Die Beklagte ist auf den Betrieb von Analysestationen und die Durchführung von diagnostischen Testverfahren – insbesondere im Zusammenhang mit PCR-Tests – spezialisiert. Sie führte zwischen Jänner und Juni 2021 in Tirol Corona-Virus-Tests durch. Im August 2021 wurde von der Beklagten per E-Mail eine Excel-Datei, in der mehr als 24.000 Corona-Virus-Testergebnisse aus Tirol samt den dazugehörigen personenbezogenen Daten der getesteten Personen gespeichert waren, an zumindest eine Person versandt, die nicht bei der Beklagten tätig war. Diese Datei wurde in weiterer Folge dem „Standard“ und dem „ORF-Tirol“ zugespielt, die im September 2021 unter den Überschriften „Tausende Tiroler PCR-Test-Ergebnisse mit Namen und Daten geleakt“ und „Massives Datenleck bei positiven CoV-Tests“ Berichte veröffentlichten.
Die Klägerin begehrte neben 450 EUR an Schadenersatz für emotionales Ungemach die Auskunft, ob sie von der Datenpanne bei der Beklagten, bei der personenbezogene Daten wie Name, Adresse, Geburtsdatum und Corona-Virus-Testergebnis offengelegt wurden, betroffen sei. Sie sei im März 2021 bei der Beklagten positiv auf das Corona-Virus getestet worden.
Gemäß Art 15 Abs 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und (unter anderem) auf Informationen über a) die Verarbeitungszwecke, b) die Kategorien personenbezogener Daten, die verarbeitet werden, und c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
Nach stRsp kann (auch) das Auskunftsrecht nach Art 15 DSGVO gerichtlich durchgesetzt werden.
Der EuGH hat jüngst mit dem Urteil Rs C-154/21 zu Art 15 Abs 1 lit c DSGVO klargestellt, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen. Eine Ausnahme davon besteht dann, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv iSd Art 12 Abs 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. Der EuGH hat in der genannten Entscheidung aber auch zum Zweck des Art 15 DSGVO dargelegt, dass es der betroffenen Person durch die Ausübung des Auskunftsrechts nach Art 15 DSGVO nicht nur ermöglicht werden muss zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden, insbesondere ob sie gegenüber Empfängern offengelegt wurden, die zu ihrer Verarbeitung befugt sind. Dieses Auskunftsrecht ist insbesondere erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung („Recht auf Vergessenwerden“), ihr Recht auf Einschränkung der Verarbeitung, ihr Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten auszuüben oder im Schadensfall den gerichtlichen Rechtsbehelf einzulegen.
Daraus ergibt sich für den vorliegenden Fall:
Die effiziente Rechtsverfolgung, etwa – wie hier – auf einer unbefugten Offenlegung basierender Schadenersatzansprüche nach Art 82 DSGVO, setzt auch voraus, Kenntnis über eine tatsächliche Betroffenheit von einer Datenübermittlung erlangen zu können. Die Klägerin hat daher gemäß Art 15 Abs 1 lit c DSGVO auch das Recht, dass ihr mitgeteilt wird, ob durch eine konkret genannte Datenübermittlung an einen Empfänger, selbst wenn dieser nicht bekannt sein sollte, ihre personenbezogenen Daten offengelegt wurden. Dadurch wird ihr ermöglicht, in der Folge ihre obgenannten Rechte auszuüben.
Zutreffend sind die Vorinstanzen davon ausgegangen, dass die Beklagte der Klägerin die begehrte Auskunft schon auf Grundlage des Art 15 DSGVO zu erteilen hat. Ob auch Art 34 DSGVO der Klägerin insoweit subjektive Auskunftsrechte einräumt oder ob diesbezügliche vertragliche Ansprüche der Klägerin bestehen, musste laut OGH nicht mehr geprüft werden.
