Das jetzt getroffene Urteil (Rechtssache C-154/21) betrifft die Frage, ob ein Unternehmen die genauen Kontaktdaten offenlegen muss, an die es die Daten des Betroffenen weitergegeben hat, oder ob lediglich eine Kategorie wie zum Beispiel NGO oder IT-Unternehmen ausreicht.

Das Gericht spricht dem Betroffenen ein umfassendes Auskunftsrecht zu, das auch konkrete Angaben zu den einzelnen Empfängern umfasst. Nur wenn es nicht oder noch nicht möglich sei, diese Empfänger zu identifizieren, könne sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies sei auch der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Mit dieser Entscheidung hat der EuGH „die datenschutzrechtlichen Pflichten für Unternehmen verschärft“, resümiert Rechtsanwältin Dr. Anna Lena Füllsack von CMS Deutschland. „Verantwortliche müssen bei der Beantwortung eines Auskunftsersuchens nunmehr jeden einzelnen Empfänger offengelegen.“ Kommen Unternehmen dieser spezifischen Auskunftspflicht nicht nach, drohten neben Bußgeldern der Aufsichtsbehörden insbesondere Schadensersatzklagen von Betroffenen.

Da Auskunftsersuchen innerhalb von vier Wochen zu beantworten seien, sollten die erforderlichen Informationen zu den Empfängerinnen und Empfängern nicht erst anlässlich eines konkreten Auskunftsersuchens beschafft werden. Verantwortliche sollten sich vielmehr losgelöst davon bewusst machen, an wen personenbezogene Daten im Einzelnen fließen. Ein detailliertes Verarbeitungsverzeichnis könne dabei eine große Hilfe sein.

Das aktuelle EuGH-Urteil beschränkt sich nach Einschätzung von Anna Lena Füllsack nicht unbedingt nur auf Artikel 15 DSGVO. Aufgrund des identischen Wortlauts in Artikel 13 Absatz 1e und Artikel 14 Absatz 1e sei es möglich, dass Aufsichtsbehörden und Gerichte zukünftig auch bei Datenschutzhinweisen spezifische Angaben zu sämtlichen Empfängern verlangen. Bislang gäben viele Unternehmen hier lediglich die Kategorien von Empfängern an.

Die Datenschutz-Grundverordnung im Wortlaut finden Sie hier. Das EuGH hat seine Mitteilung zum aktuellen Urteil hier veröffentlicht.

In einem weiteren aktuellen Urteil (Rechtssache C-132/21) stellt das EuGH klar: Die in der Datenschutz-Grundverordnung vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden. Die entsprechende Mitteilung des EuGH finden Sie hier.

(fab)

Zeitschrift für Risikomanagement (ZfRM) In Zeiten starker Umwälzungen und Krisenlagen bietet die einzige deutschsprachige Zeitschrift speziell zum Risikomanagement umfassende Orientierung. Nur wer wesentliche Risiken frühzeitig identifizieren, analysieren und bewerten kann, wird langfristig die richtigen Entscheidungen für sein Unternehmen treffen. Früher informiert, schneller reagieren Alles, was Sie im Risikomanagement fachlich und beruflich weiterbringt, präsentiert von inspirierenden Vordenkern und erfahrenen Kollegen: Die wichtigsten Praxisfragen risikobasierter Unternehmensführung finden Sie hier laufend aktuell aus erster Hand beantwortet. Werden die gesetzlichen Vorschriften und Standards zur Erkennung und Abwehr von Risiken beachtet? Ist das Risikomanagement angemessen aufgestellt? Wie arbeiten die Kontrollfunktionen zusammen? Erhalten Vorstand bzw. Geschäftsführung die relevanten Informationen? Was lässt sich gegen wachsende Wirtschaftskriminalität unternehmen? Wie lassen sich ESG-Risiken identifizieren und managen? Zwei gut sortierte Rubriken Anschaulich aufbereitet in den zwei Rubriken „Risk Governance“ und „Risk Management“, finden verantwortliche Führungskräfte – sowohl im operativen Risikomanagement als auch in der Unternehmensleitung – wichtige Entscheidungshilfen und Tipps für die Umsetzung zielgerichteter Maßnahmen.