Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
23. Januar 2023

EuGH: Auskunft über die konkreten Datenempfänger

EuGH: Verantwortliche müssen Empfänger von Daten ganz konkret benennen
Bild: Andrew_Rybalko / iStock / Getty Images Plus
5,00 (1)
drucken
Inhalte in diesem Beitrag
Grundsatzentscheidung des Europäischen Gerichtshofs
Beim Auskunftsanspruch betroffener Personen nach Art. 15 DSGVO sind viele Fragen offen. In einem wichtigen Punkt hat der Europäische Gerichtshof (EuGH) jetzt Klarheit geschaffen. Betroffene Personen können im Regelfall verlangen, dass der Verantwortliche ihnen ganz genau sagt, an wen er ihre Daten übermittelt hat.

➧ Das hat das Gericht zur Auskunft entschieden

Betroffene Personen können Auskunft darüber verlangen, welche ganz konkreten Empfänger ihre personenbezogenen Daten erhalten haben. Allgemeine Umschreibungen genügen nicht. Praktisch relevante Ausnahmen von diesem Grundsatz gibt es kaum.

➧ Deshalb ist es für alle Unternehmen wichtig

Auskunftsansprüche betroffener Personen nach Art. 15 Datenschutz-Grundverordnung (DSGVO) lassen sich in der Praxis nur mithilfe ausgeklügelter EDV-Systeme erfüllen. Diese Systeme müssen nach der Entscheidung des Gerichts jetzt teils aufwendig neu programmiert werden. Zudem erhöht sich der alltägliche Aufwand für die Erteilung von Auskünften dauerhaft. Denn künftig müssen die Auskünfte sehr detailliert ausfallen.

➧ Das war die Ausgangslage

Die Österreichische Post bietet Unternehmen Adressdaten an. Die Unternehmen verwenden diese Daten für Zwecke des Marketings, beispielsweise für persönlich adressierte Werbebriefe. Eine betroffene Person verlangte von der Österreichischen Post eine genaue Auflistung der Datenempfänger, denen die Post Daten über sie überlassen hat.

➧ Das war die Reaktion der Österreichischen Post

Die Österreichische Post antwortete nur allgemein, sie biete Geschäftskunden personenbezogene Daten für Marketingzwecke an, soweit dies rechtlich zulässig sei. Zu einer Auflistung mit detaillierten Angaben zu allen Datenempfängern war sie dagegen nicht bereit.

➧ Und das die Gegenreaktion

Die betroffene Person erhob Klage auf Erteilung einer detaillierten Auskunft. Im Laufe des gerichtlichen Verfahrens teilte ihr die Post mit, ihre Daten seien zu Marketingzwecken weitergegeben worden, und zwar an „werbetreibende Unternehmen im Versandhandel und im stationären Handel, an IT-Unternehmer, Adressbuchverlage und Vereine sowie an Spendenorganisationen, Nichtregierungsorganisationen und politische Parteien.“ Wer die konkreten Datenempfänger waren, teilte sie weiterhin nicht mit.

➧ Darin besteht die rechtliche Streitfrage

Art. 15 DSGVO („Auskunftsrecht der betroffenen Person“) gibt der betroffenen Person unter anderem das Recht auf Information über „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“ (Art. 15 Abs. 1 Buchstabe c DSGVO). Gestritten wird über die Auslegung der Formulierung „die Empfänger oder Kategorien von Empfängern“.

➧ Das sind die zwei Auslegungsmöglichkeiten

Im Streit über die Bedeutung dieser Formulierung haben sich zwei Lager gebildet:

  • Bedeutet sie, dass der für die Verarbeitung Verantwortliche ein Wahlrecht hat? Wäre dies der Fall, könnte er – wenn er dies möchte – die einzelnen Datenempfänger mit Namen und Anschrift konkret angeben (Beispiel: „X GmbH in der Y Straße in Z-Stadt“). Alternativ könnte er sich aber auch darauf beschränken, nur die Kategorie der Empfänger anzugeben (Beispiel: „werbetreibende Unternehmen im Versandhandel“).
  • Oder gibt es kein solches Wahlrecht? Dann wäre die Regelung so auszulegen, dass der Verantwortliche die einzelnen Datenempfänger konkret benennen muss, wann immer dies möglich ist. Nur ausnahmsweise könnte er sich auf die Angabe der Kategorien von Empfängern beschränken. Dies wäre etwa dann der Fall, wenn zwar die Kategorie der Datenempfänger allgemein feststeht, aber noch nicht, welche konkreten Datenempfänger, die zu dieser Kategorie gehören, Daten erhalten sollen.

➧ Das sind einige Gründe für die Entscheidung des EuGH zur Auskunft

Der EuGH legt die DSGVO nach bestimmten Regeln aus. Sie sind nirgends gesetzlich fixiert, aber seit Jahrzehnten in der Fachwelt anerkannt. Das sieht in diesem Fall so aus:

  • Am Anfang steht die Betrachtung des Wortlauts. Das führt bei Art. 15 Abs. 1 Buchstabe c DSGVO allerdings nicht weiter. Die Formulierung, dass die betroffene Person über „die Empfänger oder Kategorien von Empfängern“ zu informieren ist, lässt nicht erkennen, ob zwischen beiden Möglichkeiten ein Rangverhältnis besteht. Damit bleibt offen, ob es sich um zwei gleichrangige Möglichkeiten handelt oder ob eine der beiden Varianten den Vorrang hat.
  • Deshalb fragt der EuGH als nächstes nach dem Zusammenhang, in dem die Regelung innerhalb der DSGVO steht. Dabei verweist er auf die besondere Rolle des Auskunftsrechts. Mithilfe der Auskunft soll die betroffene Person überprüfen können, ob ihre Daten in zulässiger Weise verarbeitet werden.
  • Dazu gehört auch die Nachprüfung, ob die Daten nur solchen Datenempfängern offengelegt wurden, die diese Daten zulässigerweise verarbeiten dürfen. Auch soll es die Auskunft ermöglichen, dass die betroffene Person gegenüber konkreten Datenempfängern weitere Rechte geltend macht, etwa das Recht auf Berichtigung oder das Recht auf Löschung.
  • Das alles kann in der Praxis nur funktionieren, wenn die betroffene Person konkret erfährt, wer ihre Daten erhalten hat. Die bloße Angabe einer „Kategorie von Empfängern“ würde ihr nicht weiterhelfen.
  • Dies führt unmittelbar zum nächsten Argument. Die DSGVO hat das Ziel, ein möglichst hohes Datenschutzniveau zu gewährleisten. Dieses Ziel lässt sich nur erreichen, wenn die betroffene Person eine möglichst genaue Auskunft über die Datenempfänger erhält. Die Angabe der konkreten Datenempfänger führt zu einem höheren Datenschutzniveau als die bloße Angabe der Kategorien von Datenempfängern.

➧ Das ist das Ergebnis des EuGH

Wo immer möglich, muss der Verantwortliche der betroffenen Person die Datenempfänger ganz konkret benennen, mit Namen und Anschrift. Nur so kann sich die betroffene Person an einen bestimmten Datenempfänger wenden und ihm gegenüber weitere Rechte geltend machen, etwa das Recht auf Berichtigung.

➧ Zwei eher kleine Grenzen setzt der EuGH

Das Recht auf Schutz personenbezogener Daten gilt nicht uneingeschränkt. Vielmehr ist das Verhältnismäßigkeitsprinzip zu beachten. Das formuliert Erwägungsgrund 4 zur DSGVO ganz ausdrücklich so. Daraus leitet der EuGH zwei Beschränkungen ab:

  • Die erste Beschränkung gilt dann, wenn es dem Verantwortlichen schlicht nicht möglich ist, den oder die konkreten Datenempfänger zu benennen. Das ist insbesondere dann der Fall, wenn eine Übermittlung an bestimmte Datenempfänger zwar beabsichtigt ist, aber noch nicht durchgeführt wurde. Dann kann es nämlich immer noch vorkommen, dass die Übermittlung unterbleibt. Der Verantwortliche muss in seiner Auskunft nicht darüber spekulieren, welche Empfänger vielleicht einmal Daten erhalten könnten, ohne dass es schon dazu gekommen ist.
  • Die zweite Beschränkung ergibt sich bereits aus dem Text der DSGVO selbst. Falls ein Auskunftsantrag offenkundig unbegründet ist oder falls es sich um einen „exzessiven Antrag“ handelt, kann der Verantwortliche die Auskunft verweigern. So regelt es Art. 12 Abs. 5 Buchstabe b DSGVO.

➧ Darum sind diese Grenzen wenig praxisrelevant

Die Grenzen, die der EuGH gezogen hat, formulieren Selbstverständlichkeiten. Kein Verantwortlicher kann hoffen, unter Berufung darauf Anträge auf Auskunft in größerer Zahl ablehnen zu können. Entsprechende Fälle werden selten bleiben.

➧ Die Entscheidung des EuGH ist hier abrufbar

Das Urteil des EuGH vom 12. Januar 2023 in der Rechtssache C-154/21 ist hier auf der offiziellen Seite des Gerichtshofs abrufbar: https://curia.europa.eu/juris/document/document.jsf;jsessionid=DDCE92A69BAB257597A913BF5982D8AD?text=&docid=260543&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=6626. Wer sich auf den Kern der rechtlichen Ausführungen konzentrieren will, kann sich auf die Lektüre der Randnummern 28 bis 51 beschränken.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
EuGH Urteil
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
31. Oktober 2024
DP+
Terminbuchungstools und Datenschutz: Gemäß dem Need-to-know“-Prinzip dürfen nur die Beschäftigten Zugriff auf das Tool erhalten, für die dies erforderlich ist. Die zuständigen Beschäftigten müssen regelmäßig datenschutzrechtlich sensibilisiert und geschult werden.
Bild: iStock.com/AndreyPopov

Terminbuchungstools für Arztpraxen

Ratgeber
Drittland EuGH
29. Oktober 2024
DP+
Diese Tipps helfen dabei, ein vollständiges, verständliches und alltagstaugliches VVT zu erstellen bzw. als DSB dabei zu beraten. So können sich Arztpraxen auf ihre Hauptaufgabe konzentrieren: Patientinnen und Patienten zu behandeln.
Bild: iStock.com/metamorworks

VVT und Ärzte – Tipps für die Umsetzung in der Praxis

Ratgeber
Drittland EuGH
28. Oktober 2024
DP+
Protokollierung von IP-Adressen: Um als DSB wirksam und kundenfreundlich zu beraten, brauchen Sie ein Verständnis für das Interesse des Gegenübers und nachvollziehbare Argumente. Beides liefert dieser Best-Practice-Beitrag
Bild: Screenshot Dr. Klaus Meffert

Die Protokollierung von IP-Adressen in Server-Logs

Praxisbericht
EuGH Urteil
28. Oktober 2024
DP+
Auch wenn DSB nicht direkt für die Umsetzung von Data Act & Co. verantwortlich sind, werden sie nicht darum herumkommen, sich mit diesen Themen zu beschäftigen
Bild: iStock.com/mixmagic

EU-Datenwirtschaftsrecht: Welche Rolle haben DSB?

Ratgeber
EuGH
25. Oktober 2024
Kann eine Entschuldigung als Schadensersatz reichen? Hier symbolisiert durch einen Mann, der einen Blumenstrauß aus Tulpen sowie ein Schild mit der Aufschrift Sorry in der Hand hält.
Bild: skarau/iStock /Getty Images

Reicht eine bloße Entschuldigung?

Urteil
EuGH Urteil
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.