Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

OGH Österreich: DSGVO-Auskunft umfasst Datenoffenlegung bei Datenpanne

15.06.2023, 08:15 Uhr | Lesezeit: 5 min
author
von Susanna Milrath
OGH Österreich: DSGVO-Auskunft umfasst Datenoffenlegung bei Datenpanne

Der DSGVO-Auskunftsanspruch gibt der betroffenen Person das Recht, von dem Verantwortlichen umfangreiche Informationen über Art und Umfang sie betreffender Datenverarbeitungen zu verlangen. Die Reichweite und Grenzen der verpflichtenden Auskunft beschäftigen die europäische Rechtsprechung dabei schon seit jeher. Jüngst hatte der Oberste Gerichtshof Österreichs darüber zu befinden, ob auch eine unwillentliche Offenlegung personenbezogener Daten im Rahmen eines Datenlecks Teil der Auskunft sein muss. Lesen Sie mehr zur Entscheidung.

I. Der Sachverhalt

Die Beklagte betreibt Analysestationen und führt diagnostische Testverfahren durch. Dabei ist sie insbesondere auf PCR-Tests spezialisiert. Von Januar bis Juni 2021 führte sie in Tirol Corona-Tests durch und verarbeitete in diesem Zusammenhang personenbezogene Daten der getesteten Personen.

Im August 2021 verschickte der damalige Geschäftsführer der Beklagten eine Excel-Datei per Mail an zumindest eine Person, die nicht bei der Beklagten tätig war. Die Datei enthielt mehr als 24.000 Corona-Virus-Testergebnisse aus Tirol mit den dazugehörigen personenbezogenen Daten der getesteten Personen, darunter Name, Wohnort, Geburtsdatum, Testdatum sowie das Testergebnis und im Falle einer Positivtestung die Virusmutation.

In weiterer Folge wurde die Datei dem „Standard“ und dem „ORF-Tirol“ übermittelt, die im September gleichen Jahres über den Vorfall berichteten unter den Überschriften „Tausende Tiroler PCR-Test-Ergebnisse mit Namen und Daten geleakt“ und „Massives Datenleck bei positiven CoV-Tests“.

Es steht nicht fest, an wen der frühere Geschäftsführer die Mail verschickte und wer die Datei schließlich dem „Standard“ und dem „ORF-Tirol“ zuspielte.

Die Klägerin begehrte Auskunft, ob sie von der dargestellten Datenpanne bei der Beklagten betroffen sei. Sie sei am 31.03.2021 bei der Beklagten positiv auf das Corona-Virus getestet worden. Trotz der Auskunftsverpflichtung der Beklagten aus Art. 15 Abs. 1 lit c und Art. 34 DSGVO habe diese die begehrte Auskunft darüber verweigert. Zudem sei die Beklagte aus dem zwischen den Parteien geschlossenen Behandlungswerkvertrag zur Auskunft verpflichtet.

Die Beklagte stritt schon das Bestehen eines Anspruchs auf Auskunft hinsichtlich bestimmter Empfänger personenbezogener Daten ab. Aus dem Wortlaut des Art. 15 DSGVO ergebe sich, dass kein Anspruch auf positive oder negative Bestätigung bestehe, von einer mutmaßlichen Verletzung des Schutzes personenbezogener Daten durch einen Dritten betroffen zu sein.

Bezüglich Art. 34 DSGVO brachte die Beklagte vor, es handele sich um eine reine Ordnungsvorschrift, der kein subjektives Recht auf Auskunft zu entnehmen sei.

1

II. Die Entscheidung

Der OGH Österreich stellte mit Urteil vom 24.03.2023 (Gz: 6Ob242/22i) fest, dass die Vorinstanzen zutreffend davon ausgegangen seien, dass die Beklagte der Klägerin die begehrte Auskunft schon auf Grundlage des Art. 15 DSGVO zu erteilen habe.

Gemäß Art. 15 Abs. 1 DSGVO habe die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob die betreffenden personenbezogenen Daten verarbeitet werden. Sei dies der Fall, so stehe ihr das Recht auf Auskunft über die personenbezogenen Daten zu, das Recht auf Informationen über Verarbeitungszwecke, die Kategorien der verarbeiteten personenbezogenen Daten sowie die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder werden.

Mit Urteil vom vom 21.01.2023 (C-154/21) habe jüngst der EuGH festgestellt, dass Recht auf Auskunft den Verantwortlichen verpflichte, der betroffenen Person die Identität der Empfänger mitzuteilen. Eine solche Verpflichtung bestehe nur dann nicht, wenn die Identifikation der Empfänger unmöglich sei oder wenn der Verantwortliche nachweise, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne des Art. 12 Abs. 5 DSGVO seien.

Die Offenlegung der Empfänger diene damit nicht nur der Überprüfbarkeit übermittelter Daten auf Richtigkeit, sondern solle dem Betroffenen vor allem auch ermöglichen, die Rechtmäßigkeit der Datenverarbeitung als solches bewerten und so beurteilen zu können, ob die Daten gegenüber Empfängern offengelegt werden, die zu ihrer Verarbeitung befugt seien.

Dieser Bestandteil der Auskunft sei insbesondere erforderlich, damit die betroffene Person gegebenenfalls ihre weiteren Rechte aus der DSGVO ausüben könne.

Um deren praktische Wirksamkeit gewährleisten zu können, müsse der Klägerin mithin nicht nur der Anspruch auf Mitteilung der Identität der konkreten Empfänger zustehen, wenn ihre Daten bereits offengelegt wurden. Vielmehr setze die effiziente Rechtsverfolgung, etwa – wie im vorliegenden Fall – auf einer unbefugten Offenlegung basierender Schadenersatzansprüche nach Art. 82 DSGVO voraus, Kenntnis über eine tatsächliche Betroffenheit von einer Datenübermittlung erlangen zu können.

Somit habe die Klägerin gemäß Art. 15 Abs. 1 DSGVO das Recht auf die Auskunft, ob durch eine konkret genannte Datenübermittlung an einen Empfänger (Art. 4 Z 9 DSGVO), selbst wenn dieser nicht bekannt sein sollte, ihre personenbezogenen Daten offengelegt wurden. Erst dadurch werde ihr ermöglicht, ihre oben aufgeführten Rechte aus der DSGVO auszuüben.

Insbesondere sei für die Ausübung dieses Auskunftsrechts nicht entscheidend, ob eine von der Beklagten zu vertretene „Datenpanne“ im Sinne einer Verletzung des Schutzes personenbezogener Daten nach Art. 4 Z 12 DSGVO vorgelegen habe. Auch sei der Auskunftsantrag der Klägerin den Feststellungen nach weder offenkundig unbegründet oder exzessiv im Sinne des Art. 12 Abs. 5 DSGVO, noch sei dessen Beantwortung für die Beklagte unmöglich.

Ob der Art. 34 DSGVO der Klägerin insoweit subjektive Auskunftsrechte zuspreche oder ob diesbezügliche vertragliche Ansprüche der Klägerin bestehen, müsse nicht mehr geprüft werden.

III. Fazit

Der Umfang der Datenauskunft aus Art. 15 DSGVO umfasst auch die positive oder negative Bestätigung, ob die betroffene Person selbst tatsächlich von einer Datenpanne, also dem missbräuchlichen Abgriff oder der unwillentlichen Zugänglichmachung von Daten, betroffen ist. Denn nur, wenn Informationen zu diesem Umstand von dem aus Art. 15 DSGVO erwachsendem Auskunftsanspruch erfasst ist, kann die betroffenen Person ihre gegebenenfalls bestehenden weiteren Rechte aus der DSGVO effektiv geltend machen.

Offen bleibt die Frage, ob über die versehentliche Offenlegung personenbezogener Daten im Rahmen eines Datenlecks initiativ auf ein nicht näher bezeichnetes Auskunftsgesuch hin zu informieren ist, oder nur dann, wenn wie im entschiedenen Fall der Betroffene sein Gesuch eindeutig auch auf eine potenzielle Datenpanne und damit einhergehende Verarbeitungen bezieht.

Unter der Prämisse der effektiven Durchsetzbarkeit von Betroffenenrechten dürfte aber davon auszugehen sein, dass Betroffene ihre Auskunftsgesuche nicht konkret auch auf Datenpannen beziehen müssen und dass der Verantwortliche diese initiativ mit zu beauskunften hat.

Immerhin dürften Betroffene nicht selten keine anfänglichen Kenntnisse über Datenlecks haben, sieht doch Art. 34 DSGVO eine separate Informationspflicht nur vor, wenn daraus ein hohes Risiko für Rechte und Freiheiten resultiert.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
(14.11.2023, 14:19 Uhr)
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
(26.10.2023, 17:52 Uhr)
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei