Envelope

Mail senden

Phone

Jetzt anrufen!

Datenauskunft nach Art 15 DSGVO: OGH verlangt Klartext

Datenauskunft nach Art 15 DSGVO

OGH zur Datenauskunft nach Art 15 DSGVO: Keine Code-Dumps – konkrete Empfänger und Drittlandtransfers offenlegen

Reicht ein Link zum Datenschutzportal als Antwort auf ein Auskunftsbegehren im Rahmen der Datenauskunft nach Art 15 DSGVO? Der Oberste Gerichtshof hat unmissverständlich klargestellt: nein. Wer nach Art 15 DSGVO Auskunft verlangt, hat Anspruch auf klare Antworten – nicht auf eine Schnitzeljagd durch technische Dateien und verstreute Portalseiten.

Worum ging es konkret – und warum betrifft das viele?

Ein Nutzer stellte 2021 einem großen, in Irland ansässigen Anbieter eine Auskunftsanfrage nach Art 15 DSGVO. Er wollte wissen: Welche Daten werden zu ihm verarbeitet? Wer hat sie erhalten? In welche Länder fließen sie? Wie lange werden sie gespeichert? Außerdem verlangte er eine Datenkopie. Trotz Ausweiskopie ließ der Anbieter die Frist verstreichen und verwies pauschal auf sein Online-Portal. Was er lieferte, bestand teilweise aus verschachteltem Computer-Code; Empfänger waren nicht klar benannt (teils nur App- oder Seller-Namen). Zu Übermittlungen ins Ausland hieß es lediglich, das geschehe „auf Basis von Standardvertragsklauseln“. Bei der Speicherdauer gab es bloß allgemeine Kriterien.

Erst- und Berufungsgericht gaben dem Betroffenen Recht. Der Anbieter legte Revision ein – ohne Erfolg. Der OGH wies sie zurück.

Was hat der OGH klargestellt?

Der OGH bestätigte die Entscheidungen der Vorinstanzen und hielt fest:

  • Verständlichkeit statt Code-Dump: Datenauskünfte müssen vollständig, klar und für Laien nachvollziehbar sein. Technische Rohdaten, kryptische JSON-/CSV-Strukturen oder verstreute Hinweise im Portal reichen nicht.
  • Empfänger benennen, nicht verstecken: Grundsätzlich sind konkrete Empfänger namentlich zu nennen. Kategorien oder bloße App-/Seller-Bezeichnungen genügen nicht, wenn die Empfänger identifizierbar sind. So können Betroffene ihre Rechte auch direkt gegenüber diesen Empfängern ausüben.
  • Was wurde offengelegt? Zum Inhalt offengelegter oder übermittelter Daten ist Auskunft zu erteilen. Ein bloßes „Dazu haben wir nichts“ reicht nicht. Allfällige vorhandene Aufzeichnungen – auch wenn sie nicht perfekt sind – sind herauszugeben.
  • Drittlandübermittlungen transparent machen: Es ist offenzulegen, in welche Länder Daten übermittelt werden, auf welcher Rechtsgrundlage (etwa welche Standardvertragsklauseln) und mit welchen zusätzlichen Schutzmaßnahmen. Ein pauschaler Verweis auf „Standardvertragsklauseln“ genügt nicht.
  • Speicherdauer konkretisieren: Soweit möglich ist die konkrete geplante Speicherdauer zu nennen. Nur wenn das nicht möglich ist, dürfen ersatzweise die Kriterien angegeben werden.

Der Anbieter musste die Kosten des Revisionsverfahrens tragen. Zur Entscheidung.

Recht auf Auskunft nach Art 15 DSGVO – was bedeutet „gut“ in der Praxis?

Das Auskunftsrecht soll Ihnen ermöglichen zu verstehen, welche Daten vorliegen, wofür sie genutzt werden und ob das rechtmäßig ist. Erst dadurch können Sie weitere Rechte sinnvoll ausüben – etwa Berichtigung, Löschung, Einschränkung, Widerspruch oder auch Schadenersatz prüfen.

Eine ordnungsgemäße Auskunft umfasst daher typischerweise:

  • Alle personenbezogenen Daten, die Sie betreffen, in einem lesbaren und verständlich aufbereiteten Format.
  • Konkrete Empfänger (Namen/Firmenbezeichnungen) und – soweit möglich – welche Daten an wen geflossen sind.
  • Drittlandtransfers: konkrete Länder, verwendete Rechtsgrundlage (z. B. welche Standardvertragsklauseln) und zusätzliche Schutzmaßnahmen.
  • Speicherdauern: konkrete Fristen, sofern bestimmbar; andernfalls klare Kriterien.

Ein bloßer Verweis auf ein Self-Service-Portal oder technische Rohdateien wird dem nicht gerecht, wenn Informationen dort unvollständig, verstreut oder für Laien unverständlich sind. Gerade bei der Datenauskunft nach Art 15 DSGVO kommt es auf eine klare, zusammenhängende Darstellung an.

Konkrete Auswirkungen: Wo die Entscheidung den Unterschied macht

  • App-Ökosysteme: Verwenden Sie eine Plattform mit vielen Apps oder „Sellern“, muss die Auskunft klar sagen, welche konkreten Unternehmen Ihre Daten erhalten haben. „Kategorie: Zahlungsdienstleister“ oder nur der App-Name reicht in der Regel nicht.
  • Cloud- und Support-Dienstleister: Setzt ein Anbieter externe IT-Dienstleister ein, sind deren Namen und – falls außerhalb der EU/EWR – die Zielländer samt Rechtsgrundlage und Schutzmaßnahmen offenzulegen.
  • Internationale Datenflüsse: Nutzen Unternehmen globale Infrastrukturen, muss die Auskunft z. B. „USA“ oder „Indien“ samt Standardvertragsklauseln und etwaigen Zusatzmaßnahmen nennen – nicht bloß „Drittlandtransfer nach Standardvertragsklauseln“.
  • Aufbewahrung: Statt „Wir speichern so lange wie nötig“ sind, wo möglich, konkrete Fristen zu nennen (etwa: „Rechnungsdaten 7 Jahre“). Nur wenn das nicht festgelegt ist, dürfen Kriterien erklärt werden.

So setzen Sie Ihr Auskunftsrecht effektiv durch – Schritt für Schritt

  • Schriftlich anfragen: Stellen Sie Ihr Begehren ausdrücklich auf Art 15 DSGVO gestützt. Kurz und klar formulieren.
  • Identität nachweisen: Fügen Sie einen geeigneten Nachweis bei (z. B. Ausweiskopie, geschwärzt auf das Nötige).
  • Präzise verlangen:
    • alle Sie betreffenden personenbezogenen Daten in laienlesbarem Format,
    • eine Liste konkreter Empfänger samt Angabe, welche Daten übermittelt wurden,
    • Informationen zu Drittlandübermittlungen: Länder, Rechtsgrundlage (welche Standardvertragsklauseln) und zusätzliche Maßnahmen,
    • geplante Speicherdauern (nicht nur Kriterien).
  • Frist notieren: Der Verantwortliche muss grundsätzlich binnen 1 Monat antworten. Eine Verlängerung um bis zu 2 weitere Monate ist nur mit Begründung zulässig.
  • Nachfassen bei Mängeln: Fehlt die Antwort, ist sie unverständlich oder unvollständig? Mahnen Sie schriftlich nach und setzen Sie eine kurze Nachfrist.
  • Rechtsmittel nutzen: Bleibt die Sache offen, können Sie Beschwerde bei der Datenschutzbehörde einreichen oder den Rechtsweg beschreiten. In vielen Fällen lassen sich Ansprüche auch vor österreichischen Gerichten durchsetzen.

Kostenhinweis: Das Auskunftsbegehren selbst ist kostenlos. Im Streitfall kann der Verantwortliche bei Unterliegen Ihre Kosten ersetzen – so auch in der vom OGH bestätigten Konstellation.

Typische Abwehrargumente der Unternehmen – und was rechtlich zählt

  • „Schauen Sie ins Portal.“ Das reicht nicht, wenn Informationen dort verteilt, unvollständig oder technisch schwer verständlich sind.
  • „Wir nennen nur Kategorien.“ Verlangen Sie konkrete Namen, wenn die Empfänger identifizierbar sind. Nur wo die Identität wirklich nicht feststellbar ist oder das Begehren offenkundig missbräuchlich wäre, kommt etwas anderes in Betracht.
  • „Standardvertragsklauseln, fertig.“ Bestehen Sie auf Angabe der Zielländer und der konkret genutzten Garantien sowie zusätzlicher Schutzmaßnahmen.
  • „Zum Inhalt von Offenlegungen haben wir nichts.“ Verlangen Sie eine klare schriftliche Bestätigung und die Herausgabe vorhandener Aufzeichnungen.
  • „Speichern nach Kriterien.“ Fordern Sie – soweit möglich – konkrete Fristen. Erst wenn das nicht geht, sind Kriterien ausreichend.

FAQ: Häufige Fragen zur Datenauskunft nach Art 15 DSGVO

Muss ich immer eine Ausweiskopie mitschicken?

Ein Identitätsnachweis ist zulässig, wenn berechtigte Zweifel an der Identität bestehen oder zu erwarten sind. In der Praxis beschleunigt eine reduzierte, teilweise geschwärzte Ausweiskopie häufig die Bearbeitung – geben Sie nur unbedingt nötige Daten preis.

Wie lange darf sich das Unternehmen Zeit lassen?

Grundsätzlich 1 Monat ab Eingang Ihres Begehrens. Bei komplexen oder zahlreichen Anfragen darf um bis zu 2 Monate verlängert werden – aber nur mit nachvollziehbarer Begründung und Mitteilung innerhalb der ersten Monatsfrist.

Dürfen Unternehmen statt Empfängern nur Kategorien nennen?

Nach der OGH-Linie grundsätzlich nein, wenn die konkreten Empfänger identifizierbar sind. Kategorien genügen nur ausnahmsweise. Der Zweck der Auskunft ist, dass Sie Ihre Rechte effektiv gegenüber den Empfängern ausüben können.

Ich bekam nur JSON-/CSV-Dateien und Links. Reicht das?

Nein, wenn das Ergebnis für Laien unverständlich bleibt oder Informationen unvollständig/verstreut sind. Die Auskunft muss klar, kohärent und verständlich sein – notfalls muss der Verantwortliche die Daten in ein lesbares Format bringen und erläutern. Auch hier gilt: Eine ordnungsgemäße Datenauskunft nach Art 15 DSGVO darf keine reine technische Datenablage sein.

Was kann ich tun, wenn die Antwort unvollständig ist?

Schreiben Sie eine strukturierte Erinnerung mit konkreten Punkten (Empfänger, Drittland, Speicherdauer, Datenkopie). Bleibt das erfolglos, können Sie sich an die Datenschutzbehörde wenden oder den Rechtsweg beschreiten.

Rechtsanwalt Wien: Unterstützung bei Datenauskunft nach Art 15 DSGVO

Durch jahrelange anwaltliche Praxis kennen wir die typischen Hürden bei Datenauskünften – vom „Portal-Verweis“ bis zur verklausulierten Antwort zu Drittlandtransfers. Als erfahrener Rechtsanwalt berät die Kanzlei Pichler Sie zu den richtigen Schritten, formuliert Ihr Begehren rechtssicher und setzt Ihre Ansprüche außergerichtlich und gerichtlich durch. Sind Sie betroffen? Rufen Sie uns an unter 01/5130700 oder schreiben Sie an office@anwaltskanzlei-pichler.at.

Hinweis: Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Wenn Sie Probleme mit einer Datenauskunft haben oder unsicher sind, was genau zu verlangen ist, kontaktieren Sie uns – wir prüfen kostenlos die ersten Schritte.

Rechtliche Hilfe bei Datenauskunft nach Art 15 DSGVO?

Kontaktieren Sie unsere Rechtsanwaltskanzlei in 1010 Wien: Beratungstermin vereinbaren.