten. Gleichzeitig wurde in diesem Fall auch der Ermessensspielraum des Verantwortlichen und die Reichweite des Auskunftsersuchens erörtert.
Der Sachverhalt war dabei folgender: Bereits 2019 gab es ein Verfahren gegen die Österreichische Post AG, da diese Daten ihrer Kunden zu Marketingzwecken an Geschäftskunden, werbetreibende Händler, IT-Unternehmen, NGOs und Parteien weitergegeben hatte. Eine betroffene Person hatte hier ein Auskunftsersuchen gestellt. Die Post war allerdings zu keinen detaillierten Auskünften bezüglich der Datenempfänger bereit, weshalb die Privatperson mit ihrem Anliegen bis hin zum OGH (Oberster Gerichtshof Österreichs) zog. Der OGH legte die Frage, ob die Österreichische Post die konkreten Empfänger der Daten im Detail bekanntgeben muss, ebenfalls dem EuGH vor. Die Erste Kammer des EuGH kam dabei zu dem Ergebnis, dass „das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen“. Das Urteil bedeutet für Unternehmen daher künftig einen Mehraufwand bei einem Auskunftsersuchen. Ausnahmen davon soll es nur in Fällen geben, in denen z.B. der Verantwortliche die Empfänger nicht ohne Weiteres klar identifizieren kann (z.B. künftige Empfänger) oder wenn der Verantwortliche nachweisen kann, dass das Auskunftsersuchen an sich offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO ist.
Das Urteil bedeutet für Unternehmen künftig einen Mehraufwand bei einem Auskunftsersuchen. Ausnahmen davon soll es nur in Fällen geben, in denen z.B. der Verantwortliche die Empfänger nicht identifizieren kann (z.B. künftige Empfänger) oder wenn der Verantwortliche nachweisen kann, dass das Auskunftsersuchen an sich offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO ist.
Mit diesem Urteil des EuGH zugunsten der Rechte von Privatpersonen wird ein verlässliches und übersichtliches System zur Verarbeitung von personenbezogenen Daten für die Unternehmen noch wichtiger. Tatsächlich haben in der Praxis leider noch immer viele Unternehmen Probleme mit einem Auskunftsersuchen, da die Systeme, in denen die Daten abgelegt sind, häufig nicht strukturiert oder datenschutzkonform sind. So wird die Anfrage einer Privatperson oder einer Datenschutzbehörde schnell zu einer Herausforderung. Da Auskunftsersuchen von Privatpersonen früher oder später jedes Unternehmen ereilen werden, ist es hier essenziell wichtig, auf diese Situation technisch und auch organisatorisch vorbereitet zu sein, um die Anfragen auch entsprechend bedienen zu können.
Das Urteil der Ersten Kammer des EuGH stärkt die Rechte von betroffenen Personen und schärft die Konturen des Auskunftsersuchens. Hier kommen künftig weitere Herausforderungen für die praktische Umsetzung der Beantwortung einer Anfrage von betroffenen Personen auf die Unternehmen zu. Sollten Sie bezüglich dieses Themas Fragen haben oder Unterstützung benötigen, können Sie jederzeit auf uns zukommen.
Quellenangaben
– Artikel „EuGH: Empfänger müssen in Auskunft konkret benannt werden“, abgerufen am 18.01.2023 unter https://www.dr-datenschutz.de/eugh-empfaenger-muessen-in-auskunft-konkret-benannt-werden/– URTEIL DES GERICHTSHOFS (Erste Kammer) vom 12. Januar 2023, abgerufen unter: https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=322661