OGH Österreich: DSGVO-Auskunft umfasst Datenoffenlegung bei Datenpanne

Der DSGVO-Auskunftsanspruch gibt der betroffenen Person das Recht, von dem Verantwortlichen umfangreiche Informationen über Art und Umfang sie betreffender Datenverarbeitungen zu verlangen. Die Reichweite und Grenzen der verpflichtenden Auskunft beschäftigen die europäische Rechtsprechung dabei schon seit jeher. Jüngst hatte der Oberste Gerichtshof Österreichs darüber zu befinden, ob auch eine unwillentliche Offenlegung personenbezogener Daten im Rahmen eines Datenlecks Teil der Auskunft sein muss. Lesen Sie mehr zur Entscheidung.

I. Der Sachverhalt

Die Beklagte betreibt Analysestationen und führt diagnostische Testverfahren durch. Dabei ist sie insbesondere auf PCR-Tests spezialisiert. Von Januar bis Juni 2021 führte sie in Tirol Corona-Tests durch und verarbeitete in diesem Zusammenhang personenbezogene Daten der getesteten Personen.

Im August 2021 verschickte der damalige Geschäftsführer der Beklagten eine Excel-Datei per Mail an zumindest eine Person, die nicht bei der Beklagten tätig war. Die Datei enthielt mehr als 24.000 Corona-Virus-Testergebnisse aus Tirol mit den dazugehörigen personenbezogenen Daten der getesteten Personen, darunter Name, Wohnort, Geburtsdatum, Testdatum sowie das Testergebnis und im Falle einer Positivtestung die Virusmutation.

In weiterer Folge wurde die Datei dem „Standard“ und dem „ORF-Tirol“ übermittelt, die im September gleichen Jahres über den Vorfall berichteten unter den Überschriften „Tausende Tiroler PCR-Test-Ergebnisse mit Namen und Daten geleakt“ und „Massives Datenleck bei positiven CoV-Tests“.

Es steht nicht fest, an wen der frühere Geschäftsführer die Mail verschickte und wer die Datei schließlich dem „Standard“ und dem „ORF-Tirol“ zuspielte.

Die Klägerin begehrte Auskunft, ob sie von der dargestellten Datenpanne bei der Beklagten betroffen sei. Sie sei am 31.03.2021 bei der Beklagten positiv auf das Corona-Virus getestet worden. Trotz der Auskunftsverpflichtung der Beklagten aus Art. 15 Abs. 1 lit c und Art. 34 DSGVO habe diese die begehrte Auskunft darüber verweigert. Zudem sei die Beklagte aus dem zwischen den Parteien geschlossenen Behandlungswerkvertrag zur Auskunft verpflichtet.

Die Beklagte stritt schon das Bestehen eines Anspruchs auf Auskunft hinsichtlich bestimmter Empfänger personenbezogener Daten ab. Aus dem Wortlaut des Art. 15 DSGVO ergebe sich, dass kein Anspruch auf positive oder negative Bestätigung bestehe, von einer mutmaßlichen Verletzung des Schutzes personenbezogener Daten durch einen Dritten betroffen zu sein.

Bezüglich Art. 34 DSGVO brachte die Beklagte vor, es handele sich um eine reine Ordnungsvorschrift, der kein subjektives Recht auf Auskunft zu entnehmen sei.

II. Die Entscheidung

Der OGH Österreich stellte mit Urteil vom 24.03.2023 (Gz: 6Ob242/22i) fest, dass die Vorinstanzen zutreffend davon ausgegangen seien, dass die Beklagte der Klägerin die begehrte Auskunft schon auf Grundlage des Art. 15 DSGVO zu erteilen habe.

Gemäß Art. 15 Abs. 1 DSGVO habe die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob die betreffenden personenbezogenen Daten verarbeitet werden. Sei dies der Fall, so stehe ihr das Recht auf Auskunft über die personenbezogenen Daten zu, das Recht auf Informationen über Verarbeitungszwecke, die Kategorien der verarbeiteten personenbezogenen Daten sowie die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder werden.

Mit Urteil vom vom 21.01.2023 (C-154/21) habe jüngst der EuGH festgestellt, dass Recht auf Auskunft den Verantwortlichen verpflichte, der betroffenen Person die Identität der Empfänger mitzuteilen. Eine solche Verpflichtung bestehe nur dann nicht, wenn die Identifikation der Empfänger unmöglich sei oder wenn der Verantwortliche nachweise, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne des Art. 12 Abs. 5 DSGVO seien.

Die Offenlegung der Empfänger diene damit nicht nur der Überprüfbarkeit übermittelter Daten auf Richtigkeit, sondern solle dem Betroffenen vor allem auch ermöglichen, die Rechtmäßigkeit der Datenverarbeitung als solches bewerten und so beurteilen zu können, ob die Daten gegenüber Empfängern offengelegt werden, die zu ihrer Verarbeitung befugt seien.

Dieser Bestandteil der Auskunft sei insbesondere erforderlich, damit die betroffene Person gegebenenfalls ihre weiteren Rechte aus der DSGVO ausüben könne.

Um deren praktische Wirksamkeit gewährleisten zu können, müsse der Klägerin mithin nicht nur der Anspruch auf Mitteilung der Identität der konkreten Empfänger zustehen, wenn ihre Daten bereits offengelegt wurden. Vielmehr setze die effiziente Rechtsverfolgung, etwa – wie im vorliegenden Fall – auf einer unbefugten Offenlegung basierender Schadenersatzansprüche nach Art. 82 DSGVO voraus, Kenntnis über eine tatsächliche Betroffenheit von einer Datenübermittlung erlangen zu können.

Somit habe die Klägerin gemäß Art. 15 Abs. 1 DSGVO das Recht auf die Auskunft, ob durch eine konkret genannte Datenübermittlung an einen Empfänger (Art. 4 Z 9 DSGVO), selbst wenn dieser nicht bekannt sein sollte, ihre personenbezogenen Daten offengelegt wurden. Erst dadurch werde ihr ermöglicht, ihre oben aufgeführten Rechte aus der DSGVO auszuüben.

Insbesondere sei für die Ausübung dieses Auskunftsrechts nicht entscheidend, ob eine von der Beklagten zu vertretene „Datenpanne“ im Sinne einer Verletzung des Schutzes personenbezogener Daten nach Art. 4 Z 12 DSGVO vorgelegen habe. Auch sei der Auskunftsantrag der Klägerin den Feststellungen nach weder offenkundig unbegründet oder exzessiv im Sinne des Art. 12 Abs. 5 DSGVO, noch sei dessen Beantwortung für die Beklagte unmöglich.

Ob der Art. 34 DSGVO der Klägerin insoweit subjektive Auskunftsrechte zuspreche oder ob diesbezügliche vertragliche Ansprüche der Klägerin bestehen, müsse nicht mehr geprüft werden.

III. Fazit

Der Umfang der Datenauskunft aus Art. 15 DSGVO umfasst auch die positive oder negative Bestätigung, ob die betroffene Person selbst tatsächlich von einer Datenpanne, also dem missbräuchlichen Abgriff oder der unwillentlichen Zugänglichmachung von Daten, betroffen ist. Denn nur, wenn Informationen zu diesem Umstand von dem aus Art. 15 DSGVO erwachsendem Auskunftsanspruch erfasst ist, kann die betroffenen Person ihre gegebenenfalls bestehenden weiteren Rechte aus der DSGVO effektiv geltend machen.

Offen bleibt die Frage, ob über die versehentliche Offenlegung personenbezogener Daten im Rahmen eines Datenlecks initiativ auf ein nicht näher bezeichnetes Auskunftsgesuch hin zu informieren ist, oder nur dann, wenn wie im entschiedenen Fall der Betroffene sein Gesuch eindeutig auch auf eine potenzielle Datenpanne und damit einhergehende Verarbeitungen bezieht.

Unter der Prämisse der effektiven Durchsetzbarkeit von Betroffenenrechten dürfte aber davon auszugehen sein, dass Betroffene ihre Auskunftsgesuche nicht konkret auch auf Datenpannen beziehen müssen und dass der Verantwortliche diese initiativ mit zu beauskunften hat.

Immerhin dürften Betroffene nicht selten keine anfänglichen Kenntnisse über Datenlecks haben, sieht doch Art. 34 DSGVO eine separate Informationspflicht nur vor, wenn daraus ein hohes Risiko für Rechte und Freiheiten resultiert.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.