Grundlage des Falls war eine Klage eines österreichischen Verbrauchers gegen eine österreichische Kreditauskunftei (CRIF). Dieser wollte zu seinem Anspruch auf Auskunft nach Art. 15 Abs. 1 DSGVO auch seinen Anspruch auf Kopie seiner Daten nach Art. 15 Abs. 3 DSGVO vollumfänglich durchgesetzt haben. Er hatte auf seine Anfrage hin durch die CRIF lediglich eine Liste seiner personenbezogenen Daten in aggregierter Form erhalten. Seine Beschwerde, dass sein Recht auf Kopie der Daten verletzt worden war, wurde von der österreichischen Datenschutzbehörde zunächst abgewiesen.
Der Betroffene hatte gegen diese Rechtsauffassung der österreichischen Datenschutzbehörde vor dem Bundesverwaltungsgericht Österreichs geklagt. Im Verfahren stellte sich sodann die Frage, ob der Kläger von der CRIF verlangen konnte, dass ihm diese die Daten soweit erforderlich in originaler Form, also etwa im gesamten oder in Auszügen von Dokumenten und Auszügen von Datenbanken zur Verfügung stellt. Da diese Frage maßgeblich von der Auslegung der europarechtlichen DSGVO abhängt, legte das österreichische Bundesverwaltungsgericht diese Frage dem EuGH vor.
Der EuGH stellte zunächst fest, dass sich der Anspruch auf Datenkopie nicht auf ganze Dokumente des verantwortlichen Unternehmens bezieht, sondern dass lediglich Auskunft über die personenbezogenen Daten, die in solchen Dokumenten enthalten sind, zu erteilen ist. Insoweit schränkte der EuGH zunächst das Recht auf Datenkopie anhand des Wortlauts der DSGVO ein.
Gleichwohl reicht eine aggregierte Form der Daten, wie sie der Betroffene in diesem Fall erhalten hatte, ebenfalls nicht unbedingt aus, um dem Anspruch des Betroffenen nach Art. 15 Abs. 3 DSGVO gerecht zu werden. So kann es, wenn es für das Verständnis der Verarbeitung der Daten, bzw. für die „wirksame Ausübung der ihr durch [die DSGVO] verliehenen Rechte“ notwendig ist, erforderlich sein, dass die betroffene Person eine Kopie von Dokumenten, von Auszügen von Dokumenten oder von E-Mails etc. erlangt. Nur dadurch kann der Betroffene seine weiteren Rechte nach Art. 16 bis 18 und 21 DSGVO, also insbesondere die Rechte auf Berichtigung und auf Einschränkung der Verarbeitung, aber auch im Schadensfall seine Rechte auf Einlegung eines Rechtsbehelfs (Art. 79 und 82 DSGVO), wahrnehmen.
Zu berücksichtigten ist jedoch, dass der EuGH praktisch im gleichen Satz anerkennt, dass, wie es der Gesetzgeber auch im 63. Erwägungsgrund zu Art. 15 Abs. 3 DSGVO niedergeschrieben hat, gleichsam die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden sollen. Darunter fallen speziell Geschäftsgeheimnisse oder anderer Rechte an geistigem Eigentum. Es soll, soweit möglich, immer nach einer Modalität der Übermittlung gesucht werden, die die Rechte oder Freiheiten anderer Personen gar nicht verletzen. Schlussendlich dürfen diese Erwägungen aber nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.
Das Urteil stärkt ein weiteres Mal die Rechte von Betroffenen und orientiert sich am Grundsatz der Transparenz, der durch Art. 15 Abs. 3 DSGVO maßgeblich abgebildet wird. Gleichzeitig bestätigt der EuGH die Grenze des 63. Erwägungsgrundes DSGVO und ein mit einer Auskunftsanfrage konfrontiertes Unternehmen muss somit nicht um seine berechtigten eigenen Interessen fürchten. Ein Zurücktreten dieser Rechte ist wohl nur in absoluten Ausnahmefällen denkbar, wenn sonst gar keine Datenkopie zur Verfügung gestellt werden könnte.
Was das Urteil für die Praxis aber wohl bedeuten wird, ist, dass bei korrekter Vorgehensweise nach einer Auskunfts- und Datenkopieanfrage eine Kontrolle zu erfolgen hat, ob die tatsächlich stattfindende Verarbeitung durch die Form, in der die Daten dem Betroffenen zur Verfügung gestellt werden sollen, ausreichend dargestellt wird. Gegebenenfalls müssen die Daten dann im Kontext ihrer Verarbeitung dargestellt werden, um dem Betroffenen wirksam Auskunft zu erteilen.
Hilfreich für die Praxis ist auch, dass der EuGH in diesem Urteil seine Vorstellungen darüber darlegt, wann eine erweiterte Darstellung der Daten im Kontext ihrer Erhebung oder Verarbeitung erforderlich sein kann: „Insb., wenn personenbezogene Daten aus anderen Daten generiert werden oder wenn sie auf freien Feldern beruhen, d. h. einer fehlenden Angabe, aus der eine Information über die betroffene Person hervorgeht, ist der Kontext, in dem diese Daten Gegenstand der Verarbeitung sind, unerlässlich, damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann.“ Damit wird deutlich, dass viele interne Dokumente oder Detailauszüge aus Datenbank nicht wirklich unter die Verpflichtung zur Übermittlung von Kopien oder Ähnlichem fallen werden.
Das Urteil des EuGH zeigt, dass dieser den Grundsatz der Transparenz im Datenschutz ernst nimmt und auch auf die Verständlichkeit der Verarbeitung für den Betroffenen großen Wert legt. Gleichzeitig setzt er sinnvolle Grenzen des Betroffenenrechts und das Urteil klingt auf den ersten Blick wohl härter als es durch die Einschränkungen im Endeffekt sein wird. Nichtsdestotrotz müssen sich Unternehmen darauf einstellen, dass die Inanspruchnahme des Auskunftsrechts durch Kunden oder (ehemaligen) Mitarbeitern in Zukunft weiterhin mit rechtlichen und tatsächlichen Hürden verbunden sein wird.
Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!
Zentrale Hutthurm: +49 (0) 8505 91927 – 0
Niederlassung München: +49 (0) 89 413 2943 – 0
Oder nutzen Sie unser Kontaktformular.
Unser Team – Ihr Vorteil | Hier stellen wir uns vor.
Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).