EuGH stärkt Auskunftsrecht aus der DSGVO

Sep 30, 2022

In seinem neusten Urteil hat der Europäischer Gerichtshof (EuGH) entschieden, dass Verantwortliche betroffenen Personen grundsätzlich die Identität der Empfänger mitteilen müssen, gegenüber denen sie deren Daten offengelegt haben. Es genügt grundsätzlich nicht nur Kategorien von Empfängern mitzuteilen. Wenn die betroffene Person also die Empfänger wissen möchte, muss sie diese in der Regel auch genau benannt bekommen.

Damit stärkt der EuGH das Auskunftsrecht aus der Datenschutz-Grundverordnung. Das Gericht betont, wie wichtig Transparenz über Datenverarbeitungen ist: Es weist darauf hin, dass betroffene Personen prüfen können müssen, ob Daten zulässig verarbeitet werden. Das Auskunftsrecht ist dabei die Basis für weitere Rechte von der Berichtigung bis zum Schadenersatz.

 

Worum ging es?

Es behandelt die Frage, ob die betroffene Person Auskunft über die konkreten Empfänger ihrer Daten verlangen kann oder ob es schon ausreicht, nur über die Empfängerkategorien zu informieren. Dem Verfahren lag ein Datenskandal bei der Österreichischen Post AG aus dem Jahr 2019 zugrunde. Eine betroffene Person hatte zunächst den Auskunftsanspruch aus Art. 15 DSGVO geltend gemacht. Die Österreichische Post hatte daraufhin mitgeteilt, dass sie personenbezogene Daten zu Marketingzwecken an Geschäftskunden weitergegeben habe, darunter etwa werbetreibende Händler, IT-Unternehmen, NGOs oder Parteien. Konkrete Empfängerinnen und Empfänger nannte die Post allerdings nicht. Da die Post zu keinen näheren Auskünften bezüglich der Datenempfänger bereit war, zog die betroffene Person vor Gericht, letztendlich bis zum Obersten Gerichtshof Österreichs (OGH). Der OGH legte schliesslich die Frage, ob die Österreichische Post die Empfänger genau benennen muss, dem EuGH vor.

 

Was hat der EuGH entschieden?

Der EuGH hat nun entschieden, dass Art. 19 Abs. 2 DSGVO zwar vorsehe, dass der Verantwortliche Empfängern die Berichtigung oder Löschung oder eine Einschränkung der Verarbeitung mitzuteilen hat und die betroffene Person auf Anfrage “über diese Empfänger unterrichtet” und der Wortlaut von Art. 15 Abs. 1 Buchstabe c DSGVO eine Auskunft sowohl über die Empfänger als auch nur über Kategorien von Empfängern zulasse. Er hat nun aber klargestellt, dass derjenige darüber entscheidet, der die Auskunft verlangt, und nicht, wer die Auskunft erteilen muss. Die Nennung von Kategorien von Empfängern genügt ausnahmsweise nur dann, wenn es nicht möglich ist, die Empfänger zu identifizieren oder wenn der Auskunftsantrag ansonsten nachgewiesen offenkundig unbegründet oder exzessiv ist.

 

Was gilt nach revidiertem DSG?

Auch der Wortlaut von Artikel 25 Abs. 2 lit. g revidiertes DSG, sieht hinsichtlich den Empfängern der Daten die Möglichkeit vor, lediglich die Kategorien der Empfänger bekanntzugeben. Im Gegensatz zur DSGVO enthält sowohl das revidierte DSG als auch die entsprechende Verordnung keine Pflicht, die betroffene Person über diese konkreten Empfänger zu informieren, wenn sie diese verlangt. Auch gilt der EuGH nicht per se für die Schweiz. Die Praxis wird sich zeigen, wie mit solchen Anfragen umzugehen ist.

 

Sehr gerne Unterstützung wir sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.