14. Dezember 2023 von Vera Franz
Der EuGH veröffentlichte am Donnerstag, den 12.01.2023 (Rs. C-154/21) ein äußerst interessantes Urteil und beantwortete hiermit eine Vorlagefrage des österreichischen Obersten Gerichtshofes (OGH) zum Umfang des Auskunftsrechts nach Art. 15 Abs. 1 lit. c) DSGVO.
Nach dem Wortlaut des Art. 15 Abs. 1 lit. c) DSGVO hat jede betroffene Person das Recht zu erfahren, an welche Empfänger oder an welche Kategorien von Empfängern seine personenbezogenen Daten weitergegeben wurden oder werden.
Der österreichische OGH wollte konkret die Frage geklärt wissen, inwiefern es dem Verantwortlichen frei steht, dem Betroffenen zwingend die konkreten Empfänger mitzuteilen oder ob er sich aus Praktikabilitätsgründen dafür entscheiden kann, „nur“ die Kategorien der Empfänger mitzuteilen.
Der EuGH hat nun entschieden, dass Art. 15 Abs. 1 lit. c) DSGVO so auszulegen ist, dass der Verantwortliche vorranging die konkreten Empfänger mitteilen muss, außer es ist nicht möglich, die konkreten Empfänger zu identifizieren oder er kann nachweisen, dass der Auskunftsantrag des Betroffenen offenkundig unbegründet oder exzessiv ist.
Zwar teilte das Gericht mit, dass der Wortlaut an sich keinen Vorrang der Mitteilung der konkreten Identität vorsieht (wegen des Wortlauts „oder“), es aber für eine wirksame Durchsetzung der Betroffenenrechte erforderlich ist, dass die Betroffenen tatsächlich die konkreten Empfänger kennen (z.B. um bei diesen Löschbegehren durchzusetzen). Im Rahmen eines konkreten Auskunftsanspruchs sind daher die konkreten Empfänger der Daten anzugeben.
Da Auskunftsersuchen nach Art. 12 Abs. 3 DSGVO in der Regel innerhalb eines Monats zu beantworten sind, ist unbedingt darauf zu achten, dass Informationen zu den konkreten Empfängern nicht erst beschafft werden müssen, wenn das Auskunftsersuchen schon eingegangen ist. Der Verantwortliche muss man also grundsätzlich immer wissen, wo die Daten hingehen. Grundsätzlich empfiehlt es sich im Verarbeitungsverzeichnis bereits detaillierte Angaben hierzu vorzuhalten. Dies ist auch im Hinblick auf den identischen Wortlaut des Art. 13 Abs. 1 lit. e) DSGVO zu beachten: Es ist davon auszugehen, dass insbesondere Aufsichtsbehörden der Begründung aus diesem Urteil folgen und diese weite und betroffenenfreundliche Auslegung auch auf Datenschutzhinweise nach Art. 13 DSGVO anwenden. Wenn man dies annimmt und der Verantwortliche die konkreten Empfänger der Daten bereits kennt, so müssten bei wechselnden Empfängern ständig die Datenschutzhinweise geändert werden, was praktisch natürlich zu Problemen führen wird.
Neben der Erhöhung des Erfüllungsaufwandes für die Verantwortlichen sehen wir rechtliche Probleme dahingehend, wenn aus den Empfängerdaten auf konkrete Geschäftsbeziehungen geschlossen werden kann und diese Informationen ggf. geheimhaltungsbedürftig sind. In einem solchen Fall muss geprüft werden, ob mit der konkretisierenden Auskunft geheimhaltungswürdige Informationen offengelegt würden und das Interesse des Betroffenen auf Auskunft mit den Geheimhaltungsinteressen des Verantwortlichen kollidiert. Diese Interessen sind dann grundsätzlich gegeneinander abzuwägen.
Leider steht nach diesem Urteil auch zu erwarten, dass Unternehmen in Zukunft immer häufiger mit Schadensersatzforderungen nach Art. 82 Abs. 1 DSGVO aufgrund Verstößen gegen die Auskunftspflicht konfrontiert werden.
Grundsätzlich sorgt die Entscheidung für Klarheit und Rechtssicherheit, zudem werden die Rechte von betroffenen Personen gestärkt. Der Aufwand für Verantwortliche ist damit aber deutlich gestiegen.