Wenn eine Person von einem Unternehmen (oder sonst datenschutzrechtlich Verantwortlichen) Auskunft nach Art. 15 DSGVO über die konkreten Empfänger seiner personenbezogenen Daten verlangt, muss diese offengelegt werden. Nach unserer Auffassung besteht aber aktuell keine Pflicht in Datenschutzinformationen gemäß Art. 13 und 14 DSGVO über die konkreten Empfänger zu informieren.
Nach dem aktuellen Urteil des EuGH vom 12.01.2023 ist eine Beschränkung auf die Mitteilung bloßer Kategorien von Empfängern bei einem entsprechenden Auskunftsersuchen nur in Ausnahmefällen möglich.
1. Hintergrund der Entscheidung
Hintergrund der Entscheidung war ein Auskunftsersuchen eines Bürgers, der von der Österreichischen Post Auskunft darüber erhalten wollte, an welche Empfänger die Post seine personenbezogenen Daten weitergegeben hat. Art. 15 Abs. 1 lit. c DSGVO bestimmt unscharf, dass Auskunft zu erteilen ist über die "Empfänger oder Kategorien von Empfängern". Die Österreichische Post teilte mit, dass sie personenbezogene Daten zu Marketingzwecken an Geschäftskunden weitergegeben habe, unter anderem an werbetreibende Händler, Adressverlage, IT-Unternehmen, NGOs und Parteien. Die Post erteilte allerdings keine Auskunft über die konkrete Identität der Empfänger, weshalb die betroffene Person ihr Auskunftsbegehren gerichtlich geltend machte. Der Oberste Gerichtshof Österreichs (OGH) legte schließlich die Frage, ob der Verantwortliche die konkrete Identität der Empfänger im Rahmen von Auskunftsersuchen offenlegen muss, dem EuGH zur Entscheidung vor.
2. Die Entscheidung des EuGH
Der EuGH hat sich für eine betroffenenfreundliche Auslegung entschieden und die Pflicht zur Offenlegung der konkreten Empfängeridentität bejaht. Die betroffene Person müsse die Wahl haben, ob sie Auskunft über die Kategorien von Empfängern oder über die konkreten Empfänger ihrer personenbezogenen Daten begehre. Zur Begründung führte der EuGH aus, dass zur effektiven Durchsetzung sämtlicher datenschutzrechtlicher Betroffenenrechte, wie etwa der Berichtigung, Löschung oder Einschränkung personenbezogener Daten, die Mitteilung der konkreten Empfänger erforderlich sei. Auch das primäre Ziel des europäischen Datenschutzrechts, innerhalb der Union ein hohes Datenschutzniveau zu gewährleisten, spreche für eine betroffenenfreundliche Auslegung.
Nur bei offensichtlich exzessiven und unbegründeten Auskunftsanträgen oder wenn die Identifizierung der konkreten Empfänger unmöglich sei, könne ausnahmsweise die Auskunft auf die Empfängerkategorien beschränkt werden.
3. Auswirkungen auf die Informationspflichten nach Art. 13 und 14 DSGVO
Nach Art. 13 und 14 DSGVO müssen betroffene Personen vor einer Verarbeitung personenbezogener Daten informiert werden. Der Wortlaut ist weitgehend mit dem Auskunftsanspruch gem. Art. 15 DSGVO identisch; insbesondere im Hinblick auf die Information über "Empfänger oder Kategorien von Empfängern". Es gibt bereits Stimmen in der Literatur, die die Entscheidung auf die Informationspflichten nach Art. 13 Abs. 1 lit. e und Art. 14 Abs. 1 lit. e DSGVO übertragen wollen. Aus unserer Sicht lässt sich dem vorliegenden Urteil eine derartige Aussage aber nicht entnehmen, sodass im Rahmen von Art. 13 und 14 DSGVO die Beschränkung auf die Nennung der Empfängerkategorien weiterhin vertretbar sein dürfte. Denn der EuGH weist in seinem Urteil ausdrücklich auf den Unterschied von Art. 15 Abs. 1 DSGVO im Vergleich zu Art. 13 Abs. 1 lit. e und Art. 14 Abs. 1 lit. e DSGVO hin. Dieser liege darin, dass die betroffene Person im Rahmen des Art. 15 Abs. 1 DSGVO gerade das Recht habe zu entscheiden, "ob ihr – falls möglich – Informationen über bestimmte Empfänger, gegenüber denen diese Daten offengelegt wurden oder noch offengelegt werden, oder Informationen über die Kategorien von Empfängern bereitgestellt werden" (Rn. 36). Weiter begründet der EUGH die weite Auslegung des Auskunftsanspruchs damit, dass dieser – und damit aus unserer Sicht gerade nicht die Information nach Art. 13 und 14 DSGVO – der betroffenen Person ermöglichen soll zu überprüfen, ob ihre Daten richtig und zulässig verarbeitet werden. Durch den Auskunftsanspruch soll sie zudem in die Lage versetzt werden weitere Betroffenenrechte – auch ggü. Empfängern – geltend machen zu können (vgl. Rn. 37 und 38). Die Aussagen des EuGH lassen sich aus unserer Sicht daher so deuten, dass die Informationen nach Art. 13 und 14 DSGVO für sich gesehen der betroffenen Person noch nicht ermöglichen müssen zu prüfen, ob die Übermittlung an den konkreten Empfänger zulässig war und Rechte gegenüber Empfängern geltend zu machen. Vielmehr muss ihr wohl zugemutet werden können, zunächst über die Geltendmachung des Auskunftsanspruchs in Erfahrung zu bringen, an wen ihre Daten übermittelt wurden.
Die weitere Entwicklung zur Auslegung der Informationspflichten nach Art. 13 und 14 DSGVO sollte aber insoweit weiter im Blick behalten werden.
4. Handlungsempfehlung
Die Entscheidung des EuGH kann zu erheblichem Mehraufwand bei der Bearbeitung von Auskunftsanträgen führen. Da für die Bearbeitung von Auskunftsbegehren unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung steht, empfiehlt es sich, bereits im Vorfeld die konkreten Informationen über die Empfänger zu dokumentieren.
Dabei sollte stets bedacht werden, dass eine verspätete oder unvollständige Auskunftserteilung neben einer Geldbuße auch eine Schadensersatzpflicht gegenüber der betroffenen Person nach sich ziehen kann.