Zum Inhalt

Auskunftsrecht zur Betroffenheit nach DSGVO

Die Klägerin machte einen PCR-Test. Im Labor kam zu einer „Datenpanne“. Die Klägerin hat gemäß Art 15 Abs 1 lit c DSGVO grundsätzlich das Recht, dass ihr mitgeteilt wird, ob durch eine konkret genannte Datenübermittlung an einen Empfänger ihre personenbezogenen Daten offengelegt wurden, selbst wenn der Empfänger nicht bekannt sein sollte.

Die Beklagte ist auf den Betrieb von Analysestationen und die Durchführung von diagnostischen Testverfahren – insbesondere im Zusammenhang mit PCR-Tests – spezialisiert. Sie führte zwischen Jänner und Juni 2021 in Tirol Corona-Virus-Tests durch. Im August 2021 wurde von der Beklagten per E-Mail eine Excel-Datei, in der mehr als 24.000 Corona-Virus-Testergebnisse aus Tirol samt den dazugehörigen personenbezogenen Daten der getesteten Personen gespeichert waren, an zumindest eine Person versandt, die nicht bei der Beklagten tätig war. Diese Datei wurde in weiterer Folge dem „Standard“ und dem „ORF-Tirol“ zugespielt, die im September 2021 unter den Überschriften „Tausende Tiroler PCR-Test-Ergebnisse mit Namen und Daten geleakt“ und „Massives Datenleck bei positiven CoV-Tests“ Berichte veröffentlichten.

Die Klägerin begehrte neben 450 EUR an Schadenersatz für emotionales Ungemach die Auskunft, ob sie von der Datenpanne bei der Beklagten, bei der personenbezogene Daten wie Name, Adresse, Geburtsdatum und Corona-Virus-Testergebnis offengelegt wurden, betroffen sei. Sie sei im März 2021 bei der Beklagten positiv auf das Corona-Virus getestet worden.

Gemäß Art 15 Abs 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und (unter anderem) auf Informationen über a) die Verarbeitungszwecke, b) die Kategorien personenbezogener Daten, die verarbeitet werden, und c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.

Nach stRsp kann (auch) das Auskunftsrecht nach Art 15 DSGVO gerichtlich durchgesetzt werden.

Der EuGH hat jüngst mit dem Urteil Rs C-154/21 zu Art 15 Abs 1 lit c DSGVO klargestellt, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen. Eine Ausnahme davon besteht dann, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv iSd Art 12 Abs 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. Der EuGH hat in der genannten Entscheidung aber auch zum Zweck des Art 15 DSGVO dargelegt, dass es der betroffenen Person durch die Ausübung des Auskunftsrechts nach Art 15 DSGVO nicht nur ermöglicht werden muss zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden, insbesondere ob sie gegenüber Empfängern offengelegt wurden, die zu ihrer Verarbeitung befugt sind. Dieses Auskunftsrecht ist insbesondere erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung („Recht auf Vergessenwerden“), ihr Recht auf Einschränkung der Verarbeitung, ihr Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten auszuüben oder im Schadensfall den gerichtlichen Rechtsbehelf einzulegen.

Daraus ergibt sich für den vorliegenden Fall:

Die effiziente Rechtsverfolgung, etwa – wie hier – auf einer unbefugten Offenlegung basierender Schadenersatzansprüche nach Art 82 DSGVO, setzt auch voraus, Kenntnis über eine tatsächliche Betroffenheit von einer Datenübermittlung erlangen zu können. Die Klägerin hat daher gemäß Art 15 Abs 1 lit c DSGVO auch das Recht, dass ihr mitgeteilt wird, ob durch eine konkret genannte Datenübermittlung an einen Empfänger, selbst wenn dieser nicht bekannt sein sollte, ihre personenbezogenen Daten offengelegt wurden. Dadurch wird ihr ermöglicht, in der Folge ihre obgenannten Rechte auszuüben.

Zutreffend sind die Vorinstanzen davon ausgegangen, dass die Beklagte der Klägerin die begehrte Auskunft schon auf Grundlage des Art 15 DSGVO zu erteilen hat. Ob auch Art 34 DSGVO der Klägerin insoweit subjektive Auskunftsrechte einräumt oder ob diesbezügliche vertragliche Ansprüche der Klägerin bestehen, musste laut OGH nicht mehr geprüft werden.

OGH 24.3.2023, 6 Ob 227/22h

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

Das könnte auch interessant sein:

Spanische Hofreitschule – Lipizzanergestüt Piber Kletterpark gibt Unterlassungserklärung ab

Spanische Hofreitschule – Lipizzanergestüt Piber Kletterpark gibt Unterlassungserklärung ab

Das Lipizzanergestüt Piber betreibt auf dem Gelände des Lipizzanergestüts Piber einen Kletterpark.
Anlässlich einer Verbraucher:innenbeschwerde hat der VKI die AGB dieses Kletterparks geprüft und die Spanische Hofreitschule – Lipizzanergestüt Piber Kletterpark, im Auftrag des Sozialministeriums, wegen zwei unzulässigen Klauseln in diesen Teilnahmebedingungen für den Kletterpark abgemahnt. Betroffen sind eine Haftungsfreizeichnungsklausel und eine Klausel, welche die Verwendung von aufgenommenen Fotos und Videos während der Aktivitäten im Kletterpark ohne weitere Zustimmung und auch für Werbezwecke erlaubt hätte.

Die Spanische Hofreitschule – Lipizzanergestüt Piber Kletterpark hat am 25.06.2024 eine außergerichtliche strafbewehrte Unterlassungserklärung abgegeben.

Unterlassungserklärung von Temu

Unterlassungserklärung von Temu

Der Verein für Konsumenteninformation (VKI) hat im Auftrag des BMSGPK die Whaleco Technology Limited (Temu) wegen unzureichender Zurverfügungstellung von Kontaktinformationen (konkret: Telefonnummer) auf ihrer Website abgemahnt. Die Homepagegestaltung von Temu entsprach nach Auffassung des VKI nicht den Vorgaben des FAGG. Temu hat am 24.06.2024 eine Unterlassungserklärung abgegeben.

zupfdi.at: VKI informiert über mögliche Rückforderungsansprüche betroffener Verbraucher:innen

zupfdi.at: VKI informiert über mögliche Rückforderungsansprüche betroffener Verbraucher:innen

Der OGH hat mit Beschluss vom 25.01.2024 (4 Ob 5/24z) das Geschäftsmodell der gewerblichen „Besitzschützer“ hinter der Website www.zupfdi.at für rechtswidrig erkannt. Das HG Wien hat in VKI-Verbandsverfahren ua die Unzulässigkeit von Klauseln über die Abtretung der Besitzschutzansprüche und die Einräumung von Mitbesitz an den bewachten Liegenschaften bestätigt. Nach Rechtsauffassung des VKI ergeben sich aus diesen Entscheidungen Rückforderungsansprüche der betroffenen Verbraucher:innen, die Zahlungen an „Zupf di“ getätigt haben.

Unterlassungserklärung der Sanag Health Care GmbH

Der VKI hat – im Auftrag des Sozialministeriums – die Sanag Health Care GmbH wegen acht Klauseln in ihrem Mietvertrag für ein Leihgerät abgemahnt. Die Sanag Health Care GmbH hat zu allen Klauseln eine Unterlassungserklärung abgegeben.

EuGH: keine Tragung von Verfahrenskosten durch Verbraucher:innen bei missbräuchlichen Vertragsklauseln

EuGH: keine Tragung von Verfahrenskosten durch Verbraucher:innen bei missbräuchlichen Vertragsklauseln

Der Europäische Gerichtshof (EuGH) äußerte sich kürzlich zu offenen Auslegungsverfahren der Klausel-Richtlinie (RL 93/13/EWG) und der Verbraucherkredit-Richtlinie 2008 (RL 2008/48/EG). Das Urteil vom 21.03.2024 (C-714/22, Profi Credit Bulgaria) betrifft ein bulgarisches Vorlageverfahren; die Aussagen des Gerichtshof sind jedoch auch für österreichische Verbraucher:innen von Relevanz.

unterstützt durch das

Sozialministerium
Zum Seitenanfang