EuGH bejaht DSGVO-Auskunftsanspruch: Unter­nehmen müssen kon­k­rete Iden­tität von Daten­emp­fän­gern offen­legen

12.01.2023

Werden personenbezogene Daten offengelegt, dann muss der Verantwortliche über die konkrete Identität des Empfängers Auskunft erteilen, so der EuGH.  Die Entscheidung stärkt Betroffenenrechte, für Unternehmen bedeutet sie Mehraufwand.

Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben werden. Grundsätzlich hat der für die Datenverarbeitung Verantwortliche dabei auf Anfrage des Betroffenen die konkrete Identität des Empfängers der offengelegten Daten mitzuteilen. Lediglich dann, wenn der Empfänger (noch) nicht identifiziert werden kann oder der Antrag offenkundig unbegründet oder exzessiv ist, kann sich die Mitteilung auf die Kategorien der Empfänger beschränken. Das hat der Europäische Gerichtshof (EuGH) nun entschieden (Urt. v. 12.01.2023 - Rs. C-154/21) und damit eine Vorlagefrage des österreichischen Obersten Gerichtshofs (OGH) zu Art. 15 Abs. 1 lit. c der Verordnung (EU) 2016/679 (kurz: Datenschutz-Grundverordnung (DSGVO)) beantwortet.

Ein Bürger beantragte bei der Österreichischen Post ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe. Die Österreichische Post beschränkte sich zunächst auf die Mitteilung, sie verwende personenbezogene Daten soweit das rechtlich zulässig sei im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Daraufhin klagte der Bürger und stützte sich auf Art. 15 Abs. 1 lit. c DSGVO, der einen Anspruch auf Auskunft der Empfänger oder der Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder werden, gewährt.

Im Laufe des Verfahrens ergänzte die Österreichische Post, die Daten des Bürgers seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.

Der österreichische OGH hatte Zweifel über die Auslegung von Art. 15 Abs. 1 lit. c DSGVO und legte dem EuGH die Frage vor, inwieweit es dem für die Datenverarbeitung Verantwortlichen freistehe, die konkrete Identität oder nur die Kategorie von Empfängern mitzuteilen. Diese Frage hat der EuGH nun beantwortet.

Für Wahrnehmung vieler Rechte erforderlich

Der EuGH legt Art. 15 Abs. 1 lit. c DSGVO so aus, dass grundsätzlich dem Betroffenen die konkrete Identität der Empfänger mitzuteilen sei. Dabei stellt das Gericht fest, dass der Wortlaut zunächst keinen Vorrang der Mitteilung der konkreten Identität des Empfängers erkennen lasse. Allerdings sei es für die praktische Wirksamkeit vieler DSGVO-Rechte erforderlich, dem Betroffenen einen vorrangigen Anspruch auf Mitteilung der konkreten Identität zu gewähren.

Die Erste Kammer verwies dabei unter anderem auf das Recht auf Berichtigung, das Recht auf Löschung ("Recht auf Vergessenwerden"), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung und das Recht auf einen Rechtsbehelf im Schadensfall. Diese für den Betroffenen günstige Auslegung stehe außerdem im Einklang mit dem Ziel, ein möglichst hohes Datenschutzniveau für natürliche Personen zu gewährleisten und trage dem Grundsatz der Transparenz Rechnung.

Verschärfung datenschutzrechtlicher Pflichten für Unternehmen

Dass der EuGH nun im Grundsatz davon ausgeht, auch die konkrete Identität sei mitzuteilen und eine Beschränkung auf Empfängerkategorien komme nur ausnahmsweise in Betracht, stellt eine Verschärfung der datenschutzrechtlichen Anforderungen an Unternehmen dar.

Rechtsanwältin Dr. Anna Lena Füllsack (CMS) rät angesichts der Entscheidung den Unternehmen zu Achtsamkeit, die Kundendaten verarbeiten: "Da Auskunftsersuchen binnen vier Wochen beantwortet werden müssen, empfiehlt es sich, die erforderlichen Informationen zu den Empfängern nicht erst anlässlich eines konkreten Auskunftsersuchens zu beschaffen. Verantwortliche sollten sich vielmehr losgelöst davon bewusst machen, an welche Empfänger personenbezogene Daten im Einzelnen fließen. Ein detailliertes Verarbeitungsverzeichnis kann dabei eine große Hilfe sein."

Das Urteil des EuGH habe dabei über den Auskunftsanspruch aus Art. 15 DSGVO hinaus Bedeutung, so Füllsack weiter. "Die Implikationen des heutigen Urteils beschränken sich nicht unbedingt nur auf Art. 15 DSGVO. Insbesondere erscheint es mit Blick auf den identischen Wortlaut in Art. 13 Abs. 1 lit. e und 14 Abs. 1 lit. e DSGVO möglich, dass Aufsichtsbehörden und Gerichte zukünftig auch bei Datenschutzhinweisen spezifische Angaben zu sämtlichen Empfängern verlangen. Bislang geben viele Unternehmen hier lediglich die Kategorien von Empfängern an."

lm/LTO-Redaktion

Zitiervorschlag

EuGH bejaht DSGVO-Auskunftsanspruch: Unternehmen müssen konkrete Identität von Datenempfängern offenlegen . In: Legal Tribune Online, 12.01.2023 , https://www.lto.de/persistent/a_id/50737/ (abgerufen am: 18.03.2024 )

Infos zum Zitiervorschlag
Jetzt Pushnachrichten aktivieren

Pushverwaltung

Sie haben die Pushnachrichten abonniert.
Durch zusätzliche Filter können Sie Ihr Pushabo einschränken.

Filter öffnen
Rubriken
oder
Rechtsgebiete
Abbestellen