Recht auf Identifizierung der Empfänger von personenbezogenen Daten
Vorabentscheidungsersuchen des Obersten Gerichtshofs Österreichs
Gegenstand der Entscheidung des EuGH ist ein Vorabentscheidungsersuchen des Obersten Gerichtshofs Österreichs. Das Ersuchen betrifft die Auslegung von Art. 15 Abs. 1c DSGVO. Nach dieser Vorschrift haben die von einer Datenverarbeitung betroffenen Personen u.a. das Recht auf Auskunft über die Empfänger oder Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder noch offengelegt werden.
Kläger fordert Datenauskunft von der österreichischen Post
Die Auslegung dieser Vorschrift spielt für den Obersten Gerichtshof Österreichs eine entscheidende Rolle bei der Beurteilung einer Klage eines österreichischen Bürgers gegen die österreichische Post. Der Bürger ärgerte sich über eine Häufung von Werbesendungen und wollte von der Post Auskunft darüber erhalten, welche ihn betreffenden personenbezogenen Daten die Post gespeichert hat und gegenüber welchen Empfängern es zu einer Weitergabe dieser Daten gekommen ist.
Post beschränkte Auskunftserteilung auf die Empfängerbranchen
Die österreichische Post beantwortete die Anfrage des Betroffenen zunächst nur allgemein in dem Sinne, sie biete personenbezogene Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern ihren Geschäftskunden für Marketingzwecke an. Nach Einleitung des gerichtlichen Verfahrens ergänzte die Post ihre Auskunft dahingehend, dass die Weitergabe der Daten vor allem an werbetreibende Unternehmen im Versandhandel und im stationären Handel, aber auch an ein IT-Unternehmen, an Adressverlage, Vereine und Spendenorganisationen, an NGOs und an politische Parteien erfolgt sei.
Oberster Gerichtshof bat EuGH um Auslegung der DSGVO
Der Oberste Gerichtshof Österreichs legte dem EuGH die Frage zur Beantwortung vor, ob die von der österreichischen Post genannten Empfängerkategorien dem Auskunftsrecht des Art. 15 Abs. 1c DSGVO genügen oder ob Betroffene nach dieser Vorschrift ein Recht auf Auskunft über die Identität der einzelnen Empfänger haben. Der Wortlaut der Vorschrift lasse insoweit keinen eindeutigen Schluss zu, da Art. 15 Abs. 1c DSGVO die Begriffe „Empfänger“ und „Kategorien von Empfängern“ nebeneinander nenne, ohne hierbei eine Rangfolge oder ein Vorrangverhältnis anzuordnen.
Argumente für Offenlegung der Identität des Datenempfängers
Der EuGH beantwortete die Frage klar im Sinne des Auskunftsberechtigten. Art. 15 Abs. 1c DSGVO gewähre dem Auskunftsberechtigten grundsätzlich das Recht auf Offenlegung der Identität des einzelnen Datenempfängers. Hierfür sprechen nach der Auslegung des EuGH folgende Argumente:
- Der 63. Erwägungsgrund zur DSGVO postuliere ein Anrecht der betroffenen Person darauf, eine möglichst genaue Kenntnis über den Empfänger seiner persönlichen Daten ist.
- Art. 5 Abs. 1a DSGVO (nachvollziehbare Datenverarbeitung nach Treu und Glauben) setze eine transparente Information der betroffenen Person über die Verarbeitung seiner personenbezogenen Daten voraus.
- Nur die Kenntnis der Identität des Datenempfängers ermögliche dem Auskunftsberechtigten die Überprüfung der Rechtmäßigkeit der Datenweitergabe.
- Die nach der DSGVO bestehenden Rechte auf Berichtigung oder auf Löschung könne der Betroffene nur durchsetzen, wenn er exakte Kenntnis darüber erhalte, wer im Besitz seiner Daten ist.
- Schließlich verfolge die DSGVO insgesamt das Ziel eines effektiven, leicht umsetzbaren Datenschutzes.
Der Zielsetzung der DSGVO werde im Ergebnis nur ein umfassendes Auskunftsrecht gerecht, das die Auskunft über die Identität des jeweiligen Datenempfängers umfasst.
1. Ausnahme: Identifizierung des Empfängers ist unmöglich
Der EuGH betonte gleichzeitig, dass auch das Recht auf Schutz personenbezogener Daten kein uneingeschränktes Recht ist, sondern im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Grundsatzes der Verhältnismäßigkeit gegen andere Grundrechte abgewogen werden müsse. Hieraus folgert das Gericht u.a., dass in Fällen, in denen die Identifizierung des Empfängers praktisch nicht möglich ist, die Nennung der Branchenzugehörigkeit ausreicht. Die Voraussetzungen für eine solche Unmöglichkeit spezifiziert das Gericht allerdings nicht näher.
2. Ausnahme: Exzessives oder offensichtlich unbegründetes Auskunftsverlangen
Schließlich ist nach der Entscheidung des EuGH eine Nennung der Identität der Datenempfänger dann entbehrlich, wenn die Anträge auf Auskunft exzessiv im Sinne von Art. 12 Abs. 5 DSGVO oder offenkundig unbegründet sind. Auch in diesen Fällen genügt die Nennung der Empfängerkategorien. Allerdings stellte der EuGH insoweit klar, dass der Auskunftsverpflichtete die Darlegungs- und Beweislast für die Exzessivität eines Auskunftsverlangens trägt.
Der Oberste Gerichtshof in Wien muss Ausgangsfall entscheiden
Nach den Vorgaben des EuGH hat nun der Oberste Gerichtshof in Wien über die Klage des österreichischen Bürgers gegen die österreichische Post entscheiden.
EuGH-Urteil mit erheblichen praktischen Auswirkungen
Die Bedeutung der jetzigen Entscheidung des EuGH dürfte erhebliche praktische Auswirkungen für datenverarbeitende Unternehmen haben. Die nach dem Urteil des EuGH regelmäßig bestehende Verpflichtung der Auskunftserteilung über die Identität der jeweiligen Datenempfänger wird für die betroffenen Unternehmen je nach Einzelfall mit einem erheblichen Verwaltungsaufwand verbunden sein. Sollten Unternehmen dieser Auskunftspflicht nicht nachkommen, so drohen nicht nur Bußgelder der Aufsichtsbehörden, sondern auch Schadensersatzklagen von betroffenen Personen. Ein detailliertes Verarbeitungsverzeichnis kann bei entsprechenden Auskunftsersuchen, die innerhalb von 4 Wochen beantwortet sein müssen, eine große Hilfe darstellen.
(EuGH, Urteil v. 12.1.2023, C-154/21)
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.943
-
Wie kann die Verjährung verhindert werden?
2.041
-
Klagerücknahme oder Erledigungserklärung?
1.654
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.5782
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
1.381
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.380
-
Gerichtliche Ladungen richtig lesen und verstehen
1.340
-
Patronatserklärungen: Wirkung, Varianten und praktische Bedeutung
1.333
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.169
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.110
-
Rechtsunsicherheit für die Kundenanlage
17.12.2024
-
Die Verordnung über das Verbot von Produkten, die in Zwangsarbeit hergestellt wurden
11.12.2024
-
Änderungen des Energiewirtschaftsrechts – Was kommt noch nach dem Ampel-Aus?
10.12.2024
-
Anteil der Zahlungen von Cyber-Versicherungen wegen Datenschutzverstößen steigt stetig
06.12.2024
-
Das Scraping-Urteil des BGH zum Facebook-Datenleck
04.12.2024
-
BGH begrenzt Zulässigkeit von Skonti auf verschreibungspflichtige Arzneimittel
03.12.2024
-
Microsoft Advertising haftet bei fehlender Einwilligung automatisch gesetzter Cookies
28.11.2024
-
Rückbeteiligung bei Unternehmensverkäufen: Chancen und Herausforderungen
26.11.2024
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
25.11.2024
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024