Richtiger Umgang mit Auskunftsersuchen nach Art. 15 DSGVO 

EU Flagge DSGVO Haken

1. Konkrete Nennung der Empfänger erforderlich (EuGH, Urteil vom 12.01.2023, Rechtssache C-154/21).

Wenn eine betroffene Person Auskunft über die Verarbeitung ihrer personenbezogenen Daten verlangt, dann müssen die Empfänger personenbezogener Daten in der Auskunft konkret benannt werden. Eine lediglich allgemeine Auskunft über Kategorien von Empfängern ist nach der Rechtsauffassung des EuGH unzureichend (EuGH, Urteil vom 12.01.2023, Rechtssache C-154/21). Es reicht dann bspw. nicht mehr aus das Systemhaus oder den Versanddienstleister als Empfängerkategorie zu nennen. Der Empfänger muss namentlich benannt werden.

Da datenschutzrechtliche Auskunftsersuchen von Beschäftigten oder Kunden immer häufiger vorkommen ist diese Entscheidung für die Praxis relevant.

Art. 15 DSGVO gewährt betroffenen Personen ein Recht auf Auskunftserteilung.

Nach den datenschutzrechtlichen Vorgaben in Art. 15 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und unter anderem auch auf folgende Informationen:

  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

Der EuGH führt hierzu in seinem Urteil aus:

  • Wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, dann ist der Verantwortliche verpflichtet, der betroffenen Person die Identität der Empfänger mitzuteilen.

2. Praxishinweis: Nennung von Kategorien reicht nicht mehr aus

Um die konkreten Datenempfänger und nicht nur bloße Kategorien beauskunften zu können, sollten Unternehmen schon vor Eingang des Auskunftsantrages sicherstellen, dass ihnen die relevanten Informationen vorliegen oder sie jedenfalls innerhalb der Auskunftsfrist von grundsätzlich bis zu einem Monat (Art. 12 Abs. 2 DS-GVO) beschafft werden können. Das erfordert eine systematische Erfassung der Empfänger und eine regelmäßige Aktualisierung des Informationsstands.

Um etwaigen Auskunftsanträgen zuvorzukommen, könnten Unternehmen –relevante Empfänger auch bereits in den Datenschutzhinweisen aufführen, sofern hier keine entgegenstehenden Interessen bestehen. In Beschäftigtendatenschutzhinweisen kann man dies sicher gut umsetzen und hier die Empfänger namentlich nennen (Anbieter Zeiterfassungssoftware, externer Lohnabrechner etc).

Wer zu dem Thema „Richtiger Umgang mit Auskunftsersuchen“ mehr erfahren möchte, der kann gerne an unserem Kompaktwebinar:

Richtiger Umgang mit Auskunftsersuchen“

am Dienstag, den 14.3.2023 von 11.00 bis 11.00 Uhr teilnehmen.

Inhalte:

  • Was ist der Auskunftsanspruch und wer kann ihn stellen?
  • Was beinhaltet der Auskunftsanspruch (Umfang und Inhalt)?
  • Form der Auskunft (Papier oder digitale Form) und Anspruch auf Kopie
  • Vorgehensweise in der Praxis (Muster)
  • Rechtsfolgen bei verspäteter und unvollständiger Auskunft

Infos und Anmeldung per Mail: office@datenschutzakademie-stuttgart.de.

Bei Fragen, Anregungen – gerne melden.

Thomas Lang