EuGH konkretisiert Auskunftsrecht: Identität der Empfänger sind offenzulegen
Mit dem Auskunftsrecht gem. Art. 15 DS-GVO hat der Verordnungegeber eine Grundlage dafür geschaffen, dass andere Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, aber auch das Widerspruchsrecht) überhaupt gezielt geltend gemacht werden können.
Die praktische Wirksamkeit dieser „nachgelagerten“ Betroffenenrechte hängen oftmals davon ab, wie weit das Recht auf Auskunft verstanden wird. Möchte der Betroffene bspw. wissen, wer nun neben dem Verantwortlichem ebenfalls seine Daten hat, nützt es ihm nicht viel, wenn er von der beauskunftenden Stelle lediglich die „Kategorien der Empfänger“ als Auskunft erhält.
Nun hat der Europäische Gerichtshof (EuGH) entschieden (Urt. v. 12.01.2023 – Rs. C-154/21) anlässlich eine Vorlagefrage des österreichischen Obersten Gerichtshofs (OGH) zu Art. 15 Abs. 1 lit. c) DS-GVO entschieden:
Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben werden. Grundsätzlich hat der für die Datenverarbeitung Verantwortliche dabei auf Anfrage des Betroffenen die konkrete Identität des Empfängers der offengelegten Daten mitzuteilen. Lediglich dann, wenn der Empfänger (noch) nicht identifiziert werden kann oder der Antrag offenkundig unbegründet oder exzessiv ist, kann sich die Mitteilung auf die Kategorien der Empfänger beschränken. Es genügt grundsätzlich nicht, nur Kategorien von Empfängern mitzuteilen.
Der EuGH hat damit klargestellt, dass darüber entscheidet, wer die Auskunft verlangt, und nicht, wer die Auskunft erteilen muss.
Damit stärkt der EuGH das Auskunftsrecht aus der Datenschutz-Grundverordnung. Das Gericht betont, wie wichtig Transparenz über Datenverarbeitungen ist: Es weist darauf hin, dass betroffene Personen prüfen können müssen, ob Daten zulässig verarbeitet werden. Das Auskunftsrecht ist dabei die Basis für weitere Rechte von der Berichtigung bis zum Schadenersatz.
(Foto: Zerbor – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Mitbestimmungspflichten des Betriebsrats beim Einsatz von KI
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat ein Kurzpapier veröffentlicht, das die mitbestimmungsrechtlichen Implikationen beim Einsatz von Künstlicher Intelligenz im Unternehmen beleuchtet. Im Zentrum steht dabei die Frage, inwieweit der Betriebsrat beim Einsatz KI-gestützter Systeme beteiligt werden muss – insbesondere dann, wenn personenbezogene Daten von Beschäftigten betroffen sind. Grundsätzlich bleibt der Einsatz von KI
Mehr erfahren -
Datenschutzkonformes Terminmanagement durch externe Dienstleister
Die Datenschutzkonferenz (DSK) hat in einem aktuellen Positionspapier klargestellt, unter welchen Voraussetzungen medizinische Praxen datenschutzkonform externe Dienstleister zur Terminvergabe einsetzen dürfen. Solche Anbieter verarbeiten im Regelfall personenbezogene Daten – teilweise auch Gesundheitsdaten – im Auftrag der Praxis. Dies ist laut DSK grundsätzlich zulässig, sofern die Beauftragung auf Grundlage eines wirksamen Vertrags zur Auftragsverarbeitung nach Art. 28
Mehr erfahren -
DSK veröffentlicht Orientierungshilfe für datenschutzkonformen KI‑Einsatz
Die Datenschutzkonferenz (DSK) hat im Mai 2025 die erste innerhalb der DSK abgestimmte Orientierungshilfe zum Einsatz künstlicher Intelligenz im Einklang mit der DS-GVO vorgestellt. Sie dient Verantwortlichen in Behörden und Unternehmen als Checkliste entlang der drei Phasen: Konzeption und Auswahl, Implementierung sowie Nutzung von KI-Systemen. Zentral ist dabei die Analyse von Risiken für Betroffenenrechte, insbesondere
Mehr erfahren
