EuGH: Auskunftsanspruch gemäß DS-GVO umfasst konkrete Identität von Datenempfängern
Mit Urteil vom 12. Januar 2023 (C 154/21) hat der Europäische Gerichtshof (EuGH) eine wichtige Auslegungsfrage zur Reichweite des Auskunftsanspruchs nach der Datenschutz-Grundverordnung (DS-GVO) geklärt. Die Entscheidung betrifft auch Netzbetreiber und Lieferanten, die als Verantwortliche i.S.d. DS-GVO personenbezogene Daten ihrer Kund*innen verarbeiten.
Frage an den EuGH?
Sowohl Art. 13 Abs. 1 lit. e) und Art. 14 Abs. 1 lit. e) DS-GVO zur Informationspflicht als auch Art. 15 Abs. 1 lit. c) DS-GVO zum Auskunftsrecht regeln, dass der Verantwortliche einer betroffenen Person den „Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ mitteilen muss. Ungeklärt war, ob dem Verantwortlichen im Rahmen des Auskunftsrechts ein Wahlrecht zusteht, ob er den Empfänger namentlich nennt oder lediglich die Kategorie mitteilt, der dieser angehört.
Die von der Erhebung betroffene Person erhob im vorliegenden Fall gegen die Österreichische Post Klage vor den österreichischen Gerichten und beantragte, ihr aufzugeben, ihr mitzuteilen, wer der oder die Empfänger ihrer offengelegten personenbezogenen Daten sind. Das erstinstanzliche Gericht und das Berufungsgericht wiesen die Klage ab. Der Oberste Gerichtshof in Österreich hat dem EuGH die Frage vorgelegt, ob sich der Auskunftsanspruch auf die Nennung der einzelnen Empfänger erstrecken muss (sofern diese feststehen).
Entscheidung des EuGH
Der EuGH hat entschieden, dass sich das Auskunftsrecht des Betroffenen gegen den Verantwortlichen auch auf die die konkrete Identität des Empfängers erstreckt. Der Verantwortliche habe mithin kein Wahlrecht, ob er konkrete Empfänger nennt oder lediglich Empfängerkategorien mitteilt.
Der EuGH stellt zunächst fest, dass sich aus dem Wortlaut des Art. 15 Abs. 1 lit. c) DS-GVO selbst keine Antwort ergebe. Die Begriffe „Empfänger“ und „Kategorien von Empfängern“ stünden vielmehr ohne bestehendes Vorrangverhältnis nebeneinander. Er nähert sich der Antwort anschließend über den Sinn und Zweck der Vorschrift und die Systematik, also den Zusammenhang mit den weiteren Normen der DS-GVO: Er weist darauf hin, dass jede Verarbeitung personenbezogener Daten von natürlichen Personen mit den Grundsätzen der DS-GVO vereinbar sein müsse. Hier sei insbesondere der Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a) DS-GVO von Relevanz. Er setze voraus, dass die betroffene Person darüber informiert werde, wie ihre personenbezogenen Daten verarbeitet werden, und dass diese Informationen leicht zugänglich und verständlich seien.
Auch stützt der EuGH seine Ansicht darauf, dass aus Art. 15 DS-GVO, anders als aus Art. 13 und 14 DS-GVO, ein tatsächliches Auskunftsrecht zugunsten der betroffenen Personen hervorgehe, so dass diese wählen können müssen, ob ihr Informationen über bestimmte Empfänger oder lediglich über Kategorien bereitgestellt werden müssen.
Außerdem soll die betroffene Person mithilfe der Auskunft überprüfen können, ob die Daten gegenüber Empfängern offengelegt wurden, die zu ihrer Verarbeitung überhaupt befugt sind. Das Auskunftsrecht bezogen auf die konkreten Empfänger sei insbesondere erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls weitere Rechte auszuüben, etwa auf Löschung. Zudem entspreche diese Auslegung dem Ziel der DS-GVO, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten.
Ausnahmen von der Pflicht zur Mitteilung der Identität der konkreten Empfänger ergäben sich nur, wenn der Empfänger (noch) nicht identifiziert werden kann oder der Antrag der betroffenen Person offenkundig unbegründet oder exzessiv i.S.d. Art. 12 Abs. 5 DS-GVO ist. In einem solchen Fall sei der Anspruch auf die Mitteilung der Empfängerkategorien beschränkt.
Was müssen Unternehmen tun?
Netzbetreiber und Lieferanten, die als Verantwortliche i.S.d. DS-GVO personenbezogene Daten ihrer Kund*innen verarbeiten, sind grundsätzlich von der Rechtsprechung des EuGH betroffen.
Um einem Auskunftsanspruch einer betroffenen Person nach Art. 15 Abs. 1 lit. c DS-GVO pflichtgemäß nachkommen zu können, sollten betroffene Unternehmen ihr Verzeichnis der Verarbeitungstätigkeiten pflegen und gegebenenfalls vervollständigen. Wenn erst anlässlich eines konkreten Auskunftsersuchens alle erforderlichen Empfängerdaten zusammengesucht werden müssen, könnte dies zu einer Überschreitung der gesetzlichen Frist des Art. 12 Abs. 3 Satz 1 DS-GVO führen, innerhalb derer Auskunftsverlangen grundsätzlich (vollständig) zu erfüllen sind.
Zu der Übertragbarkeit seiner Aussagen auf die Informationspflicht aus Art. 13 und 14 DS-GVO schweigt der EuGH. Er merkt lediglich an, dass es sich hierbei nicht um einen direkten Anspruch der betroffenen Person handelt. Dadurch, dass die Pflicht zur Information stattdessen den Verantwortlichen direkt trifft, hat ein Wahlrecht des Betroffenen keinen Raum. Der Wortlaut stellt sowohl die Information über die konkreten Empfänger als auch die über die Empfängerkategorien alternativ nebeneinander und überlässt dem Verantwortlichen daher die Wahl, inwieweit er informiert. Bei der Erfüllung der Informationspflicht ergeben sich für die betroffenen Unternehmen daher unserer Einschätzung nach vorerst keine Änderungen.
Ansprechpartner*innen: Thomas Schmeding/Alexander Bartsch/Dr. Maximilian Festl-Wietek