Wichtige Entscheidungen von EuGH und OGH zu DSGVO-Auskunftsrechten

Beitrag verfasst von Dr. Rainer Knyrim und Dr. Gerald Trieb, LL.M. – KTR-Newsletter Dezember 2023

Auf europäischer Ebene entschied der EuGH in zwei Vorabentscheidungsverfahren zum Auskunftsrecht des Art 15 DSGVO; in Österreich erging eine aussagekräftige OGH-Entscheidung zu ebendiesen Fragen und der Frage der Exzessivität von Auskunftsbegehren.

EuGH zu Empfängern oder Empfängerkategorien
Anfang des Jahres entschied der EuGH die Rechtssache C-154/21. Gegenstand dieses vom OGH initiierten Vorabentscheidungsverfahrens war die Frage, ob Art 15 Abs 1 lit c DSGVO ein Recht auf namentliche Nennung der Empfänger personenbezogener Daten verleiht oder sich die betroffene Person auch mit einer Information über die Kategorien von Empfängern begnügen muss. Ein entsprechendes Wahlrecht des Verantwortlichen hatten die Unterinstanzen angenommen; der OGH hatte Zweifel und entschloss sich zur Vorlage an den EUGH.

Der EuGH gründete seine Beurteilung der Frage insbesondere auf den Zweck des Auskunftsrechts nach Art 15 DSGVO, das die betroffene Person in die Lage versetzen soll, die Rechtmäßigkeit der über sie verarbeiteten personenbezogenen Daten überprüfen und die Rechte nach Art 16 bis 19 (Recht auf Berichtigung, Löschung und Einschränkung) und Art 21 DSGVO (Widerspruchsrecht) ausüben zu können. Der EuGH kam zum Ergebnis, dass

„Art 15 Abs 1 lit c DSGVO dahingehend auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.“

Der Hinweis des EuGH auf Art 19 DSGVO liefert Argumentationsspielraum dafür, dass die konkreten Empfänger erst auf ausdrückliche Anfrage der betroffenen Person zu beauskunften sind, was jedoch wohl dem Ziel des Auskunftsrechts entgegensteht, die betroffene Person möglichst umfassend über die über ihre Person erfolgende Verarbeitung in Kenntnis zu setzen.

Verantwortliche sind daher gut beraten, Empfänger personenbezogener Daten bei Beantwortung von Auskunftsbegehren namentlich bekannt zu geben. Ein Zurückziehen auf Kategorien von Empfängern müsste jedenfalls auf Nachfrage der betroffenen Personen begründet werden können.

OGH – Suche in Excel nicht exzessiv
Der OGH bezog sich kurz darauf in einer anderen Rechtssache auf dieses Urteil.

In dieser anderen Rechtssache hatte ein Auskunftsbegehren das Ziel, die Frage zu beantworten, ob die personenbezogenen Daten der Klägerin in einer Excel Datei enthalten waren. Schon das Erstgericht hatte in diesem Verfahren festgestellt, dass es nicht exzessiv sei, den Namen einer betroffenen Person in einer Excel-Datei zu suchen, was der OGH bestätigte.

Im Ergebnis der beiden Entscheidungen ist zu beauskunften, wer konkrete Daten erhalten hat und ob eine betroffene Person überhaupt in einer Datei enthalten ist, wobei die Namenssuche in einer Excel-Tabelle nicht exzessiv ist.

EuGH – Reichweite des Auskunftsrechts über interne Zugriffe auf personenbezogene Daten
Eine weitere wichtige Vorabentscheidung des Europäischen Gerichtshofs zur DSGVO erfolgte in der Rechtssache C-579/21): Ein ehemaliger Mitarbeiter einer Bank, der gleichzeitig auch Kunde der Bank war, forderte seinen Arbeitgeber auf, ihm die Identitäten der Arbeitnehmer mitzuteilen, die seine personenbezogenen Daten, im gegenständlichen Fall Protokolldaten, abgefragt hatten. Außerdem verlangte er Auskunft über den genauen Zeitpunkt der Abfragen sowie über deren Zwecke. Die Bank weigerte sich, die Identitäten der Mitarbeiter offenzulegen, mit der Begründung, dass es sich dabei um die personenbezogenen Daten der zugreifenden Mitarbeiter handle. Auch machte sie keine Angaben zu Zweck und Zeitpunkt der Abfragen.

In Bezug auf das Recht des Mitarbeiters, nach Art 15 DSGVO Auskunft über Zeitpunkt und Zwecke von Abfragen seiner personenbezogenen Daten sowie die Identität der Abfragenden als Empfänger seiner personenbezogenen Daten zu erhalten, differenzierte der EuGH: So hielt er zunächst fest, dass es sich bei einer Abfrage personenbezogener Daten um einen Verarbeitungsvorgang handelt, der dem Auskunftsrecht nach Art 15 DSGVO unterliegt. Die Informationen über Zeitpunkt und Zwecke dieser Abfragen sind zudem vor dem Hintergrund dessen vom Auskunftsrecht gedeckt, dass dieses – wie schon in der früheren, oben beschriebenen EuGH-Entscheidung klargestellt – die betroffene Person in die Lage versetzen soll, Auskunft über die über ihre Person verarbeiteten Daten zu erlangen, sowie die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können.

In Bezug auf die Auskunft über die Identität der Abfragenden (auch als entsprechend agierende Mitarbeiter des Verantwortlichen) hielt der EuGH diese dann für möglich, wenn die Information unerlässlich ist, um es der betroffenen Person zu ermöglichen, die ihr durch die DSGVO verliehenen Rechte wirksam wahrzunehmen. Mit anderen Worten: Wenn dies für die Überprüfung der Rechtmäßigkeit der Verarbeitung und für die Geltendmachung weiterer Rechte nach DSGVO (z.B. Löschung, Berichtigung) erforderlich ist. Dabei sind jedoch die Rechte und Freiheiten der Arbeitnehmer zu berücksichtigen. Die vor diesem Hintergrund erforderliche Interessenabwägung überließ der EuGH dem Vorlagegericht.

Artikel drucken

Beiträge

Newsletter Dezember 2023

Wichtige Entscheidungen von EuGH und OGH zu DSGVO-Auskunftsrechten

Fragestellungen zum Auskunftsrecht beschäftigten die Gerichte im Jahr 2023 mehrfach. Zwei EuGH-Entscheidungen in Vorabentscheidungsverfahren und, beispielhaft, eine OGH-Entscheidung brachten wichtige Klarstellungen. In welchen Fällen sind Empfänger oder nur Empfängerkategorien zu beauskunften? Wann gilt ein Auskunftsbegehren möglicherweise als exzessiv? Sind unternehmensinterne Zugriffe für eine DSGVO-Auskunft relevant?

EuGH zur Frage, was eine „Kopie“ ist

Im Zusammenhang mit dem Auskunftsrecht des Art 15 DSGVO hatten und haben sich die Gerichte oftmals auch mit der korrekten Auslegung des Begriffs „Kopie“ auseinandergesetzt. Eine EuGH-Entscheidung brachte dazu eine (gewisse) Klarstellung; die Vorabentscheidungsfragen waren vom österreichischen BVwG vorgelegt worden.

Datenschutz-Wissen für 2024

Informieren Sie sich über unsere bewährten Ausbildungen, Seminare und Tagungen im Datenschutzrecht im Frühjahr 2024! Aktuell besonders wichtig: Die neuen Digitalisierungsrechtsakte der EU mit Data Act, Digital Markets Act, Data Governance Act und AI-Act. Für das regelmäßige Wissens-Update empfehlen wir unser Abonnement „Datenschutz-Infoservice“.

Ist die Übergabe einer Visitenkarte eine konkludente Zustimmung zum Erhalt von Werbung?

Werbung ist nicht immer erwünscht! Das zeigte auch ein Verfahren vor dem BVwG, das mit einer Geldstrafe endete. Wann eine Einwilligung von potentiellen Interessenten vorliegt, ist rechtlich durchaus heikel. Mit entsprechendem Bewusstsein und den richtigen Prozessen können Unternehmen potentiellen Fallstricken entgehen!

Kommentierung zum internationalen Datenverkehr aktualisiert

Internationaler Datenverkehr, vor allem zwischen EU und USA, ist ein datenschutzrechtlicher Dauerbrenner! Seit Juli 2023 kann das neue EU-U.S. DPF für rechtskonforme Transfers herangezogen werden. Was ist zu beachten? „Der DatKomm“ im Verlag MANZ bietet eine kürzlich erschienene Neukommentierung des Themas, verfasst von Dr. Rainer Knyrim und Mag. Marek Gerhalter, LL.M.

Datenschutzinformation – DSB und Gerichte verlangen konkrete Informationen statt abstrakter Umschreibungen

Datenschutzinformationen enthalten häufig abstrakte Umschreibungen wie z.B. „Wir übermitteln Daten zu Werbezwecken an Dritte.“ Die Rechtsprechung der DSB und der österreichischen Gerichte ist jedoch eindeutig: Datenschutzinformationen sollen konkrete Informationen liefern. Wir geben einen kurzen Überblick über die bisherige Rechtsprechung, inklusive der bereits im letzten Newsletter behandelten OGH-Rechtsprechung zur Klauselkontrolle.

EU-Digitalisierungsrechtsakte – Sonderausgaben im MANZ Verlag

Die ganz neuen und kompakten Sonderausgaben von Dr. Rainer Knyrim erleichtern den Einstieg und die juristische Arbeit mit den EU-Digitalisierungsrechtsakten.

Knyrim Trieb tritt PrivacyRules bei

„PrivacyRules“ vernetzt Datenschutzkanzleien aus allen Kontinenten. Knyrim Trieb Rechtsanwälte sind dem Netzwerk, das nicht nur auf Internationalität, sondern auch auf Interdisziplinarität besonderen Wert legt, im Herbst 2023 beigetreten.