EuGH: Datenauskunft muss konkrete Empfänger beinhalten.
Anfrage nach Weitergabe von personenbezogenen Daten: Ein Kunde stellte 2019 eine Anfrage bei der Österreichischen Post, um zu erfahren, ob und an wen die Post personenbezogene Daten über ihn weitergegeben hatte. Diese Anfrage basierte auf Art. 15 Abs. 1 Buchst. c der EU-Datenschutz-Grundverordnung (DSGVO). Laut dieser Bestimmung hat eine betroffene Person das Recht, Informationen von dem Verantwortlichen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt wurden oder noch offengelegt werden. In ihrer Antwort beschränkte sich die Österreichische Post jedoch darauf zu erklären, dass sie personenbezogene Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonverzeichnissen verwendet und diese Daten Geschäftskunden für Marketingzwecke anbietet, soweit dies rechtlich zulässig ist.
Dazu hat der EuGH entgegen Vorinstanzen zugunsten der Post entschieden. Er entschied die Pflicht des Verantwortlichen zur Mitteilung der konkreten Identität von Empfängern von personenbezogenen Daten. Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung klargestellt, dass dem Betroffenen grundsätzlich die konkrete Identität der Empfänger von personenbezogenen Daten mitgeteilt werden muss. Obwohl der Wortlaut der DSGVO keinen Vorrang der Mitteilung der konkreten Identität des Empfängers erkennen lässt, hat der EuGH festgestellt, dass dies für die praktische Wirksamkeit vieler DSGVO-Rechte erforderlich ist. Dies bezieht sich unter anderem auf das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und dem Beschwerderecht. Eine Ausnahme sieht der EuGH nur, wenn es dem Verantwortlichen nicht möglich sei, die Empfänger zu identifiziere, weil diese noch nicht bekannt sind. Auch bei unbegründeten oder exzessiven anfragen dürften nur die Kategorien genannt werden (Art. 12 DSGVO).
Für die Betroffenen trägt diese Entscheidung das Ziel des höchstmöglichen Datenschutzniveaus für natürliche Personen nach dem Grundsatz der Transparenz.
Was müssen Sie als Unternehmen tun:
Optimieren Sie Ihre Datenauskunft durch vorausschauende Planung:
- Sammeln Sie von Anfang an die notwendigen Informationen für die spätere Auskunft bei der Integration von neuen Prozessen, Software und Diensten.
- Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten, in dem alle Datenempfänger erfasst werden.
- Sorgen Sie für eine regelmäßige Aktualisierung der Datenschutzdokumentation.
- Berücksichtigen Sie die konkreten Datenempfänger in jeder Datenauskunft, um Ihre Datenauskunft transparent zu gestalten.
Zum Download: Muster zur Erteilung einer Datenauskunft nach Artikel 15 DSGVO und weiterführende Informationen für Unternehmen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks