Der Auskunftsanspruch nach Art. 15 DSGVO umfasst auch die Verpflichtung mitzuteilen, ob die personenbezogenen Daten im Rahmen einer Datenpanne offengelegt wurden (OGH, Urt. v. 24.03.2023 - Az.: 6Ob242/22i).
Die Klägerin Kläger begehrte u.a. die Auskunft, ob ihre personenbezogenen Daten auch Teil einer Excel-Liste waren, die im Rahmen einer Datenpanne unerlaubt versendet worden waren.
Der Beklagte erklärte in seiner Auskunft dazu wörtlich:
"Für das Hosting der personenbezogenen Daten von [Klägerin] wird ein IT-Dienstleister herangezogen."
Das österreichische Gericht bejahte, dass die Auskunft unvollständig sei:
"Um die praktische Wirksamkeit sämtlicher (...) Rechte zu gewährleisten, muss die Klägerin nicht nur über das Recht verfügen, dass ihr die Identität der konkreten Empfänger mitgeteilt wird, wenn ihre personenbezogenen Daten bereits offengelegt wurden (...).
Die effiziente Rechtsverfolgung, etwa – wie hier – auf einer unbefugten Offenlegung basierender Schadenersatzansprüche nach Art 82 DSGVO, setzt auch voraus, Kenntnis über eine tatsächliche Betroffenheit von einer Datenübermittlung erlangen zu können. Die Klägerin hat daher gemäß Art 15 Abs 1 lit c DSGVO auch das Recht, dass ihr mitgeteilt wird, ob durch eine konkret genannte Datenübermittlung an einen Empfänger (Art 4 Z 9 DSGVO), selbst wenn dieser nicht bekannt sein sollte, ihre personenbezogenen Daten offengelegt wurden. Dadurch wird ihr ermöglicht, in der Folge ihre (...) Rechte (...) auszuüben.
Ob eine von der Beklagten zu vertretende „Datenpanne“ im Sinne einer Verletzung des Schutzes personenbezogener Daten (Art 4 Z 12 DSGVO) vorlag, ist für die Ausübung dieses Auskunftsrechts nicht entscheidend. Nach den Feststellungen ist der Auskunftsantrag der Klägerin auch weder offenkundig unbegründet oder exzessiv im Sinne des Art 12 Abs 5 DSGVO noch ist dessen Beantwortung der Beklagten unmöglich."