EuGH verschärft Auskunftsrecht nach DSGVO

Article • Bank-, Versicherungs- und Wertpapieraufsichtsrecht von Christian Lenz, Raphael Toman

Das Auskunftsrecht des Einzelnen nach Art 15 DSGVO ist regelmäßig einer der Reibungspunkt mit den eigenen Kund:innen – gerade bei der Frage, worüber man eigentlich beauskunften muss.

Die DSGVO lässt hier auf den ersten Blick nämlich durchaus Spielräume zu – sie sieht vor, dass unter anderem auch die (konkreten) Empfänger:innen oder (typenmäßig umschriebenen) Kategorien von Empfänger:innen offenzulegen sind. In der Praxis macht das einen wesentlichen Unterschied – so ist es einfacher, offenzulegen, dass etwa IT-Dienstleister Daten erhalten zu haben, als jeden einzelnen aufzuzählen. Der EuGH hat sich nun zu einer restriktiven Auslegung dazu entschieden.

Im vorliegenden Fall hat der EuGH im Zuge eines vom OGH eingereichten Vorabentscheidungsersuchens zu entscheiden. Konkret wandte sich der Kläger an die Österreichischen Post, um Auskunft über die Empfänger:innen dieser Daten zu erhalten. Die Österreichische Post teilte dem Kläger daraufhin mit, seine personenbezogenen Daten seien zu Marketingzwecken verarbeitet und an “Kund:innen” weitergegeben worden. Die konkreten Namen der Empfänger:innen teilte sie aber nicht mit.

Der EuGH hat sich dieser Vorgehensweise allerdings nicht angeschlossen. Verantwortliche müssen seiner Ansicht nach die Identität der Empfänger:innen beauskunften. Auf die bloßen Kategorien der Empfänger:innen darf er sich nur in Ausnahmefällen beschränken – nämlich dann, wenn es

  • faktisch nicht möglich ist, die Empfänger:innen zu identifizieren, oder
  • das Auskunftsbegehren offenkundig unbegründet oder exzessiv ist.

In der Praxis werden damit die Auskünfte regelmäßig umfangreicher als bisher ausfallen müssen. Gerne wird auch übersehen, dass etwa die Daten von (Sub-)Auftragsverarbeitern ebenfalls offenzulegen sind. Möchte sich ein Unternehmen hingegen auf eine der Ausnahmen stützen, wird es unumgänglich sein, sie im Detail zu dokumentieren.

 

 

Das Team
Christian Lenz
Associated Partner / Prozessführung, Bank-, Versicherungs- und Wertpapieraufsichtsrecht, Immobilienrecht
Christian vertritt zahlreiche Kreditinstitute und Versicherungsunternehmen sowie Glücksspielanbieter in Zivilverfahren zu zivilrechtlichen Haftungsfragen. Er berät seine MandantInnen beim Erstellen von Vertrags- und Werbeunterlagen sowie zu wirksamen Präventionsmaßnahmen.

Universität Wien, Rechtswissenschaftliche Fakultät (Mag. iur. 2002)

Raphael Toman
Partner / Bank-, Versicherungs- und Wertpapieraufsichtsrecht, Compliance & Interne Untersuchungen, Kapitalmarktrecht, Öffentliches Wirtschaftsrecht & Regulatory, IP & Datenschutz, Legal Tech
Raphael betreut vorwiegend Finanzdienstleister in Verfahren vor Zivil- wie Verwaltungsgerichten sowie bei regulatorischen Fragestellungen, Geldwäscheprävention, Sanktionen sowie Kryptowerte. Daneben vertritt er Mandant:innen aus verschiedenen Branchen in (grenzüberschreitenden) streitigen Verfahren. Weiters unterstützt er Unternehmen in datenschutzrechtlichen Belangen, und ist selbst Datenschutzbeauftragter bei einem Biotechunternehmen sowie einem internationalen Sportverband.

Universität Wien, Rechtswissenschaftliche Fakultät (Mag. iur. 2011; Dr. iur. 2019)
New York University, Leistungsstipendium der Universität Wien (LL.M. 2017)
Zulassung als Rechtsanwalt auch in New York (2017)
Stagiaire bei der International Chamber of Commerce (2018)