Erste Rechtsprechung des OGH zur Frage, ob Art 15 DSGVO ein Auskunftsrecht darüber einräume, ob personenbezogene Daten zu einem bestimmten Zeitpunkt an einen – dem Begehren nach nicht konkret zu identifizierenden – unternehmensfremden Empfänger versendet worden seien: Der Betroffene hat gemäß Art 15 Abs 1 lit c DSGVO auch das Recht, dass ihm mitgeteilt wird, ob durch eine konkret genannte Datenübermittlung an einen Empfänger (Art 4 Z 9 DSGVO), selbst wenn dieser nicht bekannt sein sollte, seine personenbezogenen Daten offengelegt wurden. (RIS RS0134311)
Spruch:
„Die beklagte Partei ist schuldig, der klagenden Partei binnen 14 Tagen mitzuteilen, ob in der von der beklagten Partei am 10. 8. 2021 mit E-Mail versendeten excel-Datei, die mehr als 24.000 Corona-Virus-Testergebnisse aus Tirol samt personenbezogenen Daten wie Namen, Wohnort, Geburtsdaten und Testdatum enthielt und welche in weiterer Folge dem ‚Standard‘ und dem ‚ORF Tirol‘ übermittelt wurde, personenbezogene Daten (auch) der Klägerin wie Name, Adresse, Geburtsdatum und/oder Corona-Virus-Testergebnis enthalten waren.“
Im August 2021 versandte der frühere Geschäftsführer der Beklagten, der auch im Zeitpunkt der Versendung für diese tätig war, per E-Mail eine Excel-Datei, in der mehr als 24.000 Corona-Virus-Testergebnisse aus Tirol samt den dazugehörigen personenbezogenen Daten der getesteten Personen gespeichert waren, an zumindest eine Person, die nicht bei der Beklagten tätig war. Diese Datei wurde in weiterer Folge dem „Standard“ und dem „ORF-Tirol“ zugespielt, die im September 2021 unter den Überschriften „Tausende Tiroler PCR-Test-Ergebnisse mit Namen und Daten geleakt“ und „Massives Datenleck bei positiven CoV-Tests“ Berichte veröffentlichten.
Entscheidungstext OGH Ordentliche Erledigung (Sachentscheidung) vom 24.03.2023, 6 Ob 227/22h