HOME > Blog > Datenschutzbeauftragter > EuGH verschärft Auskunftspflicht für Verantwortliche

EuGH verschärft Auskunftspflicht für Verantwortliche

Posted on Veröffentlicht in Datenschutzbeauftragter Tagged with
EuGH verschärft Auskunftspflicht für Verantwortliche
EuGH verschärft Auskunftspflicht für Verantwortliche

(EU, A) EuGH präzisiert in einem Urteil das Recht auf Auskunft und hält fest, dass Verantwortliche idR verpflichtet sind, bei einem entsprechenden Auskunftsbegehren, die Identität von Empfängern von personenbezogenen Daten bekanntzugeben. Die Angabe von Empfängerkategorien sei nicht ausreichend. Ist die Identität der Empfänger noch nicht bekannt oder wenn es sich um offenkundig unbegründete oder exzessive Anträge handelt, wird das Recht eingeschränkt.

Der EuGH hat im Rechtsstreit (Rechtssache C‑154/21) zwischen der Österreichischen Post AG und dem Kläger ein Urteil ausgesprochen. Das Urteil betrifft die Auslegung von Art. 15 1c DSGVO und verpflichtet die Post AG, offenzulegen, an wen die den Kläger betreffenden personenbezogene Daten weitergegeben wurden.

Anrecht auf Bekanntgabe der Empfängeridentitäten bei Auskunftsbegehren?

Der Kläger hatte gemäß Art. 15 DSGVO von der Post AG Auskunft verlangt, welche ihn betreffenden personenbezogenen Daten die Österreichische Post speichere oder in der Vergangenheit gespeichert habe und, wenn es zu einer Offenlegung der Daten gegenüber Dritten gekommen sei, wer diese Empfänger gewesen seien.

Bei der Beantwortung dieser Anfrage beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese personenbezogenen Daten Geschäftskunden für Marketingzwecke an. Im Übrigen verwies sie für detailliertere Informationen und weitere Datenverarbeitungszwecke auf eine Website. Sie teilte der betroffenen Person nicht mit, wer die konkreten Empfänger dieser Daten sind.

Daraufhin erhob der Kläger gegen die Österreichische Post Klage vor den österreichischen Gerichten und beantragte, ihr aufzugeben, ihm u. a. mitzuteilen, wer der oder die Empfänger seiner offengelegten personenbezogenen Daten waren.

Im Lauf dieses angestrengten gerichtlichen Verfahrens teilte die Österreichische Post der betroffenen Person mit, seine personenbezogenen Daten seien zu Marketingzwecken verarbeitet und an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT‑Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.

Das erstinstanzliche Gericht und das Berufungsgericht wiesen die Klage ab, weil Art. 15 Abs. 1c DSGVO durch den Verweis auf die „Empfänger oder Kategorien von Empfängern“ dem Verantwortlichen die Wahlmöglichkeit einräume, der betroffenen Person lediglich die Kategorien von Empfängern mitzuteilen, ohne die konkreten Empfänger der personenbezogenen Daten namentlich nennen zu müssen.

Genügt es, Empfängerkategorien zu beauskunften?

Die betroffene Person legte daraufhin beim Obersten Gerichtshof (OGH) in Österreich, dem vorlegenden Gericht, Revision ein.

Das vorlegende Gericht fragt sich, wie Art. 15 Abs. 1c DSGVO auszulegen ist, da der Wortlaut dieser Bestimmung nicht eindeutig erkennen lasse, ob sie der betroffenen Person ein Auskunftsrecht hinsichtlich der konkreten Empfänger der offengelegten Daten einräume oder ob es im Ermessen des Verantwortlichen liege, wie er einem Ersuchen um Auskunft über die Empfänger nachkommen wolle.

Das vorlegende Gericht weist jedoch darauf hin, dass der Regelungszweck dieser Bestimmung eher für die Auslegung spreche, dass die betroffene Person die Wahl habe, ob sie Auskunft über die Kategorien von Empfängern oder über die konkreten Empfänger ihrer personenbezogenen Daten begehre. Jede gegenteilige Auslegung würde zu einer erheblichen Beeinträchtigung der Effektivität der der betroffenen Person zum Schutz ihrer Daten zur Verfügung stehenden Rechtsbehelfe führen. Hätten nämlich die Verantwortlichen die Wahl, den betroffenen Personen die konkreten Empfänger oder nur die Kategorien von Empfängern mitzuteilen, sei zu befürchten, dass letztlich kaum jemals ein Verantwortlicher Auskunft über konkrete Empfänger erteilen werde.

Außerdem werde in Art. 15 Abs. 1 DSGVO anders als in Art. 13 Abs. 1e und Art. 14 Abs. 1e DSGVO, die die Pflicht des Verantwortlichen vorsähen, die von diesen Artikeln erfassten Informationen bereitzustellen, der Schwerpunkt auf den Umfang des Auskunftsrechts der betroffenen Person gelegt, was auch darauf hindeute, dass die betroffene Person das Recht habe, zu entscheiden, ob sie Auskunft über die konkreten Empfänger oder über die Kategorien von Empfängern anfordern wolle.

Schließlich ergänzt das vorlegende Gericht, dass sich das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO nicht bloß auf die aktuell verarbeiteten personenbezogenen Daten erstrecke, sondern auch auf alle in der Vergangenheit verarbeiteten Daten. Hierzu weist es darauf hin, dass die im Urteil vom 7. Mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), angestellten Erwägungen, die auf den Zweck des in der Richtlinie 95/46 vorgesehenen Auskunftsrechts abstellten, auf das Auskunftsrecht nach Art. 15 DSGVO übertragen werden könnten, insbesondere da sich aus den Erwägungsgründen 9 und 10 der DSGVO ableiten lasse, dass der Unionsgesetzgeber das Schutzniveau gegenüber dieser Richtlinie nicht habe herabsetzen wollen.

Unter diesen Umständen hat der Oberste Gerichtshof das Verfahren ausgesetzt und dem Gerichtshof folgende Frage zur Vorabentscheidung vorgelegt:

Ist Art. 15 Abs. 1c DSGVO dahin gehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind?

Verpflichtung zur Mitteilung von Empfängeridentitäten

In seinem Urteil legte der EuGH fest, dass Art. 15 Abs. 1c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

Der EuGH begründete das Urteil folgendermaßen:

  •  Auch wenn sich dem Wortlaut von Art. 15 Abs. 1c DSGVO nicht eindeutig entnehmen lässt, ob die konkrete Identität der Empfänger dieser Daten zu beauskunften ist, ist erstens darauf hinzuweisen, dass nach dem Erwägungsgrund 63 der DSGVO die betroffene Person ein Anrecht darauf haben muss, insbesondere zu wissen und zu erfahren, wer die Empfänger dieser personenbezogenen Daten sind, und dass, dieser Erwägungsgrund nicht erwähnt, dass dieses Recht lediglich auf die Kategorien von Empfängern beschränkt werden könnte.

  • Zweitens ist auch darauf hinzuweisen, dass jede Verarbeitung personenbezogener Daten von natürlichen Personen mit den in Art. 5 DSGVO aufgestellten Grundsätzen im Einklang stehen muss, damit das Auskunftsrecht gewahrt wird. Zu diesen Grundsätzen gehört der Grundsatz der Transparenz gemäß Art. 5 Abs. 1a DSGVO, der nach ErwG 39 voraussetzt, dass die betroffene Person darüber informiert wird, wie ihre personenbezogenen Daten verarbeitet werden, und dass diese Informationen leicht zugänglich und verständlich sind.

  • Drittens ist festzustellen, dass Art. 15 DSGVO im Gegensatz zu den Art. 13 und 14 DSGVO, in denen die Pflicht des Verantwortlichen festgelegt ist, der betroffenen Person Informationen über die Kategorien von Empfängern oder die konkreten Empfänger von sie betreffenden personenbezogenen Daten bereitzustellen, ein tatsächliches Auskunftsrecht zugunsten der betroffenen Person vorsieht, so dass diese wählen können muss, ob ihr – falls möglich – Informationen über bestimmte Empfänger, gegenüber denen diese Daten offengelegt wurden oder noch offengelegt werden, oder Informationen über die Kategorien von Empfängern bereitgestellt werden.

  • Viertens hat der Gerichtshof bereits entschieden, dass es der betroffenen Person durch die Ausübung dieses Auskunftsrechts nicht nur ermöglicht werden muss, zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden. Insbesondere ob sie gegenüber Empfängern offengelegt wurden, die zu ihrer Verarbeitung befugt sind.

Recht auf Auskunft über Empfängeridentitäten nicht uneingeschränkt

Schließlich ist jedoch darauf hinzuweisen, dass das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist. Dieses Recht muss nämlich im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Grundsatzes der Verhältnismäßigkeit gegen andere Grundrechte abgewogen werden.

Folglich ist denkbar, dass es unter bestimmten Umständen nicht möglich ist, Informationen über konkrete Empfänger zu erteilen. Daher kann das Auskunftsrecht auf Informationen über die Kategorien von Empfängern beschränkt werden, wenn es nicht möglich ist, die Identität der konkreten Empfänger mitzuteilen, insbesondere wenn diese noch nicht bekannt sind.

Außerdem ist darauf hinzuweisen, dass sich der Verantwortliche gemäß Art. 12 Abs. 5b DSGVO im Einklang mit dem in Art. 5 Abs. 2 sowie im ErwG 74 niedergelegten Grundsatz der Rechenschaftspflicht weigern kann, aufgrund von Anträgen der betroffenen Person tätig zu werden, wenn es sich um offenkundig unbegründete oder exzessive Anträge handelt. Hierbei hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter der Anträge zu erbringen.

Rechtssache C‑154/2, „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 15 Abs. 1 Buchst. c – Auskunftsrecht der betroffenen Person über ihre Daten – Informationen über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden – Einschränkungen“, URL: https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1 ;