1. Home
  2. Konkretisierung des...
DataAgenda

Konkretisierung des Auskunftsrechts durch EuGH und EDSA

Nach der Datenschutz-Grundverordnung (DS-GVO) haben betroffene Personen das Recht, von Verantwortlichen Auskunft über die Verarbeitung ihrer Daten zu erhalten. Dieses Auskunftsrecht ist von großer Bedeutung, da nur wer über die Verarbeitung seiner Daten informiert ist, weitere Rechte wie Berichtigung, Löschung oder Schadenersatz in Anspruch nehmen kann. Der Europäische Gerichtshof (EuGH) betrachtet das Auskunftsrecht daher als ein starkes und weitreichendes Instrument und hat dessen Bedeutung in mehreren Urteilen unterstrichen. Ergänzend dazu bietet der Europäische Datenschutzausschuss (EDSA) umfassende Hilfestellungen zur praktischen Anwendung dieses Rechts.

In der jüngeren Vergangenheit hat sich der EuGH mit zahlreichen Vorlagefragen zu datenschutzrechtlichen Themen befassen müssen. Darunter waren auch etliche Fragestellungen, die sich mit dem Inhalt und der Weite des Auskunftsanspruchs aus Artikel 15 DS-GVO befassten. Der EuGH konkretisierte bspw. im Rahmen seines Urteils, ob im Rahmen des Auskunftsrechts die Identität der Empfänger offenzulegen sind.

In ihrem aktuellen und 29. Tätigkeitsbericht (Ziffer 6) hebt die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) folgende Urteile des EuGH als das Auskunftsrecht konkretisierende Urteile hervor:

  1. Die Auskunft umfasst auch die Identität von Empfänger*innen – Urteil vom 12. Januar 2023, Az. C-154/21:
    Verantwortliche müssen betroffenen Personen grundsätzlich die Identität der Empfängerinnen mitteilen, gegenüber denen sie deren Daten offengelegt haben. Kategorien von Empfängerinnen genügen in der Regel nicht.
  2. Die Auskunft betrifft auch Protokolldaten – Urteil vom 22. Juni 2023, Az. C-579/21
    Zur Auskunft gehört auch die Information aus Protokolldaten, wann und warum auf die Daten zugegriffen wurde. Die DS-GVO schreibt vor, dass Prozesse der Datenverarbeitung nachvollziehbar sein müssen. Um die Nachvollziehbarkeit sicherzustellen, werden in manchen Fällen sogenannte Protokolldateien geführt. Diese Protokolldateien dokumentieren, wer wann auf welche Daten zugegriffen oder sie bearbeitet hat. Das passiert bei Behörden und der Polizei ebenso wie in Unternehmen der privaten Wirtschaft.
  3. Der Auskunftsanspruch muss nicht begründet werden und die erste Kopie ist auch bei Patient*innenakten kostenlos – Urteil vom 26. Oktober 2023, Az. C-307/22
    Patient*innen haben auch ohne Angabe von Gründen einen datenschutzrechtlichen Anspruch auf eine erste unentgeltliche Kopie ihrer Patient*innenakte. Das gilt auch dann, wenn aus ihr Daten vor Gericht gegen Ärzt*innen verwendet werden könnten. Das war umstritten, weil es im deutschen Bürgerlichen Gesetzbuch eine Regelung zur Kostenerstattung gibt. Mit dem Urteil steht fest, dass allenfalls bei einem erneuten Antrag für die Patient*innen Kosten entstehen könnten.
  4. Das Recht auf Kopie ist das Recht auf die Reproduktion der Daten – Urteil vom 4. März 2023, Az. C-487/21
    Der Verantwortliche muss bei einer Auskunft eine Kopie der personenbezogenen Daten zur Verfügung stellen (Art. 15 Abs. 3 DS-GVO). Was das bedeutet, hat der EuGH klargestellt: Es geht um eine „originalgetreue und verständliche Reproduktion“ der Daten. Kopien von Auszügen aus Dokumenten oder von ganzen Dokumenten oder von Auszügen aus Datenbanken, die diese Daten enthalten, sind erforderlich, wenn sie unerlässlich sind, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen. Der Verantwortliche muss dabei die Rechte und Freiheiten anderer berücksichtigen. Daten, die in einem gängigen elektronischen Format zur Verfügung zu stellen sind (Art. 15 Abs. 3 Satz 3 DS-GVO) sind nur die Daten, von denen der Verantwortliche eine Kopie zur Verfügung stellen muss.
  5. Leitlinien des EDSA
    Als eine weitere Institution, die eine regulierende Wirkung auf ein ausuferndes Verständnis des Auskunftsrechts durch Konkretisierungen entgegenwirkt, wird vom LDI NRW der EDSA angesehen.
    In seinen Leitlinien zum Auskunftsrecht nach Art. 15 DS-GVO gibt der EDSA eine umfassende Hilfestellung für die Anwendung des Auskunftsrechts. Dies wird als Beitrag gesehen, eine möglichst einheitliche Verwirklichung dieses Rechts in allen Ländern zu erreichen, in denen die DS-GVO gilt.
    Die Leitlinien bieten zunächst einen Überblick über die etwas komplizierte Struktur der Regelung und stellen die wesentlichen Prinzipien vor, die beim Auskunftsrecht zu beachten sind. Anschließend werden die Fragen ausführlich behandelt, die sich dem für die Datenverarbeitung Verantwortlichen stellen, der eine Auskunftsbitte erhalten hat.

(Foto: thodonal – stock.adobe.com)

Letztes Update:11.08.24

Das könnte Sie auch interessieren

  • Datenschutz-Defizite bei Paypal

    Gutachten: Datenschutz‑Defizite bei PayPal

    Ein aktuelles Gutachten des Netzwerks Datenschutzexpertise kritisiert die DS-GVO‑Praxis von PayPal. Demnach erhebt und verarbeitet der Zahlungsdienstleister weit über die reine Zahlungsabwicklung hinausgehende Daten – darunter Transaktions-, Identifikations-, Geräte- und abgeleitete Profildaten – auch für Werbe- und Marketingzwecke. Sensible Daten werden teilweise ohne hinreichende Schutzmaßnahmen verarbeitet. Zentrale Schwachstellen betreffen Transparenz und Einwilligung: Nutzer werden unzureichend

    Mehr erfahren
  • Sicherheit und Passwortmanager

    BSI‑Analyse: Sicherheitslage bei Passwortmanagern

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer IT‑Sicherheitsanalyse auf dem digitalen Verbrauchermarkt die Sicherheitsaspekte gängiger Passwortmanager untersucht. Der Bericht basiert auf einer Bewertung von zehn verbreiteten Produkten verschiedener Typen (inkl. browserbasierter Lösungen, Apps und Open‑Source‑Varianten). Ziel ist es, Chancen und Risiken dieser zentralen Tools zur Passwortverwaltung praxisnah aufzuzeigen. Wesentliche Befunde

    Mehr erfahren
  • Sicherheit E-Mail-Clients

    BSI-Bewertung zur Sicherheit von E-Mail-Programmen

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jüngst im Rahmen seines Digitalen Verbraucherschutz-Berichts (DVS) eine Untersuchung zur Sicherheit gängiger E-Mail-Programme veröffentlicht. Der Report beleuchtet, inwiefern etablierte Clients und Softwarelösungen zentrale Sicherheits- und Datenschutzanforderungen erfüllen, insbesondere im Hinblick auf Verschlüsselung, Authentifizierung und Schadsoftware-Abwehr. Kernpunkte der Analyse Ergebnisse und Einordnung Die vorläufige Bewertung des BSI

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner