Der Europäische Gerichtshof hat entschieden, dass sich der Auskunftsanspruch bezüglich der Datenempfänger nach Art. 15 Abs. 1 lit. c DSGVO auf die namentliche Nennung aller individuellen Empfänger bezieht. Aus unserer Sicht ist das eher nicht überraschend.
In seiner Pressemitteilung Nr. 4/23 fasst der Gerichtshof seine Entscheidung (Rechtssache C-154/21) so zusammen:
„Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden“.
Folgender Fall lag der Entscheidung zu Grunde:
Ein Betroffner beantragte bei der Österreichischen Post, ihm detailliert mitzuteilen, gegenüber welchen Empfängern der Logistikdienstleister seine personenbezogenen Daten offengelegt hatte.
Er berief sich dabei auf die DSGVO, welche, das Recht eines Betroffnen vorsieht, von Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen die personenbezogenen Daten offengelegt worden sind.
Bei der Beantwortung der Anfrage des Bürgers beschränkte sich die Österreichische Post auf die Information, personenbezogene Daten würden, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern verwendet und darüber hinaus Geschäftskunden zu Marketingzwecken angeboten.
Der betroffene Bürger erhob daraufhin Klage gegen die Österreichische Post, um eine präzisere Auskunft zu erhalten. Im weiteren Verlauf teilte die Österreichische Post dann mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und im stationären Handel, IT-Unternehmen, Adressverlage und Spendenorganisationen, Nichtregierungsorganisationen oder politische Parteien gehören.
Der österreichische Oberste Gerichtshof, bei dem der Rechtsstreit in letzter Instanz anhängig ist, stellte dem Europäischen Gerichtshof daraufhin die folgende Frage zur korrekten Auslegung der DSGVO (gekürzt):
„Stellt die DSGVO dem […] Verantwortlichen frei, ob er der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt? Oder hat die betroffene Person […] das Recht, die konkrete Identität dieser Empfänger zu erfahren?“
In seinem Urteil antwortete der EuGH wie folgt (gekürzt):
„Der Verantwortliche ist verpflichtet, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind […], der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen.“
Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich Kategorien der betreffenden Empfänger mitzuteilen. Das gilt auch dann, wenn der Verantwortliche nachweist, dass ein Antrag auf präzise Auskunft offenkundig unbegründet oder exzessiv ist.
Der Gerichtshof weist darauf hin, dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, auch um zu ermöglichen, andere Rechte gemäß DSGVO auszuüben, z.B.
– das Recht auf Berichtigung,
– das Recht auf Löschung („Recht auf Vergessenwerden“),
– das Recht auf Einschränkung der Verarbeitung,
– das Recht auf Widerspruch gegen die Verarbeitung oder auch
– das Recht auf Schadensersatz.
Die für uns weiterhin deutlich spannendere Folgefrage ist nun, ob diese Anforderung auch schon für die Nennung der Datenempfänger in der Datenschutzerklärung (gemäß Art. 13 Abs. 1 lit. e DSGVO) gilt. Dazu hat der EuGH in seinem Urteil aber keine Stellung genommen.