Das Auskunftsrecht nach Art. 15 DSGVO ist eines der wichtigsten Betroffenenrechte in der Datenschutz-Grundverordnung. Es gewährt den Betroffenen einen Anspruch auf Auskunft hinsichtlich Art und Umfang der Verarbeitung ihrer personenbezogenen Daten. Der Verantwortliche muss mitteilen, ob Daten des Betroffenen verarbeitet werden und wenn ja, in welchem Umfang. Art. 15 Abs. 1 lit. a) – h) DSGVO konkretisieren den Umfang der Auskunft. So müssen u.a. die Zwecke der Verarbeitung und Aufbewahrungsfristen ebenso wie eventuelle „Empfänger oder Kategorien von Empfängern“ mitgeteilt werden. In der Praxis wird der Umfang eines Auskunftsanspruch von den Beteiligten häufig unterschiedlich interpretiert, weswegen es mittlerweile eine Vielzahl an gerichtlichen Entscheidungen zu Art. 15 DSGVO gibt. Der Europäische Gerichtshof hat nun in seinem Urteil vom 12. Januar 2023 ( C-154/21) hinsichtlich des Umfangs der Auskunftserteilung klargestellt, dass es nicht ausreicht, Kategorien von Empfängern zu nennen. Es müssen die konkreten Empfänger der Daten genannt werden. Lediglich dann, wenn die konkreten Empfänger der personenbezogenen Daten (noch) nicht bekannt seien, dürfe sich der Verantwortliche darauf beschränken, Kategorien von Empfängern zu nennen.
Zum Hintergrund
Der Kläger des Verfahrens ist Kunde der beklagten Österreichischen Post. Er hat in seinen Antrag auf Auskunft gem. Art. 15 DSGVO auch Informationen darüber verlangt, gegenüber welchen Empfängern seine personenbezogene Daten offengelegt wurden. Im Laufe des Verfahrens teilte die Österreichische Post mit, sie habe die Daten des Antragstellers an Kunden weitergegeben, zu denen werbetreibende Unternehmen im Versandhandel und stationärem Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen oder politische Parteien gehört hätten. Konkrete Empfänger wurden hingegen nicht genannt. Die Post bezog sich bei der Auskunftserteilung auf den Wortlaut des Art. 15 Abs.1 lit. c) DSGVO, wonach „Empfänger oder Kategorien von Empfängern“ genannt werden müssen. Hiergegen wandte sich der Kläger und zog vor den Österreichischen Obersten Gerichtshof (OGH). Dieser hatte Zweifel daran, inwiefern es ausreicht, sich auf die Nennung von Kategorien von Empfängern zu beschränken oder ob der Verantwortliche die konkrete Identität der Empfänger mitteilen muss, sodass nun der OGH die Frage dem Europäischen Gerichtshof vorgelegt hat.
Die Entscheidung
Der EuGH hat klargestellt, dass die Varianten „Empfänger“ und „Kategorien von Empfängern“ gleichrangig zu lesen seien. Allerdings müsse man den Auskunftsanspruch auch im Lichte der weiteren Betroffenenrechte wie z.B. dem Recht auf Löschung gem. Art. 17 DSGVO auslegen. Das führe dazu, dass eine Nennung der konkreten Empfänger notwendig sei. Denn ansonsten könne die betroffene Person ihre Rechte nicht effektiv ausüben. Nur wenn die betroffene Person vollständige Informationen erhält, welche Daten das verantwortliche Unternehmen zu welchen Zwecken verarbeitet, kann auch geprüft werden, ob die Daten auch korrekt verarbeitet werden. Auch die Ausführungen in Erwägungsgrund 63 stützen diese Auslegung, wonach jede betroffene Person „ein Anrecht darauf haben [sollte] zu wissen und zu erfahren (…) wer die Empfänger der personenbezogenen Daten sind, (…)“. Ausnahmsweise gelte es dann nicht, wenn der Verantwortliche keinen konkreten Empfänger identifizieren könne.
Und die Praxis?
Die Entscheidung des EuGH ist nicht überraschend und sorgt für Klarheit. Der Schutz der Betroffenen wird gestärkt, führt für die verantwortlichen Unternehmen hingegen zu mehr Aufwand bei der Beantwortung von Auskunftsbegehren. Ein sauber geführtes Verarbeitungsverzeichnis kann hier von großem Vorteil sein.
Es wird auch diskutiert, ob die Entscheidung des EuGH Einfluss auf den Umfang der Pflichtinformationen nach Art. 13 und 14 DSGVO hat. Denn Art. 13 Abs. 1 lit. e) und Art. 14 Abs.1 lit. e) DSGVO verpflichten zur Nennung von „Empfängern oder Kategorien von Empfängern“ der personenbezogenen Daten. Allerdings findet die Informationspflicht gem. Art. 13/14 DSGVO zu einem anderen Zeitpunkt statt als das Auskunftsrecht. Sie soll den Betroffenen zu Beginn der Verarbeitung über die Verarbeitung selbst informieren, auch wenn die konkreten Empfänger im Zweifel noch nicht feststehen. Findet eine Weitergabe von personenbezogenen Daten im weiteren Verlauf dann tatsächlich statt, steht es dem Betroffenen frei, Auskunft über die konkreten Empfänger seiner Daten zu verlangen. Die Geltendmachung der Betroffenenrechte werden dadurch nicht beeinträchtigt.
Den verantwortlichen Unternehmen steht es frei, die betroffenen Personen bereits bei Beginn der Datenverarbeitung über die konkreten Empfänger der Daten zu informieren, soweit sie bekannt sind. Eine Pflicht besteht derzeit aber (noch) nicht. Macht eine betroffene Person hingegen ihr Recht auf Auskunft gem. Art. 15 DSGVO geltend, muss der/die Verantwortliche die konkreten Empfänger der personenbezogenen Daten nennen und kann sich nicht darauf beschränken, Kategorien von Empfängern zu nennen.
Teil II folgt in Kürze.