Mit dem Urteil vom 04.05.2023 (Rs. C‑487/21) beschäftigte sich der Europäische Gerichtshof (EuGH) mit der Frage nach den genauen Anforderungen an eine Kopie im Rahmen des Auskunftsanspruchs gemäß Art. 15 Abs. 3 DS-GVO. Lange Zeit haben Datenschützende darüber diskutiert, was genau unter dem Begriff „Kopie“ gemeint ist und was die genauen Anforderungen an eine Kopie der personenbezogenen Daten sind. Es bestanden rechtliche Unsicherheiten, ob Betroffenen eine exakte Kopie der verarbeiteten personenbezogenen Daten bereitzustellen ist – was häufig mit enormem Aufwand einhergeht – oder ob es ausreicht, Betroffenen die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in einer aggregierten Form darzulegen.
Das Verfahren
Zunächst befasste sich das österreichische Bundesverwaltungsgericht mit dieser Frage und legte sie dem EuGH zur Prüfung vor. Im Detail ging es um die umstrittene Frage, ob der Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO streng nach dem Wortlaut des Art. 15 Abs. 3 DS-GVO, eine Kopie der personenbezogenen Daten die, Gegenstand der Verarbeitung sind, dem Betroffenen zur Verfügung stellen muss.
Der EuGH wies zunächst darauf hin, dass Bestimmungen des Unionsrechts nicht nur anhand ihres Wortlauts entsprechend ihres Sinns nach dem gewöhnlichen Sprachgebrauch ausgelegt werden, sondern auch nach ihrem Kontext und den Zielen, die die jeweilige Regelung verfolgt. Der EuGH stellt in diesem Kontext klar, dass auch wenn die DS-GVO keine Definition des Wortes „Kopie“ vorgibt, der gewöhnliche Sinn des Begriffs zu berücksichtigen ist, welcher eine originalgetreue Reproduktion meint. Aus diesem Grund entspräche eine rein allgemeine Beschreibung der Daten, oder ein Verweis auf Kategorien personenbezogener Daten nicht dieser Definition.
Gleichzeitig entschied der EuGH, dass der Begriff der Kopie weit auszulegen ist und folgerte aus der wörtlichen Auslegung, „[…] dass diese Bestimmung der betroffenen Person das Recht verleiht, eine originalgetreue Reproduktion ihrer personenbezogenen Daten im Sinne einer weiten Bedeutung zu erhalten, die Gegenstand von Vorgängen sind, die als Verarbeitung durch den für diese Verarbeitung Verantwortlichen eingestuft werden müssen.“ Die Kopie müsste weiterhin sämtliche personenbezogene Daten enthalten, die Verarbeitungsgegenstand sind. Demnach müssen sämtliche personenbezogene Daten angegeben werden, auch die, die sich nicht explizit auf ein Dokument beziehen.
Ergebnis des Urteils
Art. 15 Abs. 3 Satz 1 DS-GVO ist laut Urteil des EuGH dahin auszulegen, dass Betroffene eine Kopie der personenbezogenen Daten erhalten, die Gegenstand der Verarbeitung sind und somit nicht nur auf ein Dokument verweist. Das bedeutet, dass betroffene Personen das Recht haben, eine originalgetreue und verständliche Reproduktion aller ihrer Daten zu erhalten. In manchen Fällen muss der Verantwortliche sogar den Kontext der Datenverarbeitung erklären, wenn beispielsweise personenbezogene Daten aus anderen Daten generiert werden, oder wenn sie auf freien Feldern beruhen, also einer fehlenden Angabe aus der Informationen über Betroffene hergenommen werden können, „[…] damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann.“
Leider kann hier der einfachere Weg, betroffenen Personen lediglich aggregierte Informationen bereitzustellen, nicht gegangen werden. Das Urteil hat nun klargestellt, dass die Geltendmachung eines Auskunftsanspruchs, bzw. dessen Umsetzung auch in Zukunft einen großen Aufwand bedeuten wird. Aus diesem Grund empfehlen wir, Datenbanken und andere Sammlungen von personenbezogenen Daten auf einer Weise zu organisieren, dass sämtliche Informationen schnell entsprechend in einem gängigen Format zusammengeführt werden können. Die ist durch den Einsatz entsprechender technische rund organisatorischer Maßnahmen, wie etwa durch den Einsatz spezieller Datenbanksysteme und dem Verzicht auf jegliche Parallelakten auch grundsätzlich möglich.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.