In seinem für das Datenschutzrecht bedeutsamen Volkszählungsurteil hat das Bundesverfassungsgericht (BVerfG) bereits im Jahre 1983 bestimmt, dass jede Person das Recht hat, selbst zu entscheiden, wer was wann und bei welcher Gelegenheit über sie weiß (Urteil vom 15.12.1983 – 1 BvR 209/83). Nun hat der Europäische Gerichtshof (EuGH) am 12. Januar 2023 entschieden, dass jede Person im Übrigen das Recht hat, zu erfahren, an wen die eigenen personenbezogenen Daten weitergegeben wurden (Urteil vom 12.01.2023 – C154/21).
Ausgangspunkt: Auskunftsanspruch nach DS-GVO
Der Auskunftsanspruch ergibt sich aus Art. 15 DS-GVO. Demnach hat die betroffene Person das Recht, von dem für die Datenverarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.
Ist dies der Fall, so hat sie ein Recht auf:
- Auskunft über diese personenbezogenen Daten,
- Informationen über die Verarbeitungszwecke,
- die Kategorien personenbezogener Daten, die verarbeitet werden,
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind oder noch offengelegt werden,
- die Speicherdauer
- sowie das Bestehen eines Rechts auf Berichtigung, Löschung und Einschränkung der Verarbeitung.
Nach Art. 12 Abs. 5 DS-GVO haben die Verantwortlichen das Recht, bei offenkundig unbegründeten oder exzessiven Anträgen (insbesondere im Falle häufiger Wiederholungen), das Auskunftsersuchen abzulehnen. Den Nachweis, für den offenkundig unbegründeten oder exzessiven Charakter des Antrags hat dabei der Verantwortliche zu erbringen.
Die Auskunft hat gem. Art. 12 Abs. 3 DS-GVO unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags zu erfolgen, wobei eine Fristverlängerung lediglich in Ausnahmefällen möglich ist. Bei Nichteinhaltung der Frist drohen Schadensersatzansprüche der betroffenen Person wegen Verzugs (§ 286 BGB i. V. m. Art. 12 Abs. 3 S. 1 DS-GVO) und empfindliche Geldbußen nach Art. 83 Abs. 5 lit. b) DS-GVO, sollte die Auskunft unterlassen werden oder unvollständig erfolgen.
Was war passiert?
Am 15. Januar 2019 wandte sich der Kläger an die Österreichische Post, um gem. Art. 15 DS-GVO Auskunft darüber zu erhalten, ob ihn betreffende personenbezogene Daten gespeichert wurden und, wenn es zu einer Offenlegung der Daten gegenüber Dritten gekommen sei, wer diese Empfänger gewesen seien. Bei der Beantwortung dieser Anfrage beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese personenbezogenen Daten Geschäftskunden für Marketingzwecke an. Sie teilte dem Kläger nicht mit, wer die konkreten Empfänger dieser Daten waren.
Infolgedessen erhob der Kläger, mit Verweis auf Art. 15 Abs. 1 lit. c) DS-GVO Klage, mit dem Ziel ihm u. a. mitzuteilen, wer der oder die Empfänger seiner offengelegten personenbezogenen Daten waren. Im Laufe des Verfahrens teilte die Österreichische Post dem Kläger mit, seine personenbezogenen Daten seien zu Marketingzwecken verarbeitet und an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.
Nachdem sowohl das erstinstanzliche Gericht als auch das Berufungsgericht die Klage mit der Begründung, Art. 15 Abs. 1 lit. c) DS-GVO räume dem Verantwortlichen mit der Formulierung „Empfänger oder Kategorien von Empfängern“ eine Wahlmöglichkeit ein, abwies, trat der Oberste Gerichtshof (Österreich) mit der Frage, ob die DS-GVO es dem für die Datenverarbeitung Verantwortlichen tatsächlich freistellt, der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitzuteilen, oder ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren.
Entscheidung des EuGH
Mit Verweis darauf, dass es für die Ausübung vieler anderer Rechte der DS-GVO, wie beispielsweise das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall, erforderlich sei, dem Betroffenen die konkrete Identität der Empfänger mitzuteilen, entschied der EuGH, dass der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen. Nur wenn es nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist. Der EuGH führte weiter aus, das Ziel der DS-GVO, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten sowie der Grundsatz der Transparenz, bestätige die Auslegung.
Handlungsempfehlung
Für die Unternehmenspraxis bedeutet dieses Urteil, dass eine saubere Dokumentation der Empfänger personenbezogener Daten durch die Verantwortlichen weiter an Bedeutung gewinnt. Um im Fall der Fälle innerhalb der gesetzlichen Frist die Auskunftsanfrage vollumfänglich beantworten zu können, sollten Prozesse etabliert werden.
Insgesamt gilt es die folgenden Punkte zu befolgen:
- Schulungen aller relevanten Mitarbeitenden zum Umgang mit Auskunftsanfragen.
- Benennung mit der Beantwortung von Auskunftsanfragen betrauten Personen.
- Auf Vollständigkeit und Aktualität des Verzeichnisses der Verarbeitungstätigkeiten achten.
- Datenflüsse im Unternehmen müssen nachvollzogen werden können, um Auskunftsersuchen nachkommen zu können.
Quelle: PRESSEMITTEILUNG Nr. 4/23 (Gerichtshof der Europäischen Union)