Datenschutz

EuGH zum datenschutzrechtlichen Auskunftsanspruch: Unternehmen müssen die Namen von Datenempfängern offenlegen

In seiner Entscheidung vom 12. Januar 2023 (C‑154/21) hat sich der Europäische Gerichtshof dazu geäußert, inwieweit Unternehmen im Rahmen der Beantwortung eines Auskunftsanspruches gemäß Art. 15 Abs. 1 Iit. c DS-GVO verpflichtet sind, die Identität der Empfänger von personenbezogenen Daten offenzulegen. Für viele Unternehmen kann sich hieraus Anpassungsbedarf im Umgang mit Auskunftsansprüchen ergeben.

 

Sachverhalt der Entscheidung

Ein Kunde der Österreichischen Post stellte einen Antrag auf Auskunft über die Verarbeitung seiner personenbezogenen Daten und insbesondere die Identität etwaiger Empfänger. Die Österreichische Post teilte mit, sie verwende personenbezogene Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern im Rahmen des rechtlich Zulässigen und biete diese Daten Geschäftskunden für Marketingzwecke an. Zu den Namen dieser Geschäftskunden machte die Österreichische Post keine Angaben.

Daraufhin klagte der Kunde unter Berufung auf Art. 15 Abs. 1 lit. c DS-GVO, der ihm seiner Ansicht nach einen Anspruch auf Auskunft über die konkreten Empfänger verlieh. Sowohl das Gericht der ersten Instanz als auch das Berufungsgericht wiesen die Klage ab, der Kläger ging daraufhin in Revision.

Der österreichische Oberste Gerichtshof legte dem EuGH die Frage vor, ob sich der Auskunftsanspruch gemäß Art. 15 Abs. 1 lit. c DS-GVO auf eine Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, er aber die Mitteilung konkreter Empfänger umfasst, wenn diesen Empfängern bereits personenbezogene Daten offengelegt wurden.

 

Entscheidung des EuGHs

Der EuGH entschied, dass Unternehmen gemäß Art. 15 Abs. 1 lit. c DS-GVO grundsätzlich dazu verpflichtet sind, Auskunftsbegehrenden die Identität der Empfänger mitzuteilen. Das gelte sowohl für Empfänger, denen gegenüber das Unternehmen die fraglichen personenbezogenen Daten bereits offengelegt hat, als auch für Empfänger, die die Daten erst in Zukunft erhalten sollen. Das Unternehmen habe insoweit kein Wahlrecht.

Die Namen der Empfänger seien nur dann nicht zu nennen, wenn

  1. es unmöglich ist, die Empfänger zu identifizieren, oder
  2. dies im Sinne von Art. 12 Abs. 5 DS-GVO offensichtlich unbegründet oder unverhältnismäßig bzw. exzessiv wäre. Dies müsse das Unternehmen nachweisen.

In diesen Fällen genüge eine Mitteilung bloßer Kategorien von Empfängern.

Eine andere Auslegung von Art. 15 Abs. 1 lit. c DS-GVO würde nach Ansicht des EuGH dem Sinn und Zweck des Auskunftsanspruchs nicht gerecht, der die Grundlage weiterer Betroffenenrechte wie der Rechte auf Berichtigung, Löschung oder Widerspruch bilde. Zudem stützten die Erwägungsgründe, das Transparenzprinzip sowie Art. 19 DS-GVO diese Auslegung, die dem Recht der betroffenen Person auf Schutz ihrer Daten zur praktischen Wirksamkeit (sog. effet utile) verhelfe.

 

Rechtliche Einordnung

  • Trotz des offenen Wortlauts von Art. 15 Abs. 1 lit. c DS-GVO („Empfänger oder Kategorien von Empfängern") müssen Unternehmen grundsätzlich Auskunft über konkrete Empfänger erteilen, wenn der Antragsteller dies begehrt. Ansonsten kann ein bußgeldbewehrter Datenschutzverstoß (Art. 83 Abs. 5 DS-GVO) vorliegen. Außerdem könnte der Antragsteller einen Anspruch auf Schadensersatz geltend machen (Art. 82 DS-GVO).
  • Das Auskunftsrecht gilt jedoch nicht unbeschränkt. Es muss gegen andere rechtliche geschützte Belange abgewogen und kann durch sie eingeschränkt werden. Explizit erwähnt der EuGH Ausnahmen, wenn die Erfüllung des Auskunftsanspruchs unmöglich oder der Anspruch offenkundig unbegründet bzw. exzessiv ist.
  • Neben den vom EuGH explizit genannten Ausnahmen können andere Rechte das Auskunftsrecht begrenzen. In Betracht kommen je nach Einzelfall vor allem Vertraulichkeitsinteressen des Unternehmens und Dritter (vgl. Art. 15 Abs. 4 DS-GVO). Außerdem kann das Auskunftsrecht durch EU-Recht oder nationales Recht (z.B. §§ 27 Abs. 2, 28 Abs. 2, 29 Abs. 1, 34 Abs. 1 BDSG) eingeschränkt sein, z.B. zum Schutz von Whistleblowern.
  • Der EuGH trifft in seiner Entscheidung keine Aussage zur Nennung konkreter Empfänger in Informationen gemäß Art. 13, 14 DS-GVO, den sog. Datenschutzerklärungen oder Datenschutzhinweisen. Der Wortlaut dieser Bestimmungen ist dem Wortlaut von Art. 15 DS-GVO zwar ähnlich, Informationspflicht und Auskunftsanspruch unterscheiden sich jedoch in wesentlichen Punkten. Die Erwägungsgründe zur Information beziehen sich nicht explizit auf „Empfänger" (vgl. Erwägungsgründe 39, 63 DS-GVO) und Art. 13, 14 DS-GVO sind gerade nicht als subjektive Ansprüche ausgestaltet. Nicht zuletzt ist fraglich, welchen Zweck die Auskunft noch erfüllt, wenn bereits alle zu beauskunftenden Informationen in den Datenschutzhinweisen enthalten sein müssen. Ob der EuGH seine Rechtsprechung dennoch auf Art. 13, 14 DS-GVO übertragen wird, bleibt abzuwarten.

 

Praxishinweis

Um die konkreten Datenempfänger und nicht nur bloße Kategorien beauskunften zu können, sollten Unternehmen schon vor Eingang des Auskunftsantrages sicherstellen, dass ihnen die relevanten Informationen vorliegen oder sie jedenfalls innerhalb der Auskunftsfrist von grundsätzlich bis zu einem Monat (Art. 12 Abs. 3 DS-GVO) beschafft werden können. Das erfordert eine systematische Erfassung (sog. data mapping) der Empfänger und eine regelmäßige Aktualisierung des Informationsstands.

Organisatorisch lässt sich hier am Verzeichnis der Verarbeitungstätigkeiten anknüpfen, in dem jedenfalls Empfänger außerhalb der EU ohnehin bereits geführt werden müssen (Art. 30 Abs. 1 lit. d) DS-GVO).

Um etwaigen Auskunftsanträgen zuvorzukommen, könnten Unternehmen – unter Abwägung möglicherweise entgegenstehender Interessen – relevante Empfänger auch bereits in den Datenschutzhinweisen aufführen. In Beschäftigtendatenschutzhinweisen ist dies für einige Empfänger gelegentlich schon der Fall (z.B. verbundene Unternehmen und sog. Payroll-Provider), auch hier können einige Unternehmen auf bestehenden Prozessen aufbauen.

Unterhält ein Unternehmen Standardabläufe zur Beantwortung von Auskunftsanträgen (insbesondere im E-Commerce), müssen diese eventuell angepasst werden, um eine antragsgemäße und rechtskonforme Auskunft zu gewährleisten.

Weiterleiten