Datenschutz – ein Thema, das oft unterschätzt wird, bis es plötzlich ernst wird. Stellen Sie sich vor, ein Kunde oder Mitarbeiter fordert detaillierte Informationen darüber an, welche Daten Ihr Unternehmen über ihn gespeichert hat. Was früher als formales Recht galt, hat sich heute zu einem entscheidenden Werkzeug für betroffene Personen entwickelt. Das Auskunftsrecht nach Artikel 15 DSGVO ist dabei eines der stärksten Instrumente im Bereich Datenschutz. Es verpflichtet Unternehmen, umfassend und präzise über die Verarbeitung personenbezogener Daten zu informieren.
Und genau hier kommt der Europäische Gerichtshof (EuGH) ins Spiel. Mit einer Reihe neuer Urteile hat der EuGH dieses Recht noch weiter gestärkt. Pauschale Angaben reichen nicht mehr aus. Für Unternehmen bedeutet das: Die Anforderungen an Transparenz und Präzision steigen weiter, und wer darauf nicht vorbereitet ist, riskiert nicht nur Bußgelder, sondern auch den Verlust des Vertrauens seiner Kunden.
In diesem Artikel werfen wir einen Blick auf die aktuellen EuGH-Urteile zu Artikel 15 DSGVO und zeigen Ihnen, welche Auswirkungen diese auf Ihr Unternehmen haben. Außerdem erfahren Sie, welche Schritte Sie unternehmen sollten, um den neuen Anforderungen gerecht zu werden – und warum es jetzt besonders wichtig ist, Ihre Prozesse im Griff zu haben.
Wichtig: Der Artikel ersetzt keine Rechtsberatung. Die genaue Umsetzung und Beantwortung von Auskunftsanfragen sollte immer unter Berücksichtigung der aktuellen rechtlichen Vorgaben und nach Rücksprache mit Fachleuten erfolgen.
Die Inhalte im Überblick
Was regelt Artikel 15 DSGVO?
Artikel 15 der DSGVO verleiht betroffenen Personen das Recht, umfassende Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Unternehmen sind verpflichtet, auf solche Anfragen detailliert und transparent zu reagieren. Doch was genau müssen Unternehmen preisgeben?
Hier sind die wichtigsten Punkte verständlich erklärt:
1. Welche Daten werden verarbeitet?
Betroffene Personen haben laut Artikel 15 DSGVO das Recht zu erfahren, ob und welche personenbezogenen Daten von ihnen verarbeitet werden. Das bedeutet, Unternehmen müssen klar und präzise auflisten, welche Daten sie von der jeweiligen Person gespeichert haben. Dazu zählen zum Beispiel:
- Name, Adresse, Kontaktdaten
- Vertragsdaten
- Kommunikationsverläufe
- Protokolldaten, z. B. Login-Daten oder IP-Adressen
Es geht also nicht nur um offensichtliche Informationen wie Namen oder Kontodaten, sondern auch um technische Informationen, die im Hintergrund gespeichert werden.
2. Verarbeitungszwecke
Unternehmen müssen laut Artikel 15 DSGVO auch angeben, zu welchem Zweck die personenbezogenen Daten verarbeitet werden. Es reicht nicht aus, allgemein zu sagen, dass Daten gesammelt werden – der Zweck muss klar benannt werden, z. B.:
- Vertragsabwicklung
- Marketingzwecke
- Buchhalterische Erfordernisse
- Erfüllung gesetzlicher Pflichten
Jedes Unternehmen sollte also seine Verarbeitungsprozesse und Zwecke gut dokumentieren, um Auskunftsanfragen korrekt zu beantworten.
3. Wer hat Zugriff auf die Daten?
Betroffene haben das Recht zu erfahren, wer Zugriff auf ihre Daten hat oder hatte. Das bedeutet, dass Unternehmen offenlegen müssen, an welche Empfänger oder Kategorien von Empfängern die Daten weitergegeben wurden. Wichtige Empfänger können beispielsweise sein:
- Dienstleister wie IT-Unternehmen oder Marketing-Agenturen
- Behörden oder Steuerberater
- Zahlungsanbieter
Wichtig: Ein aktuelles Urteil des Europäischen Gerichtshofs bringt eine entscheidende Änderung in Bezug auf die Auskunftspflicht von Unternehmen nach Artikel 15 DSGVO. Mehr dazu weiter unten.
4. Dauer der Speicherung
Betroffene Personen haben ein Anrecht darauf zu erfahren, wie lange ihre personenbezogenen Daten gespeichert werden. Unternehmen müssen daher die Dauer oder zumindest die Kriterien angeben, nach denen die Dauer der Speicherung bestimmt wird. Beispielsweise:
- Speicherung bis zur Vertragsbeendigung plus gesetzliche Aufbewahrungsfrist
- Speicherung für Marketingzwecke bis auf Widerruf
- Gesetzliche Aufbewahrungspflichten (z. B. 10 Jahre für Steuerunterlagen)
Hier müssen Unternehmen klar darlegen, wann welche Daten gelöscht werden.
5. Rechte auf Berichtigung, Löschung und Einschränkung
Neben dem Auskunftsrecht gibt Artikel 15 DSGVO auch Hinweise auf die weiteren Rechte der betroffenen Personen, wie das Recht auf:
- Berichtigung unrichtiger Daten
- Löschung der Daten (Recht auf Vergessenwerden)
- Einschränkung der Verarbeitung, wenn bestimmte Voraussetzungen vorliegen
Das bedeutet, Unternehmen müssen im Rahmen eines Auskunftsersuchens nicht nur über die Datenverarbeitung informieren, sondern auch darauf hinweisen, dass betroffene Personen das Recht haben, falsche Daten korrigieren zu lassen oder deren Löschung zu verlangen.
6. Recht auf Kopie der Daten
Betroffene Personen haben das Recht, eine Kopie ihrer Daten zu erhalten. Das umfasst nicht nur die Daten selbst, sondern auch alle relevanten Informationen im Zusammenhang mit der Auskunftsanfrage.
- vollständige und lesbare Kopien der relevanten Dokumente oder Datenbankauszüge
- keine unverständlichen oder schwer zugänglichen Formate
Ein aktuelles EuGH-Urteil vom März 2023 bringt hier eine wichtige Neuerung mit sich, die Unternehmen betrifft. Details dazu erfahren Sie weiter unten.
➡️ Wer die genauen Texte nochmal nachlesen möchte, der findet hier die DSGVO Gesetzestexte.
Neue EuGH-Urteile und ihre Auswirkungen auf das Auskunftsrecht nach Artikel 15 DSGVO
Der Europäische Gerichtshof (EuGH) hat in den letzten Monaten zwei bedeutende Urteile zum Auskunftsrecht nach Artikel 15 DSGVO gefällt, die weitreichende Auswirkungen auf Unternehmen haben. Diese Entscheidungen stärken die Rechte der betroffenen Personen und verschärfen die Anforderungen an Unternehmen, die personenbezogene Daten verarbeiten.
1. Offenlegung der Datenempfänger – Urteil vom 12. Januar 2023 (Az. C-154/21)
In diesem Urteil hat der EuGH klargestellt, dass Unternehmen bei Auskunftsersuchen nicht mehr nur allgemeine Empfänger-Kategorien nennen dürfen. Stattdessen müssen sie, sofern möglich, die konkreten Namen der Datenempfänger offenlegen. Dies stellt eine erhebliche Verschärfung der Transparenzanforderungen dar, da die bisher gängige Praxis vieler Unternehmen darin bestand, lediglich allgemeine Kategorien wie „Dienstleister“ oder „Geschäftspartner“ anzugeben.
Wesentliche Punkte des Urteils:
- Empfänger-Kategorien reichen nicht aus: Unternehmen müssen detaillierte Angaben zu den konkreten Empfängern machen, außer in Fällen, in denen die Nennung unmöglich oder unverhältnismäßig wäre.
- Transparenz stärken: Diese Entscheidung zielt darauf ab, den Betroffenen mehr Kontrolle über ihre Daten zu geben und sicherzustellen, dass sie genau wissen, wer ihre Daten erhält.
- Ausnahmen: Nur wenn es für das Unternehmen nachweislich unmöglich ist, die Identität der Empfänger zu nennen, kann auf Kategorien zurückgegriffen werden. Diese Ausnahmen müssen jedoch gut begründet sein.
Für Unternehmen bedeutet das: Sie müssen jetzt in der Lage sein, klar zu dokumentieren, an wen sie personenbezogene Daten weitergeben und diese Informationen auf Anfrage bereitstellen.
2. Recht auf Kopie der Daten – Urteil vom 4. März 2023 (Az. C-487/21)
Ein weiteres wichtiges Urteil des EuGH betrifft das Recht betroffener Personen, eine Kopie ihrer Daten zu erhalten. Der EuGH hat klargestellt, dass die Kopie eine originalgetreue und verständliche Reproduktion der Daten sein muss. Das bedeutet, dass Unternehmen sicherstellen müssen, dass die betroffenen Personen nicht nur Rohdaten erhalten, sondern auch die vollständigen Informationen, die notwendig sind, um ihre Rechte wahrnehmen zu können.
Wesentliche Punkte des Urteils:
- Originalgetreue Kopie: Die Datenkopie muss vollständig, verständlich und in einem nutzerfreundlichen Format bereitgestellt werden. Das bedeutet, dass Unternehmen nicht einfach unstrukturierte Daten oder Rohformate übermitteln dürfen.
- Umfassende Bereitstellung: Unternehmen müssen auch Kopien von Dokumenten oder Datenbankauszügen liefern, wenn diese erforderlich sind, um den Betroffenen die wirksame Ausübung ihrer Rechte zu ermöglichen.
- Rechte Dritter berücksichtigen: Bei der Bereitstellung von Datenkopien muss das Unternehmen jedoch auch die Rechte und Freiheiten Dritter wahren. Das bedeutet, dass bestimmte Daten gegebenenfalls geschwärzt oder anonymisiert werden müssen.
Für Unternehmen heißt das: Es reicht nicht mehr aus, eine einfache Datenkopie bereitzustellen. Unternehmen müssen sicherstellen, dass die bereitgestellten Daten vollständig und verständlich sind und den Betroffenen dabei helfen, ihre Datenschutzrechte umfassend wahrzunehmen.
3. Protokolldaten und das erweiterte Auskunftsrecht – Urteil vom 22. Juni 2023 (Az. C-579/21)
In diesem Urteil stellt der EuGH klar, dass das Auskunftsrecht nicht nur die „klassischen“ personenbezogenen Daten umfasst, sondern auch Protokolldaten wie IP-Adressen, Login-Daten oder sonstige technische Informationen, die während der Nutzung von Systemen erfasst werden. Dies erweitert das Spektrum der Daten, die Unternehmen auf Anfrage bereitstellen müssen, erheblich.
Wesentliche Punkte des Urteils:
- Protokolldaten gehören dazu: Unternehmen müssen nicht nur personenbezogene Daten wie Namen und Kontaktdaten, sondern auch technische Protokolldaten herausgeben.
- Erhöhte Anforderungen an Datenmanagement: Um diese Anfragen vollständig beantworten zu können, müssen Unternehmen sicherstellen, dass sie auch Protokolldaten korrekt erfassen, speichern und abrufen können.
Für Unternehmen bedeutet das: Sie müssen sicherstellen, dass auch technische Daten korrekt dokumentiert werden und auf Anfrage zugänglich sind.
4. Kostenloser Zugang zur ersten Datenkopie – Urteil vom 26. Oktober 2023 (Az. C-307/22)
In diesem Urteil hat der EuGH entschieden, dass betroffene Personen einen kostenlosen Zugang zur ersten Kopie ihrer Daten haben – einschließlich sensibler Informationen wie Patientenakten. Das bedeutet, dass Unternehmen laut Artikel 15 DSGVO keine Gebühren erheben dürfen, wenn sie zum ersten Mal eine Auskunftsanfrage bearbeiten und die Daten bereitstellen.
Wesentliche Punkte des Urteils:
- Kostenfreiheit der ersten Kopie: Die erste Kopie der angeforderten Daten muss den betroffenen Personen immer kostenlos zur Verfügung gestellt werden.
- Auch sensible Daten inbegriffen: Selbst sensible Daten wie Patientenakten oder andere besondere Kategorien personenbezogener Daten müssen kostenlos bereitgestellt werden.
- Nachfolgende Anfragen: Unternehmen können nur für zusätzliche Kopien oder wiederholte Anfragen Gebühren erheben.
Für Unternehmen bedeutet das: Sie müssen sicherstellen, dass die Bereitstellung der ersten Datenkopie immer kostenfrei erfolgt – und wissen, dass dies auch für sensible Daten wie Gesundheitsakten gilt.
Praktische Umsetzung des Auskunftsrechts nach Artikel 15 DSGVO in Ihrem Unternehmen
Mit den vier aktuellen EuGH-Urteilen hat sich der Umfang des Auskunftsrechts erheblich erweitert. Unternehmen stehen vor der Herausforderung, ihre internen Prozesse entsprechend anzupassen, um den Anforderungen von Artikel 15 DSGVO gerecht zu werden. Die Bereitstellung personenbezogener Daten, Protokolldaten, die konkrete Nennung von Datenempfängern und die kostenfreie Bereitstellung der ersten Kopie: All das verlangt nicht nur ein umfassendes Datenmanagement, sondern auch einen klaren rechtlichen Rahmen für den Umgang mit Auskunftsanfragen.
Hier sind einige konkrete Ansätze, um die Anforderungen umzusetzen:
- Zentrales Datenmanagement: Um personenbezogene und Protokolldaten schnell und präzise bereitzustellen, sollten Unternehmen ein zentrales Datenmanagementsystem einführen. So lassen sich alle relevanten Informationen effizient zusammenführen.
- Dokumentation der Datenempfänger: Die Offenlegung der konkreten Empfänger erfordert detaillierte Dokumentation aller Datenweitergaben an Dritte. Unternehmen müssen sicherstellen, dass jede Weitergabe vollständig erfasst wird.
- Kostenlose Bereitstellung der ersten Kopie: Unternehmen müssen klare Prozesse etablieren, um die erste Datenkopie, einschließlich sensibler Daten wie Patientenakten, kostenfrei bereitzustellen.
- Schutz der Rechte Dritter: Vor der Bereitstellung von Datenkopien müssen Mechanismen zur Anonymisierung sensibler Informationen eingeführt werden, um die Rechte Dritter zu schützen.
Angesichts dieser Herausforderungen stellt sich die Frage: Wie kann Ihr Unternehmen sicherstellen, dass es den Anforderungen des Artikel 15 DSGVO Auskunftsrechts gerecht wird, ohne rechtliche Risiken einzugehen?
Hier liegt der Schlüssel oft in der Zusammenarbeit mit Datenschutzexpert*innen. Die Implementierung eines rechtskonformen Auskunftsmanagements erfordert neben technischem Know-how, auch ein tiefes Verständnis der rechtlichen Rahmenbedingungen. Eine fundierte Beratung durch spezialisierte Fachleute ist deshalb unerlässlich, um mögliche Stolperfallen zu vermeiden und den rechtlichen Anforderungen in vollem Umfang gerecht zu werden.
Unterstützung bei der Umsetzung der DSGVO-Anforderungen
Die Umsetzung der neuen Artikel 15 DSGVO Vorgaben stellt viele Unternehmen vor Herausforderungen – sei es bei der Datenverwaltung, der Dokumentation von Datenempfängern oder dem Schutz der Rechte Dritter. Hier macht eine professionelle Unterstützung den entscheidenden Unterschied.
PROXI steht Ihnen als verlässlicher Partner zur Seite. Unsere Datenschutzexpert*innen unterstützen Sie dabei, Ihre Prozesse DSGVO-konform zu gestalten und auf Auskunftsanfragen optimal vorbereitet zu sein. Wir bieten maßgeschneiderte Lösungen, die rechtssicher sind und gleichzeitig auf die spezifischen Bedürfnisse Ihres Unternehmens zugeschnitten werden.
Kontaktieren Sie PROXI und machen Sie den nächsten Schritt zu einem rechtssicheren und effizienten Datenschutzmanagement.