Nennung der Datenempfänger erforderlich laut EuGH und neuen Leitlinien des Europäischen Datenschutzausschusses
Immer wieder herrscht Unklarheit darüber, wie weit der datenschutzrechtliche Auskunftsanspruch Betroffener eigentlich geht und welche Dokumente in welcher Form die Verantwortlichen zur Verfügung stellen müssen. Darüber hat am 12.01.2023 der EuGH entschieden. Licht in’s Dunkel sollen außerdem die neuen Leitlinien des Europäischen Datenschutzausschusses bringen. Nach dem Konsultationsverfahren im Frühjahr 2022 wurden die dort enthaltenen Stellungnahmen ausgewertet und nun am 19. Januar 2023 auf der Plenartagung des EDSA angenommen.
I. Urteil des EuGH vom 12.01.2023
In dem Fall vor dem EuGH ging es um mehrere Datenschutzverletzungen der Österreichischen Post AG: 2019 hatte dort ein Betroffener einen Auskunftsanspruch gem. Art. 15 DS-GVO geltend gemacht. Daraufhin wurde seitens der Post mitgeteilt, dass personenbezogene Daten unter anderem zu Marketingzwecken an Geschäftskunden weitergegeben worden waren wie z. B. IT-Firmen, wobei deren Namen nicht erwähnt wurden. Die betroffene Person wollte es aber genau wissen und ging daher vor Gericht. Der Oberste Gerichtshof Österreichs legte dann die Frage, ob die Empfänger auch namentlich genannt werden müssen, dem EuGH vor. Dort wurde entschieden, dass ohne konkrete Nennung der Datenempfänger ein Betroffener seine weiteren Rechte wie z. B. auf Berichtigung oder Löschung nur sinnvoll geltend machen kann, wenn er weiß, wer seine Daten noch erhalten hat.
II. Leitlinien des EDSA
1. Umfang des Auskunftsrecht
Die wichtigsten Themen in den neuen Leitlinien sind nach wie vor der genaue Umfang des Auskunftsrechts sowie auch die Ausgestaltung der Informationspflichten der Verantwortlichen und das Format des Auskunftsantrags. Pauschale Auskünfte oder gar nur eine Zusendung des Informationstextes gem. Art. 13 DS-GVO genügen nicht, vielmehr sind die gespeicherten personenbezogenen Daten sowie etwaige Datenflüsse und deren Empfänger genau zu benennen. Dies beinhaltet nicht nur eine Auflistung der Datenkategorien, sondern auch Auskunft darüber, welche Daten im Klartext abgespeichert sind. Diese müssen dem Betroffenen auch in verständlicher Form aufbereitet werden; dafür genügt z. B. nicht eine Information nur auf Englisch. Bei Bild- und Sprachaufnahmen sind Kopien an die betroffene Person zu senden, ggf. mit Schwärzungen, falls sonst die Rechte anderer Personen angegriffen würden.
2. Wichtig in diesem Zusammenhang: Onlineshops und Identitätsdiebstahl
Den Beschwerdeführern darf es darüber hinaus nicht unnötig erschwert werden, sich Zugang zu der Auskunft zu verschaffen: Unzureichend ist es daher, wenn Auskunftsansprüche nur über einen Log-In oder über ein Kundenkonto geltend gemacht werden können. Verschafft sich eine unberechtigte Person außerdem Zugang zu einem Online-Account oder Kundenkonto, so sind nun auch diese Daten vom Auskunftsanspruch mit erfasst, sodass der Kunde die Identität des Täters erfahren kann.
Spannend außerdem: Was gerichtliche Entscheidungen zum Auskunftsrecht angeht, so betreffen diese laut der Aufsicht stets nur den konkreten Einzelfall und entfalten auch nur Rechtswirkung zwischen den daran beteiligten Parteien, sodass diese grundsätzlich nicht als allgemein anwendbare Maßstäbe angesehen werden.
コメント