Unternehmen, Behörden und Arbeitgeber sammeln Daten von Verbrauchern, verarbeiten sie, nutzen sie für ihre Zwecke und verdienen damit oft auch Geld. Allerdings wird mit den personenbezogenen Daten manchmal leichtfertig umgegangen, so dass es zu Verstößen gegen datenschutzrechtliche Normen kommt. Verbraucher sind dem jedoch nicht schutzlos ausgeliefert. Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU. Ein wichtiger Stützpfeiler der DSGVO ist das Recht auf Auskunft der Verbraucher über ihre Daten. Der Europäische Gerichtshof
hat dieses Auskunftsrecht mit seinem Urteil vom 12. Januar 2023
gestärkt. Die auf IT-Recht fokussierte Kanzlei Dr. Stoll & Sauer
fasst den zugrundeliegenden Fall aus Österreich zusammen:
- Ein Verbraucher wollte von der österreichischen Post wissen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt - sprich weitergegeben - hat.
Die Post meinte lapidar, sie verwende die Daten im rechtlich zulässigen Rahmen bei ihrer Tätigkeit als Herausgeberin von Telefonbüchern. Geschäftskunden würden die Daten zu Marketingzwecken angeboten.
- Der Bürger wollte jetzt genauer wissen, wer die Empfänger seiner personenbezogenen Daten wären oder in welcher Kategorie die Empfänger gehörten. Er reichte Klage ein und berief sich dabei auf Artikel 15 Absatz 1 der DSGVO.
- Die Post konkretisierte im Laufe des Verfahrens die Kategorien der Empfänger. Neben Marketingunternehmen im Versandhandel und stationären Handel gingen die Daten des Klägers auch an IT-Unternehmen, NGO, Adressverlage, Vereine, Spendenorganisationen und politischen Parteien.
- Der Oberste Gerichtshof (OGH) in Österreich wollte vom EuGH wissen, inwieweit es dem für die Datenverarbeitung Verantwortlichen freistehe, die konkrete Identität oder nur die Kategorie von Empfängern mitzuteilen.
- Der EuGH sieht im Grundsatz den Datenverarbeiter in der Informationspflicht. Betroffene haben ein Recht darauf zu erfahren, welche konkrete Identität hinter dem Empfänger der personenbezogenen Daten steckt. Zwar gehe aus Artikel 15 Absatz 1 DSGVO kein Vorrang der Mitteilung der konkreten Identität des Empfängers hervor, aber die Praxis der DSGVO-Rechte mache es erforderlich, die konkrete Identität offenzulegen.
- Desweiteren zog das Gericht ganz enge Grenzen für die Ausnahmen von der Informationspflicht. Die Identität der Empfänger müsse nicht preisgegeben werden, wenn sie gar nicht bekannt sei oder der Bürger die Auskunft exzessiv betreibe.
- Der EuGH wies in seinem Urteil auf das Ziel hin, ein möglichst hohes Datenschutzniveau für die Bürger zu sichern. Außerdem trage die Entscheidung dem Grundsatz der Transparenz Rechnung.
- Der EuGH hatte in der Vergangenheit beim Datenschutz bereits folgende Maßstäbe gesetzt: Recht auf Berichtigung, Recht auf Löschung ("Recht auf Vergessenwerden"), Recht auf Einschränkung der Verarbeitung, Recht auf Widerspruch gegen die Verarbeitung und Recht auf einen Rechtsbehelf im Schadensfall.
Der EuGH setzt den DSGVO-Grundsatz, dass bei Datenauskünften auch die konkrete Identität der Empfänger mitzuteilen ist, eindrucksvoll durch. Das Urteil stellt eine deutliche Verschärfung der datenschutzrechtlichen Hürden an Unternehmen dar und eine Stärkung der Verbraucherrechte. Bereits vor dem EuGH haben deutsche Gerichte Unternehmen zu vierstelligem Schadensersatz verurteilt, weil sie der Auskunftspflicht nicht ordnungsgemäß nachgekommen waren. Das Bundesarbeitsgericht hat am 5. Mai 2022 einem Arbeitnehmer 1000 Euro Entschädigung zugesprochen, weil sein Arbeitgeber eine Datenauskunft nur unvollständig bearbeitet hatte (Az.: 2 AZR 363/21).