EuGH konkretisiert Anforderungen an die Benennung von Datenempfängern in der Auskunft
Transparenz für Betroffene durch Auskunft
Das datenschutzrechtliche Auskunftsrecht (Art. 15 DSGVO) wirft in der Praxis immer wieder Fragen auf, und ist gleichzeitig unserer Erfahrung nach das meist ausgeübteste Betroffenenrecht. Hintergrund der Betroffenenrechte gem. Kapitel 3 der DSGVO ist das Grundrecht auf informationelle Selbstbestimmung als Ausprägung des Allgemeinen Persönlichkeitsrechts, wonach jede Person Einfluss auf die Verarbeitung der eigenen Daten nehmen können muss. Voraussetzung zur Selbstbestimmung ist daher die Verarbeitung der eigenen Daten zu kennen.
Mit der Auskunft soll also Transparenz (vgl. Art. 5 Abs. 1 lit. a DSGVO) geschaffen werden, indem die betroffene Person vollumfänglich über die sie betreffende Datenverarbeitung aufgeklärt wird. Welchen Umfang die Auskunft im Einzelfall haben muss, steht nicht selten zur Debatte. So beschäftigten sich bereits einige deutsche Gerichte mit dem Umfang des Auskunftsrechts (u.a. BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19; BAG, Urteil vom 27.04.2021, Az. 2 AZR 342/20; LAG Baden-Württemberg, Urteil vom 17.03.2021, Az. 21 Sa 43/20; AG Wiesbaden, Urteil vom 31.05.2021, Az. 93 C 3382/20). Nun entschied auch der Europäischen Gerichtshof (EuGH), die oberste rechtsprechende Instanz der EU, zum Auskunftsrecht und konkretisierte in einer Entscheidung vom 12.01.2023 die Anforderungen an die Benennung von Datenempfängern in der Auskunft.
Sachverhalt zum Rechtsstreit
Vorangegangen war der Rechtsstreit eines Kunden der Österreichischen Post, der Auskunft zur Verarbeitung seiner Daten verlangt hatte. Als die Österreichische Post allerdings nicht die konkreten Empfänger der Daten benannte, sondern sich vornehmlich auf Kategorien von Empfängern beschränkte, erhob der Kunde Klage vor den österreichischen Gerichten. Im darauffolgenden Rechtsstreit ging es unter anderem um die Formulierung in Art. 15 Abs. 1 lit. c DSGVO, nach der „Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“ in der Auskunft benannt werden müssen. Die Österreichische Post hatte sich auf die Kategorien der Empfängern beschränkt, was nach Ansicht des Klägers nicht ausreichend war. Zur Klärung legte schließlich der Oberste Gerichtshof (höchste rechtsprechende Instanz Österreichs für Zivil- und Strafverfahren) den Sachverhalt dem EuGH vor.
Einschätzung des EuGH zur Benennung von Empfängern in der Auskunft
Entgegen der Meinung der ersten Instanzen der österreichischen Gerichte kam der EuGH (Urteil vom 12.01.2023, Rechtssache C-154/21) zum Urteil, dass Verantwortliche (in diesem Fall die Österreichische Post) verpflichtet sind betroffenen Personen die konkrete Identität der Empfänger mitzuteilen, und sich grundsätzlich nicht auf Kategorien von Empfängern zu beschränken (vgl. Rechtssache C-154/21, Rn. 28). Dazu führt der EuGH folgende Punkte an:
- Auch wenn der Wortlaut des Art. 15 Abs. 1 lit. c DSGVO die Optionen zur Benennung der „Empfänger“ oder „Kategorien von Empfängern“ nebeneinanderstellt, hat die betroffene Person ein Anrecht darauf insbesondere zu wissen und zu erfahren, wer die Empfänger der Daten sind, ohne dass dieses Recht auf Kategorien von Empfängern beschränkt ist (vgl. ErwGr 63 DSGVO; Rechtssache C-154/21, Rn. 33).
- Weiterhin führt der EuGH den Grundsatz zur Transparenz (gem. Art. 5 Abs. 1 lit. a und ErwGr 39 DSGVO) an, der voraussetzt, dass die betroffene Person über die Verarbeitung ihrer Daten informiert wird, und entsprechende Informationen leicht zugänglich und verständlich sind (vgl. Rechtssache C-154/21, Rn. 35).
- Im Vergleich zu den allgemeinen Informationspflichten nach Art. 13 und 14 DSGVO sieht der EuGH im Auskunftsrecht die Möglichkeit für die betroffene Person zu wählen, ob ihr – falls möglich – Informationen über bestimmte Empfänger oder Kategorien von Empfängern bereitgestellt werden sollen (vgl. Rechtssache C-154/21, Rn. 36).
- Zuletzt sieht der EuGH die Benennung konkreter Empfänger als Grundvoraussetzung für die betroffene Person weitere Betroffenenrechte geltend machen zu können, unter anderem das Recht auf Berichtigung, Recht auf Löschung und Recht auf Einschränkung der Verarbeitung (vgl. Rechtssache C-154/21, Rn. 38).
- Eine Einschränkung der Auskunft auf Informationen über Kategorien von Empfängern kann nach Einschätzung des EuGH nur vorgenommen werden, „wenn es nicht möglich ist, die Identität der konkreten Empfänger mitzuteilen, insbesondere wenn diese noch nicht bekannt sind“ (Rechtssache C-154/21, Rn. 48).
Zusammengefasst legt der EuGH Art. 15 lit. c DSGVO dahingehend aus, dass Verantwortliche im Rahmen der Auskunft verpflichtet sind, betroffene Personen die Identität der Empfänger mitzuteilen. Davon kann der Verantwortliche nur absehen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder der Nachweis erbracht wird, dass die betreffende Anfrage offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO ist.
Fazit – Was sollten Sie für Ihren Auskunftsprozess mitnehmen?
Die Entscheidung des EuGH schafft Klarheit zur Benennung von Empfängern. Während in der Vergangenheit regelmäßig auf die „Kategorien von Empfängern“ zurückgegriffen und konkrete Empfangende nur in Einzelfällen benannt wurden, dreht sich mit der Entscheidung des EuGH das Blatt.
Verantwortliche sind demnach in der Pflicht, nachweisen zu können, warum Empfänger personenbezogener Daten nicht benannt werden können. Zukünftig sollte der Regelfall bei der Auskunft sein, Empfänger konkret zu benennen, und nur wenn dies nicht möglich ist, auf die Kategorien der Empfänger zurückzugreifen. Wir empfehlen daher die eigenen Auskunftsprozesse- und vorlagen dahingehend zu prüfen.