Wichtige Entscheidungen von EuGH und OGH zu DSGVO-Auskunftsrechten
Beitrag verfasst von Dr. Rainer Knyrim und Dr. Gerald Trieb, LL.M. – KTR-Newsletter Dezember 2023
Auf europäischer Ebene entschied der EuGH in zwei Vorabentscheidungsverfahren zum Auskunftsrecht des Art 15 DSGVO; in Österreich erging eine aussagekräftige OGH-Entscheidung zu ebendiesen Fragen und der Frage der Exzessivität von Auskunftsbegehren.
EuGH zu Empfängern oder Empfängerkategorien
Anfang des Jahres entschied der EuGH die Rechtssache C-154/21. Gegenstand dieses vom OGH initiierten Vorabentscheidungsverfahrens war die Frage, ob Art 15 Abs 1 lit c DSGVO ein Recht auf namentliche Nennung der Empfänger personenbezogener Daten verleiht oder sich die betroffene Person auch mit einer Information über die Kategorien von Empfängern begnügen muss. Ein entsprechendes Wahlrecht des Verantwortlichen hatten die Unterinstanzen angenommen; der OGH hatte Zweifel und entschloss sich zur Vorlage an den EUGH.
Der EuGH gründete seine Beurteilung der Frage insbesondere auf den Zweck des Auskunftsrechts nach Art 15 DSGVO, das die betroffene Person in die Lage versetzen soll, die Rechtmäßigkeit der über sie verarbeiteten personenbezogenen Daten überprüfen und die Rechte nach Art 16 bis 19 (Recht auf Berichtigung, Löschung und Einschränkung) und Art 21 DSGVO (Widerspruchsrecht) ausüben zu können. Der EuGH kam zum Ergebnis, dass
„Art 15 Abs 1 lit c DSGVO dahingehend auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.“
Der Hinweis des EuGH auf Art 19 DSGVO liefert Argumentationsspielraum dafür, dass die konkreten Empfänger erst auf ausdrückliche Anfrage der betroffenen Person zu beauskunften sind, was jedoch wohl dem Ziel des Auskunftsrechts entgegensteht, die betroffene Person möglichst umfassend über die über ihre Person erfolgende Verarbeitung in Kenntnis zu setzen.
Verantwortliche sind daher gut beraten, Empfänger personenbezogener Daten bei Beantwortung von Auskunftsbegehren namentlich bekannt zu geben. Ein Zurückziehen auf Kategorien von Empfängern müsste jedenfalls auf Nachfrage der betroffenen Personen begründet werden können.
OGH – Suche in Excel nicht exzessiv
Der OGH bezog sich kurz darauf in einer anderen Rechtssache auf dieses Urteil.
In dieser anderen Rechtssache hatte ein Auskunftsbegehren das Ziel, die Frage zu beantworten, ob die personenbezogenen Daten der Klägerin in einer Excel Datei enthalten waren. Schon das Erstgericht hatte in diesem Verfahren festgestellt, dass es nicht exzessiv sei, den Namen einer betroffenen Person in einer Excel-Datei zu suchen, was der OGH bestätigte.
Im Ergebnis der beiden Entscheidungen ist zu beauskunften, wer konkrete Daten erhalten hat und ob eine betroffene Person überhaupt in einer Datei enthalten ist, wobei die Namenssuche in einer Excel-Tabelle nicht exzessiv ist.
EuGH – Reichweite des Auskunftsrechts über interne Zugriffe auf personenbezogene Daten
Eine weitere wichtige Vorabentscheidung des Europäischen Gerichtshofs zur DSGVO erfolgte in der Rechtssache C-579/21): Ein ehemaliger Mitarbeiter einer Bank, der gleichzeitig auch Kunde der Bank war, forderte seinen Arbeitgeber auf, ihm die Identitäten der Arbeitnehmer mitzuteilen, die seine personenbezogenen Daten, im gegenständlichen Fall Protokolldaten, abgefragt hatten. Außerdem verlangte er Auskunft über den genauen Zeitpunkt der Abfragen sowie über deren Zwecke. Die Bank weigerte sich, die Identitäten der Mitarbeiter offenzulegen, mit der Begründung, dass es sich dabei um die personenbezogenen Daten der zugreifenden Mitarbeiter handle. Auch machte sie keine Angaben zu Zweck und Zeitpunkt der Abfragen.
In Bezug auf das Recht des Mitarbeiters, nach Art 15 DSGVO Auskunft über Zeitpunkt und Zwecke von Abfragen seiner personenbezogenen Daten sowie die Identität der Abfragenden als Empfänger seiner personenbezogenen Daten zu erhalten, differenzierte der EuGH: So hielt er zunächst fest, dass es sich bei einer Abfrage personenbezogener Daten um einen Verarbeitungsvorgang handelt, der dem Auskunftsrecht nach Art 15 DSGVO unterliegt. Die Informationen über Zeitpunkt und Zwecke dieser Abfragen sind zudem vor dem Hintergrund dessen vom Auskunftsrecht gedeckt, dass dieses – wie schon in der früheren, oben beschriebenen EuGH-Entscheidung klargestellt – die betroffene Person in die Lage versetzen soll, Auskunft über die über ihre Person verarbeiteten Daten zu erlangen, sowie die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können.
In Bezug auf die Auskunft über die Identität der Abfragenden (auch als entsprechend agierende Mitarbeiter des Verantwortlichen) hielt der EuGH diese dann für möglich, wenn die Information unerlässlich ist, um es der betroffenen Person zu ermöglichen, die ihr durch die DSGVO verliehenen Rechte wirksam wahrzunehmen. Mit anderen Worten: Wenn dies für die Überprüfung der Rechtmäßigkeit der Verarbeitung und für die Geltendmachung weiterer Rechte nach DSGVO (z.B. Löschung, Berichtigung) erforderlich ist. Dabei sind jedoch die Rechte und Freiheiten der Arbeitnehmer zu berücksichtigen. Die vor diesem Hintergrund erforderliche Interessenabwägung überließ der EuGH dem Vorlagegericht.