1. Home
  2. Konkretisierung des...
DataAgenda

Konkretisierung des Auskunftsrechts durch EuGH und EDSA

Nach der Datenschutz-Grundverordnung (DS-GVO) haben betroffene Personen das Recht, von Verantwortlichen Auskunft über die Verarbeitung ihrer Daten zu erhalten. Dieses Auskunftsrecht ist von großer Bedeutung, da nur wer über die Verarbeitung seiner Daten informiert ist, weitere Rechte wie Berichtigung, Löschung oder Schadenersatz in Anspruch nehmen kann. Der Europäische Gerichtshof (EuGH) betrachtet das Auskunftsrecht daher als ein starkes und weitreichendes Instrument und hat dessen Bedeutung in mehreren Urteilen unterstrichen. Ergänzend dazu bietet der Europäische Datenschutzausschuss (EDSA) umfassende Hilfestellungen zur praktischen Anwendung dieses Rechts.

In der jüngeren Vergangenheit hat sich der EuGH mit zahlreichen Vorlagefragen zu datenschutzrechtlichen Themen befassen müssen. Darunter waren auch etliche Fragestellungen, die sich mit dem Inhalt und der Weite des Auskunftsanspruchs aus Artikel 15 DS-GVO befassten. Der EuGH konkretisierte bspw. im Rahmen seines Urteils, ob im Rahmen des Auskunftsrechts die Identität der Empfänger offenzulegen sind.

In ihrem aktuellen und 29. Tätigkeitsbericht (Ziffer 6) hebt die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) folgende Urteile des EuGH als das Auskunftsrecht konkretisierende Urteile hervor:

  1. Die Auskunft umfasst auch die Identität von Empfänger*innen – Urteil vom 12. Januar 2023, Az. C-154/21:
    Verantwortliche müssen betroffenen Personen grundsätzlich die Identität der Empfängerinnen mitteilen, gegenüber denen sie deren Daten offengelegt haben. Kategorien von Empfängerinnen genügen in der Regel nicht.
  2. Die Auskunft betrifft auch Protokolldaten – Urteil vom 22. Juni 2023, Az. C-579/21
    Zur Auskunft gehört auch die Information aus Protokolldaten, wann und warum auf die Daten zugegriffen wurde. Die DS-GVO schreibt vor, dass Prozesse der Datenverarbeitung nachvollziehbar sein müssen. Um die Nachvollziehbarkeit sicherzustellen, werden in manchen Fällen sogenannte Protokolldateien geführt. Diese Protokolldateien dokumentieren, wer wann auf welche Daten zugegriffen oder sie bearbeitet hat. Das passiert bei Behörden und der Polizei ebenso wie in Unternehmen der privaten Wirtschaft.
  3. Der Auskunftsanspruch muss nicht begründet werden und die erste Kopie ist auch bei Patient*innenakten kostenlos – Urteil vom 26. Oktober 2023, Az. C-307/22
    Patient*innen haben auch ohne Angabe von Gründen einen datenschutzrechtlichen Anspruch auf eine erste unentgeltliche Kopie ihrer Patient*innenakte. Das gilt auch dann, wenn aus ihr Daten vor Gericht gegen Ärzt*innen verwendet werden könnten. Das war umstritten, weil es im deutschen Bürgerlichen Gesetzbuch eine Regelung zur Kostenerstattung gibt. Mit dem Urteil steht fest, dass allenfalls bei einem erneuten Antrag für die Patient*innen Kosten entstehen könnten.
  4. Das Recht auf Kopie ist das Recht auf die Reproduktion der Daten – Urteil vom 4. März 2023, Az. C-487/21
    Der Verantwortliche muss bei einer Auskunft eine Kopie der personenbezogenen Daten zur Verfügung stellen (Art. 15 Abs. 3 DS-GVO). Was das bedeutet, hat der EuGH klargestellt: Es geht um eine „originalgetreue und verständliche Reproduktion“ der Daten. Kopien von Auszügen aus Dokumenten oder von ganzen Dokumenten oder von Auszügen aus Datenbanken, die diese Daten enthalten, sind erforderlich, wenn sie unerlässlich sind, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen. Der Verantwortliche muss dabei die Rechte und Freiheiten anderer berücksichtigen. Daten, die in einem gängigen elektronischen Format zur Verfügung zu stellen sind (Art. 15 Abs. 3 Satz 3 DS-GVO) sind nur die Daten, von denen der Verantwortliche eine Kopie zur Verfügung stellen muss.
  5. Leitlinien des EDSA
    Als eine weitere Institution, die eine regulierende Wirkung auf ein ausuferndes Verständnis des Auskunftsrechts durch Konkretisierungen entgegenwirkt, wird vom LDI NRW der EDSA angesehen.
    In seinen Leitlinien zum Auskunftsrecht nach Art. 15 DS-GVO gibt der EDSA eine umfassende Hilfestellung für die Anwendung des Auskunftsrechts. Dies wird als Beitrag gesehen, eine möglichst einheitliche Verwirklichung dieses Rechts in allen Ländern zu erreichen, in denen die DS-GVO gilt.
    Die Leitlinien bieten zunächst einen Überblick über die etwas komplizierte Struktur der Regelung und stellen die wesentlichen Prinzipien vor, die beim Auskunftsrecht zu beachten sind. Anschließend werden die Fragen ausführlich behandelt, die sich dem für die Datenverarbeitung Verantwortlichen stellen, der eine Auskunftsbitte erhalten hat.

(Foto: thodonal – stock.adobe.com)

Letztes Update:11.08.24

Das könnte Sie auch interessieren

  • Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Webinar Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager

    Mehr erfahren
  • NIs-2 und Geschäftsführerschulung

    BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit

    Mehr erfahren
  • Refurbished Notebook und Datenpanne

    Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

    Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner