EuGH-Urteil: Empfänger von personenbezogenen Daten müssen konkret benannt werden
08.02.2023 | Susanne Stingl
In einem aktuellen Urteil des EuGH vom 12.01.2023 (C‑154/21), hat dieser auf eine Vorlagefrage aus Österreich hin, weitere Rechtssicherheit bezüglich der Erteilung von Auskünften geschaffen. Streitgegenständlich war im ursprünglichen Verfahren insbesondere die Frage, ob der betroffenen Person ausschließlich Kategorien von Empfänger ihrer personenbezogenen Daten mitgeteilt werden müssen oder die konkreten Empfänger benannt werden würden. Der EuGH hat klargestellt, dass immer die konkreten Empfänger benannt werden müssen, soweit diese bekannt sind.
Nach Art. 15 Abs. 1 lit. b DSGVO können betroffene Personen vom Verantwortlichen einer Datenverarbeitung Informationen über „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“ verlangen. Strittig war, ob ein Wahlrecht des Verantwortlichen besteht, ob er lediglich die Kategorien der Empfänger benennen darf oder ob er jeden einzelnen Empfänger konkret benennen muss.
In dem Rechtsstreit wollte eine betroffene Person von der Österreichischen Post Auskunft darüber, welche personenbezogenen Daten über sie gespeichert seien und ob und an wen die Daten weitergegeben wurden. Die Österreichische Post teilte daraufhin unter anderem mit, dass sie in ihrer Eigenschaft als Telefonbuchherausgeberin die personenbezogenen Daten auch an Geschäftskunden für Marketingzwecke weitergebe. Die konkreten Empfänger nannte sie nicht. Im Verlauf des Rechtsstreits konkretisierte die Österreichische Post die Art von Empfänger und nannte beispielsweise Handelsunternehmen, Adressverlage und politische Parteien, nicht jedoch die konkreten Empfänger.
Der Oberste Gerichtshof legte dem EuGH die Frage vor, ob die konkreten Empfänger zu benennen seien.
Dieser stellte fest, dass aufgrund des Transparenzgrundsatzes und der effektiven Durchsetzung der Betroffenenrechte grundsätzlich eine konkrete Benennung der Empfänger erforderlich ist. Die ausschließliche Nennung der Kategorien von Empfängern sieht er als möglich, sofern kollidierende Grundrechte entgegenstehen oder die konkrete Nennung unverhältnismäßig ist. Letzteres ist insbesondere der Fall, wenn die Empfänger (noch) nicht bekannt sind. Auch exzessive Anträge müssen nicht beantwortet werden.
Insgesamt ergibt sich als praktische Folge aus dem Urteil, dass stets nachverfolgt werden können muss, welcher Empfänger die Daten einer konkreten Person erhalten hat, um im Falle eines Auskunftsersuchens die gewünschte Auskunft erteilen zu können. Die Frist für die Auskunftserteilung beträgt einen Monat. Im Übrigen ergab sich diese Pflicht auch schon zuvor, da auch in dem Fall, dass eine betroffene Person ihre Rechte wahrnimmt, dies an die Datenempfänger weitergegeben werden muss. Wenn beispielsweise die Person die Löschung ihrer Daten verlangt, muss der Verantwortliche sämtliche Datenempfänger über dieses Löschgesuch informieren.
Darüber hinaus lassen sich die Rechtsgedanken und die Begründung auch auf die Informationspflichten übertragen. Auch hier sind dem Wortlaut nach die „Empfänger oder Kategorien von Empfängern“ zu nennen. Und auch hier ist es wichtig, dass die betroffene Person genau weiß, wer ihre Daten erhält. Die Begründung des EuGH, dass dies aufgrund des für die gesamte Datenverarbeitung geltenden Transparenzgrundsatzes und zur Durchsetzung von Betroffenenrechten notwendig ist, greift auch hier. Soweit die konkreten Empfänger zum Zeitpunkt der Information noch nicht bekannt sind, kann natürlich auch hier auf Kategorien von Empfängern verwiesen werden. Soweit sie jedoch bereits bekannt sind, sind sie zu benennen. Wenn es sich um eine Vielzahl von Empfängern handelt, kann dies zur besseren Übersicht auch durch eine Verlinkung oder Anlage der Liste der Empfänger umgesetzt werden.
