Mehraufwand für Unternehmen bei Auskunftsanspruch

13. Januar 2023

Verantwortliche sind verpflichtet, betroffenen Personen auf Anfrage die Identität der Empfänger, gegenüber welchen personenbezogene Daten offengelegt wurden, mitzuteilen. Dies hat der Europäische Gerichtshof (EuGH) nun in einem Urteil (Urt. v. 12.01.2023 – Rs. C-154/21) entschieden.

Sachverhalt

Dem Urteil vorausgegangen war die Klage eines Österreichers, welcher gegenüber der Österreichischen Post sein Auskunftsrecht nach Art. 15 Abs. 1 lit. c DSGVO geltend machte. Auf die Anfrage, welchen Empfängern gegenüber die Post seine personenbezogenen Daten offengelegt habe, beschränkte sich die Österreichische Post zunächst auf die Auskunft, sie verwende personenbezogene Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und stelle die Daten darüber hinaus Geschäftskunden für Marketingzwecke zur Verfügung. Darunter befanden sich unter anderem werbetreibende Händler, IT-Unternehmen, NGOs und Parteien.

Das Auskunftsrecht nach Art. 15 DSGVO

Gemäß Art. 15 DSGVO haben betroffene Personen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  • Die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Das Urteil eindeutig

Mit seiner Vorlagefrage wollte das vorlegende Gericht im Wesentlichen festgestellt wissen, ob Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen.

Das Auskunftsrecht eines Betroffenen nach Art. 15 DSGVO gilt im Allgemeinen als sehr weitgehend, die Grenzen sind aus wissenschaftlicher Sicht noch nicht abschließend ausdiskutiert. Problematisch ist dabei, dass die in Art. 15 enthaltenen Begriffe „Empfänger“ und „Kategorien von Empfängern“ nebeneinander aufgeführt sind, ohne dass daraus geschlossen werden kann, dass zwischen ihnen ein Vorrangverhältnis besteht

Der EuGH urteilte nun, dass dem Betroffenen die konkrete Identität der Empfänger grundsätzlich mitzuteilen sei. Ausnahmen von dem Umfang der Auskunft können jedoch dann bestehen, wenn der Empfänger (noch) nicht identifiziert werden kann oder der Antrag offenkundig unbegründet beziehungsweise exzessiv ist. In diesen Fällen könne sich die Mitteilung auf die Kategorie der Empfänger beschränken.

„(…) Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. (…)“

Bedeutung für die Praxis

In der Praxis stellt sich nun die Frage, wie Verantwortliche auf das Urteil reagieren sollten.

  • Nach Art. 12 Abs. 1 DSGVO können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden
  • Bei elektronischer Antragsstellung: Informationen gem. Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen
  • Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen (Frist kann in komplexen Fällen um zwei Monate verlängert werden)
  • Informationen sind grundsätzlich kostenlos zur Verfügung zu stellen
  • Neu ist, dass nun jeder einzelne Empfänger der Daten offengelegt werden muss, es sei denn, die betroffene Person entscheidet sich für eine bloße Offenlegung der Empfängerkategorien
  • Ausnahmen: Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO

Was für Strafen drohen Unternehmen, die der spezifischen Auskunftspflicht nicht nachkommen?

  • Bußgelder: DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr (angewendet wird der Wert, der höher ist)
  • Materieller und immaterieller Schadensersatz (Art. 82 DSGVO): Das Arbeitsgericht Düsseldorf (ArbG Düsseldorf, Urteil vom 5. März 2020, Az. 9 Ca 6557/18) hatte beispielsweise einen Schadenersatz in Höhe von 5.000 Euro wegen verspäteter und unzureichender Auskunftserteilung zugesprochen

Ausblick

Ob dieses Urteil auch Auswirkungen auf die Gestaltung der Informationspflichten im Sinne von Art. 13 Abs. 1 lit. e DSGVO beziehungsweise Art. 14 Abs. 1 lit. e DSGVO haben wird, bleibt noch abzuwarten. Aufgrund der kurzen Reaktionszeit auf Auskunftsersuchen nach Art. 12 Abs. 3 DSGVO sollten Unternehmen aber in jedem Falle vorbereitet sein, die nun erforderlichen Informationen bereitzuhalten.

Rechtsanwalt Dr. Karsten Kinast, Geschäftsführer der KINAST Rechtsanwaltsgesellschaft mbH, hat diese Woche im ARD-Morgenmagazin ein kurzes Interview zu dem Urteil gegeben. Hier geht es zum Bericht des Morgenmagazins.

Kategorien: Allgemein · DSGVO · EU-Datenschutzgrundverordnung
Schlagwörter: , , , , ,