Was ist der Auskunftsanspruch?
Der Auskunftsanspruch nach Art. 15 DSGVO ist das zentrale Betroffenenrecht innerhalb der DSGVO. Die Betroffenen haben, verkürzt gesagt, das Recht, kostenfrei Auskunft von der verantwortlichen Stelle zu erhalten, welche sie betreffenden Daten für welche Zwecke verarbeitet werden. Was alles zu einer solchen Auskunft gehört, ist aktuell Gegenstand einer Vielzahl von gerichtlichen Verfahren – u.a. dieses Verfahren vor dem Europäischen Gerichtshof.
Was ist passiert?
Als Folge eines Datenskandals bei der Österreichischen Post AG 2019 machte ein Betroffener sein Recht auf Auskunft geltend. Er wollte neben den ihn betreffenden Daten auch die Information erhalten, an welche Empfänger die Daten weitergegeben wurden. Die Österreichische Post AG weigerte sich dieser Aufforderung nachzukommen und nannte dem Betroffenen lediglich die Kategorien der Empfänger. So wusste der Betroffene nur, dass seine Daten zu Marketingzwecken an Geschäftskunden weitergegeben wurden. Beispielhaft wurden werbetreibende Händler, NGO’s und Parteien genannt. Allerdings enthielt die Mitteilung nicht die genaue Angabe der einzelnen Datenempfänger. Daher klagte der Betroffene diese Angaben ein.
Das Verfahren landete über mehrere Instanzen beim Obersten Gerichtshof Österreich, welcher die Frage, ob es ausreiche, nur die Kategorien von Empfänger zu nennen, dem EuGH vorlegte.
Die Österreichische Post AG stütze sich in ihrer Weigerung, die genauen Datenempfänger anzugeben, auf den Wortlaut des Art. 15 Abs. 1 lit. c DSGVO, welcher das Auskunftsrecht begründet:
[…]hat sie [sie=Betroffener Anm.d.Red.] ein Recht auf Auskunft […] auf folgende Informationen:
c) die Empfänger oder Kategorien von Empfängern […]
Der EuGH hat dieser Auffassung deutlich widersprochen und festgelegt, dass der Auskunftsanspruch in der Weise zu erfüllen ist, dass die einzelnen Datenempfänger genannt werden müssen.
Die Entscheidung des EuGH
Das Auskunftsrecht stellt das wichtigste Betroffenenrecht innerhalb der DSGVO dar. Erst wenn der Betroffene weiß, welche seiner Daten verarbeitet werden, kann er weitere Rechte, wie bspw. das Recht auf Löschen, das Recht auf Berichtigung oder das Recht zum Widerspruch gegen bestimmte Verarbeitungen, wirksam geltend machen. Hierzu zählt auch, dass der Betroffene wissen muss, wer seine Daten verarbeitet. Daher ist es laut dem EuGH eben nicht ausreichend, wenn nur die Kategorien der Empfänger genannt werden.
Er bekräftigt somit den datenschutzrechtlichen Grundsatz: „Nur wer Bescheid weiß, was mit seinen Daten geschieht, kann wirksam seine Betroffenenrechte geltend machen“.
Welche Bedeutung hat diese Entscheidung für Sie als verantwortliche Stelle?
Als verantwortliche Stelle im Sinne der DSGVO müssen Sie in der Lage sein, genau nachvollziehen zu können, welche Daten an welche Empfänger weitergegeben werden. Diese Verpflichtung besteht jedoch nicht nur im Rahmen eines Auskunftsersuchens, sondern trifft Sie auch, wenn ein Betroffener bspw. einen Löschwunsch geltend macht. Nach Art. 19 DSGVO sind Sie dazu verpflichtet, allen Empfängern der Daten diesen Löschwunsch zu übermitteln.
Es empfiehlt sich daher im Rahmen eines ganzheitlichen Datenschutzmanagementsystems bereits bei der Auswahl und Installation der Software darauf zu achten, ob und wie die Datenströme nachvollzogen werden können. Beim Betrieb bestehender Systeme sind Prozesse zu schaffen, die eine Nachvollziehbarkeit der Empfänger von Daten sicherstellen.
Werden Sie jetzt aktiv und überprüfen Sie Ihre Prozesse und Anwendungen hinsichtlich dieser neuen Anforderung.
Gerne beraten wir Sie und stehen helfend zur Seite, um Sie DSGVO-konform aufzustellen. Sprechen Sie uns einfach an!
