Post in Österreich gab personenbezogene Daten weiter
Unternehmen, Behörden und Arbeitgeber sammeln Daten von Verbrauchern, verarbeiten sie, nutzen sie für ihre Zwecke und verdienen damit oft auch Geld. Allerdings wird mit den personenbezogenen Daten manchmal leichtfertig umgegangen, so dass es zu Verstößen gegen datenschutzrechtliche Normen kommt. Bei Datenlecks sind von heute auf morgen hochsensible Daten von Kunden plötzlich für Dritte einsehbar und abgreifbar – und das für ewige Zeiten. Denn das Internet vergisst nichts. Verbraucher sind jedoch dem Hin und Her ihrer Daten nicht schutzlos ausgeliefert. Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU. Ein wichtiger Stützpfeiler der DSGVO ist das Recht auf Auskunft der Verbraucher über ihre Daten. Der Europäische Gerichtshof hat dieses Auskunftsrecht mit seinem Urteil vom 12. Januar 2023 gestärkt. Die Kanzlei Dr. Stoll & Sauer fasst den zugrundeliegenden Fall aus Österreich zusammen:
- Ein Verbraucher wollte von der österreichischen Post wissen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt – sprich weitergegeben – hat.
- Die Post meinte lapidar, sie verwende die Daten im rechtlich zulässigen Rahmen bei ihrer Tätigkeit als Herausgeberin von Telefonbüchern. Geschäftskunden würden die Daten zu Marketingzwecken angeboten.
- Der Bürger wollte jetzt genauer wissen, wer die Empfänger seiner personenbezogenen Daten wären oder in welcher Kategorie die Empfänger gehörten. Er reichte Klage ein und berief sich dabei auf Artikel 15 Absatz 1 der DSGVO.
- Die Post konkretisierte im Laufe des Verfahrens die Kategorien der Empfänger. Neben Marketingunternehmen im Versandhandel und stationären Handel gingen die Daten des Klägers auch an IT-Unternehmen, NGO, Adressverlage, Vereine, Spendenorganisationen und politischen Parteien.
- Der Oberste Gerichtshof (OGH) in Österreich wollte vom EuGH wissen, inwieweit es dem für die Datenverarbeitung Verantwortlichen freistehe, die konkrete Identität oder nur die Kategorie von Empfängern mitzuteilen.
- Der EuGH sieht im Grundsatz den Datenverarbeiter in der Informationspflicht. Betroffene haben ein Recht darauf zu erfahren, welche konkrete Identität hinter dem Empfänger der personenbezogenen Daten steckt. Zwar gehe aus Artikel 15 Absatz 1 DSGVO kein Vorrang der Mitteilung der konkreten Identität des Empfängers hervor, aber die Praxis der DSGVO-Rechte mache es erforderlich, die konkrete Identität offenzulegen.
- Desweiteren zog das Gericht ganz enge Grenzen für die Ausnahmen von der Informationspflicht. Die Identität der Empfänger müsse nicht preisgegeben werden, wenn sie gar nicht bekannt sei oder der Bürger die Auskunft exzessiv betreibe.
- Der EuGH wies in seinem Urteil auf das Ziel hin, ein möglichst hohes Datenschutzniveau für die Bürger zu sichern. Außerdem trage die Entscheidung dem Grundsatz der Transparenz Rechnung.
- Der EuGH hatte in der Vergangenheit beim Datenschutz bereits folgende Maßstäbe gesetzt: Recht auf Berichtigung, Recht auf Löschung ("Recht auf Vergessenwerden"), Recht auf Einschränkung der Verarbeitung, Recht auf Widerspruch gegen die Verarbeitung und Recht auf einen Rechtsbehelf im Schadensfall.