01. September 2025

DSB: noyb gegen Google … Auskunft ist vollständig und verständlich zu erteilen


DSB: YouTube/Google muss verständliche und vollständige Art-15-Auskunft liefern



Behörde: Datenschutzbehörde (DSB)

Datum der Entscheidung: 7. August 2025

Geschäftszahl: D130.200/2025-0.626.844 

(nicht rechtskräftig)


Rechtssatz (kurz): 

Eine Auskunft nach Art. 15 DSGVO muss vollständig und in einem leicht verständlichen, lesbaren Format erteilt werden (Art. 12 DSGVO); bloße Verweise auf Portale/Tools oder eine Datenschutzerklärung reichen nicht.


Sachverhalt

Ein von NOYB vertretener Nutzer verlangte eine Auskunft zu seinen bei YouTube/Google verarbeiteten personenbezogenen Daten. Google stellte Teile der Daten nur über Download-Portale in JSON/OPML bereit und verwies im Übrigen auf diverse Online-Tools sowie die allgemeine Datenschutzerklärung. Konkrete Angaben etwa zu Zwecken, Empfängern, Speicherdauern, Datenquellen, Cookies/Tracking sowie eine lesbare Kopie der Daten fehlten. Das Verfahren war zunächst über den One-Stop-Shop an die DPC (Irland) ausgelagert, wurde aber 2022 an die DSB zurückverwiesen. Die DSB bejahte ihre Zuständigkeit nach dem Marktortprinzip (Art. 3 Abs. 2 DSGVO). 


Rechtliche Begründung

1) Zuständigkeit & Verantwortlichkeit

Die DSB hält fest: Google LLC war zum Zeitpunkt des Antrags und der Beschwerde Verantwortliche für den Dienst „YouTube“; ein späterer Wechsel zu Google Ireland sei für dieses Verfahren unerheblich. Damit ist die DSB zuständig (Marktortprinzip nach Art. 3 Abs. 2 DSGVO). Ein etwaiger Benennungsfehler der Parteien wäre im Sinne von § 24 Abs. 2 Z 2 DSG ohnehin unschädlich. 


2) Form der Auskunft (Art. 12 DSGVO)

Auskunft muss präzise, verständlich und leicht zugänglich sein. 

JSON/OPML sind primär maschinenlesbare Formate und für durchschnittliche Betroffene schwer verständlich; damit wird das Transparenz- und Erleichterungsgebot des Art. 12 DSGVO verfehlt. 

Auch ein fragmentiertes „Portal“, in dem Betroffene ihre Informationen über mehrere Tools selbst zusammenstellen müssen (ggf. mit Support-Kontakt), genügt Art. 12 Abs. 2 DSGVO nicht. 


3) Inhalt der Auskunft (Art. 15 DSGVO)


  • Zwecke & Speicherdauern: Allgemeine Listen in der Datenschutzerklärung ersetzen keine personalisierte Information, welche konkreten Daten des Betroffenen zu welchen Zwecken und wie lange verarbeitet werden (Art. 15 Abs. 1 lit. a, d DSGVO).  
  • Empfänger: Wenn bekannt, sind konkrete Empfänger zu nennen; bloße Empfängerkategorien genügen nicht (unter Hinweis auf EuGH C-154/21).  
  • Datenquellen & Drittlandtransfers: Pauschale Hinweise („bestimmte Quellen“, „rechtliche Rahmenbedingungen“) reichen nicht; erforderlich sind fallbezogene Angaben, inkl. geeigneter Garantien für Drittlandsübermittlungen (Art. 15 Abs. 1 lit. g, h und Abs. 2 DSGVO).  



Ergebnis / Spruch:

Die DSB gab der Beschwerde statt: 

Google verletzte Rechte des Betroffenen nach Art. 15 iVm Art. 12 DSGVO. Google wird verpflichtet, binnen 4 Wochen eine vollständige Auskunft (inkl. Kopie in leicht verständlichem, lesbarem Format) zu erteilen (Art. 58 Abs. 2 lit. c DSGVO; §§ 18, 24 DSG). 

Fazit

Die Entscheidung bestätigt: Technisch verfügbare Daten ≠ rechtmäßige Auskunft. 

Wer Betroffenenrechte ernst nimmt, muss inhaltlich vollständig informieren und die Daten benutzerfreundlich aufbereiten. 

Reine Portallogik, in der Betroffene „suchen und sammeln“ müssen, verstößt gegen das Erleichterungsgebot. 



Schlussfolgerungen für Verantwortliche

  1. Ein-Klick-Paket statt Tool-Parcours: Stellen Sie alle Daten und Pflichtinformationen gesammelt bereit – zentrale Stelle, keine verstreuten Tools. (Art. 12)
  2. Lesbares Format & Kopie: Neben ggf. JSON/CSV eine menschenlesbare Darstellung (z. B. HTML/PDF) anbieten; Kopie iSd Art. 15 Abs. 3.
  3. Personalisierung: Geben Sie konkret pro Betroffenem an: Zwecke, Datenkategorien→Zweck-Mapping, Speicherdauern, Datenquellen, konkrete Empfänger, Drittland-Garantien. (Art. 15)
  4. Empfängerbenennung: Wenn bekannt, Empfänger namentlich nennen (EuGH C-154/21).
  5. UX & Verständlichkeit testen: Rechtstexte in klarer Sprache; Glossar/Erklärungen für technisch geprägte Datenpunkte.
  6. SLA & Fristen: Prozesse so bauen, dass innerhalb 1 Monats (verlängerbar um 2 Monate bei Komplexität) geliefert werden kann (Art. 12 Abs. 3).
  7. Nachweisbarkeit: Logging & Checklisten, um Vollständigkeit und Rechenschaftspflicht zu belegen (Art. 5 Abs. 2).


Erstellt mit ChatGPT
Erstellt mit ChatGPT
Tags: Auskunftsrecht, Empfänger, Transparenz, Drittlandtransfer, Lesbares, Format, Portal-Lösung, Konkrete, CookiesTracking, Marktortprinzip, One-Stop-Shop, (Zuständigkeit)