Frau Füllsack, der Europäische Gerichtshof (EuGH) hat sich mit dem Auskunftsrecht von Verbrauchern zu Daten befasst, die Unternehmen verarbeitet haben. Worum ging es in dem Fall?

Die Entscheidung betrifft die Reichweite des datenschutzrechtlichen Auskunftsanspruchs nach Art. 15 der Datenschutz-Grundverordnung DSGVO. Anlass war ein Fall aus Österreich, der im Zusammenhang mit einem größeren Datenschutzskandal steht. Der Österreichischen Post wurde vorgeworfen, Daten zur Parteiaffinität von rund zwei Millionen Betroffenen an Werbekunden verkauft zu haben. Ein Betroffener wollte über den datenschutzrechtlichen Auskunftsanspruch herausfinden, an wen genau seine Daten weitergegeben wurden. Die Post erteilte aber nur Auskunft über die Kategorien von Empfängern. Der Betroffene hielt das für unzureichend und erhob deshalb Klage.

Wie hat der Gerichtshof geurteilt?

Der EuGH hat entschieden, dass der Anspruch nach Art. 15 Abs. 1 DSGVO grundsätzlich eine Auskunft über die konkrete Identität der Empfänger personenbezogener Daten umfasst. Die Entscheidung konkretisiert, welche Anforderungen bei der Beantwortung datenschutzrechtlicher Auskunftsersuchen gelten. Bislang war in der datenschutzrechtlichen Literatur teils angenommen worden, dass es genüge, allgemeine Empfängerkategorien zu nennen.

Was bedeutet das Urteil für den Umgang mit Kundendaten in Unternehmen? Ergeben sich Einschränkungen in der Verwendung der Daten für Marketingmaßnahmen?

Mit Blick auf den Umgang mit Kundendaten beziehungsweise die Verwendung zu Marketingzwecken hat sich durch das Urteil in der Sache nichts geändert. Die Entscheidung trifft dazu keine Aussage. Kundendaten dürfen nach wie vor nur dann verarbeitet werden, wenn für den jeweiligen Verarbeitungszweck eine datenschutzrechtliche Rechtsgrundlage existiert. Die Entscheidung des EuGH wird erst dann unmittelbar relevant, wenn eine betroffene Person ein Auskunftsersuchen geltend macht und aktiv Informationen zur Datenverarbeitung einfordert. Das kann ohne Weiteres vorkommen, weil der Anspruch nach Art. 15 DSGVO praktisch kaum Voraussetzungen an die Geltendmachung stellt. Nach der Entscheidung des EuGH müssen nun sämtliche Empfänger so genau wie möglich benannt werden. Unternehmen sollten diese Information deshalb abrufbereit vorhalten, um im Falle eines Auskunftsersuchens ohne größere Verzögerung innerhalb der gesetzlichen Fristen – also spätestens einen Monat nach Eingang der Anfrage – reagieren zu können.

Welche Folgen drohen bei Verstößen?

Bei einem Verstoß gegen die Auskunftspflichten können den Verantwortlichen zunächst einmal Bußgelder der datenschutzrechtlichen Aufsichtsbehörden drohen. Bei unzureichender oder verspäteter Beantwortung von Auskunftsersuchen haben die Landesdatenschutzbehörden in der Vergangenheit drei- bis fünfstellige Bußgelder verhängt. Zukünftig werden die Behörden dabei auch die neue Entscheidung des EuGH be­rücksichtigen. Außerdem sind Schadenersatzklagen von Betroffenen denkbar, die sich in ihren Rechten verletzt sehen. Dies kann unter Umständen schon bei einer unzureichenden oder verspäteten Beauskunftung der Fall sein, selbst wenn der Umgang mit den Daten an sich rechtmäßig war. Insoweit ist zu berücksichtigen, dass die Voraussetzungen für solche immateriellen Schadenersatzansprüche im Datenschutzrecht noch nicht abschließend geklärt sind.

Wirkt sich das Urteil auf andere Auskunftsersuchen aus, etwa von Aufsichtsbehörden?

Das Urteil gilt nur für Auskunftsersuchen im Sinne von Art. 15 DSGVO. Letztlich betrifft das alle Fälle, in denen eine natürliche Person von einem Unternehmen Informationen über die Verarbeitung personenbezogener Daten erhalten möchte. Die Entscheidung ist daher übergreifend für sämtliche Branchen relevant. Aufsichtsbehörden fallen hingegen nicht unter Art. 15 DSGVO. Insoweit existieren aber spezifische gesetzliche Regelungen, die Unternehmen ebenfalls zu möglichst konkreten Auskünften verpflichten.

Dr. Anna Lena Füllsack ist Rechtsanwältin bei der internationalen Wirtschaftskanzlei CMS Deutschland.

Die Fragen stellte Helmut Kipp.