Datenschutzpflichten für Unternehmen verschärft


EuGH konkretisiert Umfang des DSGVO-Auskunftsrechts
Da Auskunftsersuchen binnen vier Wochen beantwortet werden müssen, empfiehlt es sich, die erforderlichen Informationen zu den Empfängern nicht erst anlässlich eines konkreten Auskunftsersuchens zu beschaffen




In seinem Urteil hat der Europäische Gerichtshof (EuGH) geklärt, inwieweit Verbrauchern ein Auskunftsrecht zu von Unternehmen verarbeiteten Daten nach der DSGVO zusteht. Konkret betraf dies die Frage, ob ein Unternehmen die genauen Kontaktdaten offenlegen muss, an die es die Daten des Betroffenen weitergegeben hat oder lediglich eine Kategorie, wie zum Beispiel NGO, IT-Unternehmen oder ähnliches ausreicht. Das Gericht sprach dem Betroffenen ein umfassendes Auskunftsrecht zu, das auch konkrete Angaben zu den einzelnen Empfängern umfasst. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Dr. Anna Lena Füllsack, Rechtsanwältin bei der internationalen Wirtschaftskanzlei CMS Deutschland kommentiert das Urteil:
"Mit seiner Entscheidung hat der EuGH wieder einmal die datenschutzrechtlichen Pflichten für Unternehmen verschärft. Verantwortliche müssen bei der Beantwortung eines Auskunftsersuchens nunmehr jeden einzelnen Empfänger offengelegen. Kommen Unternehmen dieser spezifischen Auskunftspflicht nicht nach, können neben Bußgeldern der Aufsichtsbehörden insbesondere Schadensersatzklagen von Betroffenen drohen."

Mit Blick auf Unternehmern, die Kundendaten verarbeiten, erklärt die Rechtsanwältin:
"Da Auskunftsersuchen binnen vier Wochen beantwortet werden müssen, empfiehlt es sich, die erforderlichen Informationen zu den Empfängern nicht erst anlässlich eines konkreten Auskunftsersuchens zu beschaffen. Verantwortliche sollten sich vielmehr losgelöst davon bewusst machen, an welche Empfänger personenbezogene Daten im Einzelnen fließen. Ein detailliertes Verarbeitungsverzeichnis kann dabei eine große Hilfe sein."

Abschließend rät CMS-Anwältin Dr. Füllsack:
"Die Implikationen des Urteils beschränken sich nicht unbedingt nur auf Art. 15 DSGVO. Insbesondere erscheint es mit Blick auf den identischen Wortlaut in Art. 13 Abs. 1 lit. e und 14 Abs. 1 lit. e DSGVO möglich, dass Aufsichtsbehörden und Gerichte zukünftig auch bei Datenschutzhinweisen spezifische Angaben zu sämtlichen Empfängern verlangen. Bislang geben viele Unternehmen hier lediglich die Kategorien von Empfängern an."
(CMS Hasche Sigle: ra)

eingetragen: 25.01.23
Newsletterlauf: 03.04.23

CMS Hasche Sigle: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Weitere Maßnahmen sollten folgen

    Die Deutsche Kreditwirtschaft (DK) begrüßt die Entscheidung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), den sektoralen Systemrisikopuffer für Wohnimmobilienfinanzierungen von zwei auf ein Prozent zu senken. Damit reagiert die Aufsicht auf die veränderten Marktbedingungen und kommt einer Forderung der Kreditwirtschaft nach. Der Schritt ist ein wichtiges Signal für die differenzierte und verantwortungsvolle Anwendung makroprudenzieller Instrumente.

  • Dringend gesetzliche Klarheit & Bürokratieabbau

    Als am 1. Juli 2024 die Pflegepersonalbemessungsverordnung (PPBV) in Kraft getreten ist, waren sich die meisten Krankenhäuser über die weitreichenden Folgen vermutlich noch gar nicht im Klaren. Denn: Auch wenn der ursprüngliche Gedanke aus dem Gesundheitsministerium durchaus begrüßenswert ist - nämlich Pflege und Versorgung im Gesundheitswesen zu verbessern - ist es wieder einmal das Wie, das eine Besserung der oftmals dramatischen Lage verhindert. In der Praxis erweist sich die Verordnung nämlich nicht als pragmatische Lösung für bessere Arbeitsbedingungen oder einen Abbau von zeitintensiver Bürokratie, sie ist ziemlich genau das Gegenteil: ein bürokratisches Monster, das an inhaltlicher Komplexität seinem eigenen Namen in nichts nachsteht.

  • Stärkung der Demokratie notwendiger denn je

    Transparency Deutschland (TI-D) hat den Koalitionsvertrag der neuen Regierung geprüft - die Bilanz fällt weitgehend ernüchternd aus. Mit Blick auf Lieferkettengesetz, Geldwäschebekämpfung sowie Klima- und Umweltpolitik seien leider erhebliche Rückschritte zu erwarten.

  • Bewertung von PCI DSS 4.0

    Am 31. März 2025 trat die neueste Version des Payment Card Industry Data Security Standard (PCI DSS) in Kraft - Version 4.0*. PCI DSS 4.0 verlangt nicht nur, dass digitale Identitäten eindeutig Personen zugeordnet werden, sondern legt zudem den Fokus auf die Aufrechterhaltung robuster Sicherheitsmaßnahmen angesichts sich ständig weiterentwickelnder Cyberbedrohungen. Organisationen, die mit Zahlungskartendaten arbeiten, müssen verbesserte Sicherheitsanforderungen umsetzen - darunter auch starke Multi-Faktor-Authentifizierung (MFA).

  • EU-Richtlinie gegen Diskriminierung muss kommen

    Auf EU-Ebene fanden weitere Verhandlungen zur "5. Antidiskriminierungsrichtlinie zur Anwendung des Grundsatzes der Gleichbehandlung ungeachtet der Religion oder der Weltanschauung, einer Behinderung, des Alters oder der sexuellen Ausrichtung" statt. Der Sozialverband VdK fordert die Bundesregierung auf, sich endlich dafür einzusetzen, dass diese verabschiedet wird.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen