EuGH verschärft Auskunftsrecht nach DSGVO
Das Auskunftsrecht des Einzelnen nach Art 15 DSGVO ist regelmäßig einer der Reibungspunkt mit den eigenen Kund:innen – gerade bei der Frage, worüber man eigentlich beauskunften muss.
Die DSGVO lässt hier auf den ersten Blick nämlich durchaus Spielräume zu – sie sieht vor, dass unter anderem auch die (konkreten) Empfänger:innen oder (typenmäßig umschriebenen) Kategorien von Empfänger:innen offenzulegen sind. In der Praxis macht das einen wesentlichen Unterschied – so ist es einfacher, offenzulegen, dass etwa IT-Dienstleister Daten erhalten zu haben, als jeden einzelnen aufzuzählen. Der EuGH hat sich nun zu einer restriktiven Auslegung dazu entschieden.
Im vorliegenden Fall hat der EuGH im Zuge eines vom OGH eingereichten Vorabentscheidungsersuchens zu entscheiden. Konkret wandte sich der Kläger an die Österreichischen Post, um Auskunft über die Empfänger:innen dieser Daten zu erhalten. Die Österreichische Post teilte dem Kläger daraufhin mit, seine personenbezogenen Daten seien zu Marketingzwecken verarbeitet und an “Kund:innen” weitergegeben worden. Die konkreten Namen der Empfänger:innen teilte sie aber nicht mit.
Der EuGH hat sich dieser Vorgehensweise allerdings nicht angeschlossen. Verantwortliche müssen seiner Ansicht nach die Identität der Empfänger:innen beauskunften. Auf die bloßen Kategorien der Empfänger:innen darf er sich nur in Ausnahmefällen beschränken – nämlich dann, wenn es
- faktisch nicht möglich ist, die Empfänger:innen zu identifizieren, oder
- das Auskunftsbegehren offenkundig unbegründet oder exzessiv ist.
In der Praxis werden damit die Auskünfte regelmäßig umfangreicher als bisher ausfallen müssen. Gerne wird auch übersehen, dass etwa die Daten von (Sub-)Auftragsverarbeitern ebenfalls offenzulegen sind. Möchte sich ein Unternehmen hingegen auf eine der Ausnahmen stützen, wird es unumgänglich sein, sie im Detail zu dokumentieren.
