EuGH entscheidet: Die Auskunftspflicht bei DSGVO-Anfragen ist konkret zu gestalten. Der EuGH hat in einem Gerichtsurteil entschieden, dass eine betroffene Person wählen kann, ob die konkreten Empfänger seiner Daten oder lediglich Kategorien von Empfängern zu benennen sind. Das Urteil bringt erhebliche Auswirkungen auf die Datenverarbeitung für Unternehmen mit sich. Doch was müssen Unternehmen tun, wenn Betroffene bei DSGVO-Anfragen die Auskunftspflicht einfordern?
Worum ging es bei dem Urteil?
Eine Person stellt einen Auskunftsantrag bei der Österreichischen Post AG, um genauere Informationen über die von ihr gespeicherten personenbezogenen Daten zu erhalten — insbesondere, an welche konkreten Empfänger diese Daten übermittelt worden sind. In ihrer Antwort beschränkt sich die Post auf die Aussage, dass die Daten nur verwendet werden, soweit es rechtlich zulässig ist und im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern.
Dabei bietet sie Geschäftskunden an, diese personenbezogenen Daten für Marketingzwecke zu nutzen. Die Post gab jedoch nicht die Auskunft, wer die konkreten Empfänger dieser Daten der Person sind. Mit seiner Klage fordert die Person eine Auflistung der einzelnen Empfänger. Im weiteren Verlauf des Antrags spezifiziert die Post die bisherigen Angaben etwas genauer und zählt folgende Kategorien von Empfängern auf: Werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen oder politische Parteien. Doch dies reicht der Person nicht. Am Ende wurde der Sachverhalt dem EuGH vorgelegt.
Wie begründet der EuGH sein Urteil zur Auskunftspflicht?
Der EuGH entscheidet, dass der Betroffene und nicht der Verantwortliche festlegt, ob Empfänger oder Kategorien von Empfängern genannt werden müssen. Eine Wahlmöglichkeit hat das Unternehmen nicht. Das Auskunftsersuchen hat jedoch seine Grenzen und kann nicht für die Erfüllung unmöglicher Wünsche genutzt werden. Gesetzeswidriges Verhalten sowie übermäßige oder offensichtlich unberechtigte Antragsstellung sind untersagt und müssen vom Verantwortlichen nachgewiesen werden.
Der EuGH stärkt erneut den Schutz der Rechte von Betroffenen. Er möchte, dass alle Verantwortlichen ihre Pflichten zur Erfüllung hochgesteckter Ziele im Bereich des Datenschutzes uneingeschränkt wahrnehmen und betont hierbei die Wichtigkeit von Details über verarbeitete personenbezogene Daten. Der EuGH setzt die starke Position der Betroffenen bei der Wahrnehmung des Auskunftsrechts konsequent um. Nur aufgrund guter und umfassender Informationen können betroffene Personen ihre weiteren Rechte ausüben.
Was ist konkret zu tun bei der Auskunftspflicht?
Es ist ratsam, Auskunftsersuchen ernst zu nehmen. Sofern explizit danach gefragt wird, sind konkrete Empfänger innerhalb der vorgeschriebenen Frist zu nennen. Dies kann mit einem hohen Aufwand verbunden sein, insbesondere, wenn bislang nicht dokumentiert wird, an welche Empfänger die Daten der betroffenen Personen übermittelt worden sind oder übermittelt werden sollen.
Um den Aufwand so gering zu halten, wird empfohlen, für jede Datenverarbeitung zunächst nur Empfängerkategorien zu nennen. Wenn betroffene Personen jedoch gezielt nachfragen, müssen die konkreten Empfänger einschließlich der Zwecke der Übermittlung genannt werden. Sofern noch keine Prozesse etabliert sind, die eine solche Beauskunftung ermöglichen, muss das Unternehmen dies für die Zukunft berücksichtigen.