Betroffen von Datenpanne? Art 15 DSGVO gewährt Auskunftsanspruch über tatsächliche Betroffenheit von Datenübermittlung.

von | Apr 24, 2023 | Datenschutzrecht, Persönlichkeitsrechte | 0 Kommentare

OGH-Entscheidungen vom 24.3.2023, 6 Ob 241/22t und 6 Ob 242/22i

 

Sachverhalt:

Die Beklagte ist auf den Betrieb von Analysestationen und die Durchführung von diagnostischen Testverfahren – insbesondere im Zusammenhang mit PCR-Tests – spezialisiert. Sie führte zwischen Jänner und Juni 2021 in Tirol Corona-Virus-Tests durch. Von der Beklagten wurden im Zusammenhang mit diesen Tests in mehreren Kategorien personenbezogene Daten (Datenkategorien) verarbeitet.

Der frühere Geschäftsführer der Beklagten versendete per E-Mail eine Excel-Datei, in der mehr als 24.000 Corona-Virus-Testergebnisse aus Tirol samt den dazugehörigen personenbezogenen Daten der getesteten Personen gespeichert waren, an zumindest eine Person, die nicht bei der Beklagten tätig war. Diese Datei wurde in weiterer Folge verschiedenen Medien zugespielt. Die Beklagte verständigte nicht von sich aus die Personen, deren Datensätze in der den Medien zugespielten Excel-Datei enthalten waren. Der Kläger begehrt neben Schadenersatz für emotionales Ungemach die Auskunft, ob er von der Datenpanne bei der Beklagten betroffen sei. Die Beklagte habe die Auskunft darüber verweigert.

 

Entscheidung:

In zwei verschiedenen Verfahren entschied der OGH nun über das Auskunftsbegehren:

Gemäß Art 15 Abs 1 DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und (unter anderem) auf Informationen über a) die Verarbeitungszwecke, b) die Kategorien personenbezogener Daten, die verarbeitet werden, und c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Nach ständiger Rechtsprechung kann (auch) das Auskunftsrecht nach Art 15 DSGVO gerichtlich durchgesetzt werden.

Der EuGH hat jüngst zu Art 15 Abs 1 lit c DSGVO klargestellt (siehe HIER im Blog), dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne des Art 12 Abs 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

Um die praktische Wirksamkeit seiner Rechte zu gewährleisten, muss der Kläger nicht nur über das Recht verfügen, dass ihm die Identität der konkreten Empfänger mitgeteilt wird, wenn seine personenbezogenen Daten bereits offengelegt wurden. Die effiziente Rechtsverfolgung, etwa – wie hier – auf einer unbefugten Offenlegung basierender Schadenersatzansprüche nach Art 82 DSGVO, setzt auch voraus, Kenntnis über eine tatsächliche Betroffenheit von einer Datenübermittlung erlangen zu können. Der Kläger hat daher gemäß Art 15 Abs 1 lit c DSGVO auch das Recht, dass ihm mitgeteilt wird, ob durch eine konkret genannte Datenübermittlung an einen Empfänger (Art 4 Z 9 DSGVO), selbst wenn dieser nicht bekannt sein sollte, seine personenbezogenen Daten offengelegt wurden. Dadurch wird ihm ermöglicht, in der Folge seine Rechte auszuüben.

Ob eine von der Beklagten zu vertretende „Datenpanne“ im Sinne einer Verletzung des Schutzes personenbezogener Daten (Art 4 Z 12 DSGVO) vorlag, ist für die Ausübung dieses Auskunftsrechts nicht entscheidend. Nach den Feststellungen ist der Auskunftsantrag des Klägers auch weder offenkundig unbegründet oder exzessiv iSd Art 12 Abs 5 DSGVO noch ist dessen Beantwortung der Beklagten unmöglich.

Die Beklagte hat dem Kläger die begehrte Auskunft schon auf Grundlage des Art 15 DSGVO zu erteilen hat.

 

Link zu Entscheidungstext 1 und Entscheidungstext 2

 

Weitere Blog-Beiträge zum Thema Datenschutzrecht:

EuGH: Verschärfte Auskunftspflicht bei Weitergabe personenbezogener Daten. Identität der Empfänger mitzuteilen.

Recht auf Löschung aus Suchmaschinen („Recht auf Vergessenwerden“): Google muss nachweislich unrichtige Informationen auch ohne Gerichtsurteil löschen.

Zahlungserfahrungsdaten in Bonitätsdatenbanken: OGH zu Fristen/Kriterien für Löschung.

EuGH zu privaten Daten in Telefonverzeichnissen: Verantwortliche müssen auch andere Anbieter von Löschungsbegehren informieren

DSGVO-Verbandsklage des VKI gegen Autovermietung erfolgreich

Ärztebewertungsportal: Datenverarbeitung rechtmäßig. Interesse der Öffentlichkeit an Information überwiegt Interessen bewerteter Ärzte.

Stromanbieter will „smarte Zähler“ verwenden. Droht eine unzulässige Verarbeitung personenbezogener Daten?

Datenschutzrecht: Herausgabe personenbezogener Daten an einen Genossenschafter

Lehrerbewertungs-App zulässig. Meinungsäußerungsfreiheit der Schüler wichtiger als Interessen der Lehrer.

Unternehmen kauft Online-Shop samt Kundenstock: Dürfen personenbezogene (Kunden)Daten verwendet werden?

Datenschutz vs. Bonitätsdatenbank: OGH zum Informationsinteresse künftiger Gläubiger

EuGH: Auch „nicht federführende“ Behörden können bei grenzüberschreitender Datenverarbeitung gegen DSGVO-Verstöße vorgehen

Verkauf von Verbraucherdaten für Wahlwerbung: Wie sind Wahrscheinlichkeitsaussagen über politische Präferenzen datenschutzrechtlich einzuordnen?

Geheime Aufnahmen von Streitgesprächen

BGH entscheidet über Auslistungsbegehren gegen Google („Recht auf Vergessenwerden“)

Handyvideos zu Beweiszwecken