Das jetzt getroffene Urteil (Rechtssache C-154/21) betrifft die Frage, ob ein Unternehmen die genauen Kontaktdaten offenlegen muss, an die es die Daten des Betroffenen weitergegeben hat, oder ob lediglich eine Kategorie wie zum Beispiel NGO oder IT-Unternehmen ausreicht.
Das Gericht spricht dem Betroffenen ein umfassendes Auskunftsrecht zu, das auch konkrete Angaben zu den einzelnen Empfängern umfasst. Nur wenn es nicht oder noch nicht möglich sei, diese Empfänger zu identifizieren, könne sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies sei auch der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.
Mit dieser Entscheidung hat der EuGH „die datenschutzrechtlichen Pflichten für Unternehmen verschärft“, resümiert Rechtsanwältin Dr. Anna Lena Füllsack von CMS Deutschland. „Verantwortliche müssen bei der Beantwortung eines Auskunftsersuchens nunmehr jeden einzelnen Empfänger offengelegen.“ Kommen Unternehmen dieser spezifischen Auskunftspflicht nicht nach, drohten neben Bußgeldern der Aufsichtsbehörden insbesondere Schadensersatzklagen von Betroffenen.
Da Auskunftsersuchen innerhalb von vier Wochen zu beantworten seien, sollten die erforderlichen Informationen zu den Empfängerinnen und Empfängern nicht erst anlässlich eines konkreten Auskunftsersuchens beschafft werden. Verantwortliche sollten sich vielmehr losgelöst davon bewusst machen, an wen personenbezogene Daten im Einzelnen fließen. Ein detailliertes Verarbeitungsverzeichnis könne dabei eine große Hilfe sein.
Das aktuelle EuGH-Urteil beschränkt sich nach Einschätzung von Anna Lena Füllsack nicht unbedingt nur auf Artikel 15 DSGVO. Aufgrund des identischen Wortlauts in Artikel 13 Absatz 1e und Artikel 14 Absatz 1e sei es möglich, dass Aufsichtsbehörden und Gerichte zukünftig auch bei Datenschutzhinweisen spezifische Angaben zu sämtlichen Empfängern verlangen. Bislang gäben viele Unternehmen hier lediglich die Kategorien von Empfängern an.
Die Datenschutz-Grundverordnung im Wortlaut finden Sie hier. Das EuGH hat seine Mitteilung zum aktuellen Urteil hier veröffentlicht.
In einem weiteren aktuellen Urteil (Rechtssache C-132/21) stellt das EuGH klar: Die in der Datenschutz-Grundverordnung vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden. Die entsprechende Mitteilung des EuGH finden Sie hier.
(fab)
Zeitschrift für Risikomanagement (ZfRM)In Zeiten starker Umwälzungen und Krisenlagen bietet die einzige deutschsprachige Zeitschrift speziell zum Risikomanagement umfassende Orientierung. Nur wer wesentliche Risiken frühzeitig identifizieren, analysieren und bewerten kann, wird langfristig die richtigen Entscheidungen für sein Unternehmen treffen.
Zwei gut sortierte Rubriken |
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: