OGH-Entscheidung vom 18.3.2026, 6 Ob 215/25y
Sachverhalt:
Der Kläger nutzte privat zwei Tablets, auf denen jeweils ein bei der beklagten Partei registriertes Konto aktiviert war. Im Jahr 2021 stellte er ein Auskunftsbegehren nach Art 15 DSGVO und verlangte Auskunft über die von der Beklagten verarbeiteten personenbezogenen Daten sowie die Übermittlung einer Datenkopie. Zur Identifizierung legte er eine Kopie seines Personalausweises vor.
Die Beklagte ließ die Frist zur Beantwortung des Begehrens ungenützt verstreichen und verwies den Kläger im anschließenden Gerichtsverfahren im Wesentlichen auf ein von ihr bereitgestelltes Datenschutzportal.
Entscheidung:
Sowohl das Erstgericht als auch das Berufungsgericht gaben dem Auskunftsbegehren statt. Das Berufungsgericht ließ die ordentliche Revision an den OGH zu. Der OGH wies die Revision der Beklagten zurück.
Inhaltlich bekräftigte der OGH zunächst, dass der Auskunftsanspruch nach Art 15 DSGVO dem Transparenzgrundsatz unterliegt. Die betroffene Person muss Informationen in präziser, leicht zugänglicher, verständlicher und klarer Form erhalten. Nur eine solche Auskunft ermöglicht es ihr, die Rechtmäßigkeit der Verarbeitung zu überprüfen und weitere Rechte wie Berichtigung, Löschung oder Einschränkung der Verarbeitung wirksam auszuüben. Eine Auskunft genügt diesen Anforderungen daher nicht, wenn sie bloß aus Computercodes, unvollständigen Datenstrukturen oder nicht nachvollziehbaren Verknüpfungen besteht. Der OGH knüpft damit an seine bisherige Rechtsprechung an, wonach die Auskunftserteilung keine „Ostereier Suche“ für die betroffene Person sein darf.
Auch die Angaben zu den Empfängern der personenbezogenen Daten hielt der OGH für unzureichend. Nach Art 15 Abs 1 lit c DSGVO ist grundsätzlich die Identität der konkreten Empfänger mitzuteilen. Es reicht daher nicht aus, wenn die Auskunft bloß App Namen oder sonstige unklare Bezeichnungen enthält, aus denen nicht hervorgeht, wer tatsächlich Empfänger der Daten ist oder ob es sich dabei um natürliche oder juristische Personen handelt. Der OGH stellt damit klar, dass die betroffene Person die Empfänger so identifizieren können muss, dass sie ihnen gegenüber ihre Rechte nach der DSGVO geltend machen kann.
Auch die Information zu Drittlandsübermittlungen entsprach nach Ansicht des OGH nicht den gesetzlichen Anforderungen. Der bloße Hinweis, Daten würden auf Grundlage von Standardvertragsklauseln in Drittländer übermittelt, genügt nicht. Vielmehr muss für die betroffene Person nachvollziehbar sein, in welche Drittstaaten Daten übermittelt werden und welche konkreten Garantien nach Art 46 DSGVO dabei vorgesehen sind. Der OGH verweist damit auch auf die Rechtsprechung des EuGH, wonach die bloße Verwendung von Standarddatenschutzklauseln nicht automatisch ein angemessenes Schutzniveau sicherstellt.
Schließlich befasste sich der OGH mit der Information über die Speicherdauer. Nach Art 15 Abs 1 lit d DSGVO ist grundsätzlich die geplante Dauer der Speicherung anzugeben. Nur wenn dies nicht möglich ist, dürfen stattdessen die Kriterien für die Festlegung dieser Dauer genannt werden. Da die Beklagte nicht darlegte, weshalb ihr eine Angabe der konkreten Speicherdauer unmöglich gewesen wäre, genügte der Verweis auf bloße Kriterien nicht.
Weitere Blog-Beiträge zum DSGVO-Auskunftsanspruch:
DSGVO-Auskunft und Rechtsmissbrauch: Auch der erste Auskunftsantrag kann exzessiv sein.