Neu­es vom EuGH: Aus­kunfts­pflicht bei DSGVO-Anfra­gen kon­kret gestalten

EuGH ent­schei­det: Die Aus­kunfts­pflicht bei DSGVO-Anfra­gen ist kon­kret zu gestal­ten. Der EuGH hat in einem Gerichts­ur­teil ent­schie­den, dass eine betrof­fe­ne Per­son wäh­len kann, ob die kon­kre­ten Emp­fän­ger sei­ner Daten oder ledig­lich Kate­go­rien von Emp­fän­gern zu benen­nen sind. Das Urteil bringt erheb­li­che Aus­wir­kun­gen auf die Daten­ver­ar­bei­tung für Unter­neh­men mit sich. Doch was müs­sen Unter­neh­men tun, wenn Betrof­fe­ne bei DSGVO-Anfra­gen die Aus­kunfts­pflicht einfordern?

Wor­um ging es bei dem Urteil?

Eine Per­son stellt einen Aus­kunfts­an­trag bei der Öster­rei­chi­schen Post AG, um genaue­re Infor­ma­tio­nen über die von ihr gespei­cher­ten per­so­nen­be­zo­ge­nen Daten zu erhal­ten — ins­be­son­de­re, an wel­che kon­kre­ten Emp­fän­ger die­se Daten über­mit­telt wor­den sind. In ihrer Ant­wort beschränkt sich die Post auf die Aus­sa­ge, dass die Daten nur ver­wen­det wer­den, soweit es recht­lich zuläs­sig ist und im Rah­men ihrer Tätig­keit als Her­aus­ge­be­rin von Telefonbüchern. 

Dabei bie­tet sie Geschäfts­kun­den an, die­se per­so­nen­be­zo­ge­nen Daten für Mar­ke­ting­zwe­cke zu nut­zen. Die Post gab jedoch nicht die Aus­kunft, wer die kon­kre­ten Emp­fän­ger die­ser Daten der Per­son sind. Mit sei­ner Kla­ge for­dert die Per­son eine Auf­lis­tung der ein­zel­nen Emp­fän­ger. Im wei­te­ren Ver­lauf des Antrags spe­zi­fi­ziert die Post die bis­he­ri­gen Anga­ben etwas genau­er und zählt fol­gen­de Kate­go­rien von Emp­fän­gern auf: Wer­be­trei­ben­de Unter­neh­men im Ver­sand­han­del und sta­tio­nä­ren Han­del, IT-Unter­neh­men, Adress­ver­la­ge und Ver­ei­ne wie Spen­den­or­ga­ni­sa­tio­nen, Nicht­re­gie­rungs­or­ga­ni­sa­tio­nen oder poli­ti­sche Par­tei­en. Doch dies reicht der Per­son nicht. Am Ende wur­de der Sach­ver­halt dem EuGH vorgelegt.

Wie begrün­det der EuGH sein Urteil zur Auskunftspflicht?

Der EuGH ent­schei­det, dass der Betrof­fe­ne und nicht der Ver­ant­wort­li­che fest­legt, ob Emp­fän­ger oder Kate­go­rien von Emp­fän­gern genannt wer­den müs­sen. Eine Wahl­mög­lich­keit hat das Unter­neh­men nicht. Das Aus­kunfts­er­su­chen hat jedoch sei­ne Gren­zen und kann nicht für die Erfül­lung unmög­li­cher Wün­sche genutzt wer­den. Geset­zes­wid­ri­ges Ver­hal­ten sowie über­mä­ßi­ge oder offen­sicht­lich unbe­rech­tig­te Antrags­stel­lung sind unter­sagt und müs­sen vom Ver­ant­wort­li­chen nach­ge­wie­sen werden.

Der EuGH stärkt erneut den Schutz der Rech­te von Betrof­fe­nen. Er möch­te, dass alle Ver­ant­wort­li­chen ihre Pflich­ten zur Erfül­lung hoch­ge­steck­ter Zie­le im Bereich des Daten­schut­zes unein­ge­schränkt wahr­neh­men und betont hier­bei die Wich­tig­keit von Details über ver­ar­bei­te­te per­so­nen­be­zo­ge­ne Daten. Der EuGH setzt die star­ke Posi­ti­on der Betrof­fe­nen bei der Wahr­neh­mung des Aus­kunfts­rechts kon­se­quent um. Nur auf­grund guter und umfas­sen­der Infor­ma­tio­nen kön­nen betrof­fe­ne Per­so­nen ihre wei­te­ren Rech­te ausüben.

Was ist kon­kret zu tun bei der Auskunftspflicht?

Es ist rat­sam, Aus­kunfts­er­su­chen ernst zu neh­men. Sofern expli­zit danach gefragt wird, sind kon­kre­te Emp­fän­ger inner­halb der vor­ge­schrie­be­nen Frist zu nen­nen. Dies kann mit einem hohen Auf­wand ver­bun­den sein, ins­be­son­de­re, wenn bis­lang nicht doku­men­tiert wird, an wel­che Emp­fän­ger die Daten der betrof­fe­nen Per­so­nen über­mit­telt wor­den sind oder über­mit­telt wer­den sollen.

Um den Auf­wand so gering zu hal­ten, wird emp­foh­len, für jede Daten­ver­ar­bei­tung zunächst nur Emp­fän­ger­ka­te­go­rien zu nen­nen. Wenn betrof­fe­ne Per­so­nen jedoch gezielt nach­fra­gen, müs­sen die kon­kre­ten Emp­fän­ger ein­schließ­lich der Zwe­cke der Über­mitt­lung genannt wer­den. Sofern noch kei­ne Pro­zes­se eta­bliert sind, die eine sol­che Beaus­kunf­tung ermög­li­chen, muss das Unter­neh­men dies für die Zukunft berücksichtigen.