Der EuGH hat in einem weiteren Urteil zu der lang umstrittenen Frage Stellung genommen, welche Anforderungen eine “Kopie” von personenbezogenen Daten erfüllen muss, wenn sie im Rahmen eines Auskunftsanspruchs gemäß Art. 15 Abs. 3 der Datenschutz-Grundverordnung (DSGVO) von der betroffenen Person verlangt wird. Bisher war unklar, ob eine originalgetreue Reproduktion der Unterlagen erforderlich ist oder ob eine einfache Auflistung der Daten in aggregierter Form ausreichend ist.
Hintergrund des Urteils
CRIF ist ein Kreditauskunftei, die auf Anfrage Informationen über die Kreditwürdigkeit von Dritten für ihre Kunden bereitstellt. Im Rahmen dieser Tätigkeit verarbeitete CRIF die persönlichen Daten des Klägers, einer Privatperson. Der Kläger stellte auf der Grundlage der Datenschutz-Grundverordnung einen Antrag bei CRIF, um Auskunft über seine personenbezogenen Daten zu erhalten.
Die CRIF übermittelte dem Kläger jedoch nur eine Liste seiner personenbezogenen Daten, die Gegenstand der Verarbeitung waren. Der Kläger war der Meinung, dass CRIF ihm eine vollständige Kopie aller relevanten Dokumente, wie E-Mails und Datenbankauszüge, hätte übermitteln müssen. Daraufhin reichte der Kläger eine Beschwerde bei der Österreichischen Datenschutzbehörde ein. Die Datenschutzbehörde wies die Beschwerde jedoch mit der Begründung ab, dass CRIF das Recht des Klägers auf Auskunft über seine personenbezogenen Daten nicht verletzt habe.
Daraufhin landete der Fall beim österreichischen Bundesverwaltungsgericht, welches dem EuGH eine Vielzahl an Vorlagefragen rund um die Auslegung des Begriffs „Kopie“ vorlegte.
Das Auskunftsrecht nach Art. 15 DSGVO
Das Auskunftsrecht nach Art. 15 DSGVO gewährt Personen das Recht, von verantwortlichen Stellen eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden oder nicht. Zudem haben sie Anspruch auf Zugang zu ihren gespeicherten personenbezogenen Daten sowie Informationen über den Verarbeitungszweck, die Kategorien der verarbeiteten Daten, etwaige Empfänger und die geplante Speicherdauer. Die verantwortlichen Stellen sind verpflichtet, die Anfragen der betroffenen Personen im Rahmen des Auskunftsrechts angemessen und zeitnah zu bearbeiten. Dieses Recht stärkt die Transparenz und Kontrolle über persönliche Informationen und ermöglicht es den Betroffenen, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.
Das sagt der EuGH
Laut dem EuGH umfasst das Recht auf eine “Kopie” gemäß Art. 15 Abs. 3 S. 3 der DSGVO eine originalgetreue und verständliche Reproduktion aller personenbezogenen Daten. Eine betroffene Person hat daher das Recht auf eine Kopie von Auszügen aus Dokumenten, vollständigen Dokumenten oder Auszügen aus Datenbanken, die ihre Daten enthalten. Diese Form der Übermittlung ist erforderlich, um die Betroffenenrechte gemäß der DSGVO wirksam auszuüben. Eine bloße Übermittlung aggregierter Daten genügt nicht den Anforderungen des Auskunftsbegehrens. Bei der Beurteilung müssen jedoch die Rechte und Freiheiten Dritter berücksichtigt werden, und es muss eine Abwägung zwischen den betroffenen Rechten erfolgen. Eine vollständige Verweigerung der Auskunft ist jedoch nicht zulässig.
Der EuGH begründet diese Interpretation unter anderem mit dem allgemeinen Verständnis des Begriffs “Kopie” und dem Zweck der Regelung. Eine originalgetreue Reproduktion oder Abschrift der Daten ist nach dem üblichen Verständnis einer Kopie erforderlich. Der Begriff bezieht sich nicht auf das Dokument selbst, sondern auf die enthaltenen personenbezogenen Daten, die vollständig sein müssen. Die Übermittlung aggregierter Daten würde es der betroffenen Person unmöglich machen, die rechtmäßige Verarbeitung ihrer Daten zu überprüfen. Eine solche Übermittlung würde auch den Anforderungen der transparenten und verständlichen Kommunikation seitens des Verantwortlichen widersprechen.
Bedeutung für die Praxis
Das Urteil des EuGH zum “Recht auf Kopie” hat bedeutende Konsequenzen für die Praxis der Datenverarbeitung in Unternehmen. Das Urteil des EuGH stellt klar, dass Unternehmen verpflichtet sind, eine originalgetreue und verständliche Reproduktion aller personenbezogenen Daten bereitzustellen, wenn eine betroffene Person ihr Auskunftsrecht gemäß DSGVO geltend macht. Eine bloße Auflistung aggregierter oder unverständlicher Daten genügt nicht (mehr). Die Kopie muss in einer Form vorliegen, die es dem Betroffenen ermöglicht, die Informationen nachzuvollziehen und zu verstehen, wie seine Daten verarbeitet werden.
Dies bedeutet, dass Unternehmen ihre internen Prozesse anpassen müssen, um sicherzustellen, dass sie in der Lage sind, solche originalgetreuen und verständlichen Kopien der personenbezogenen Daten bereitzustellen. Die Umsetzung dieser Anforderung erfordert eine sorgfältige interne Überprüfung, um sicherzustellen, dass alle relevanten Datenquellen erfasst und korrekt aufbereitet werden.
