Recht auf Identifizierung der Empfänger von personenbezogenen Daten
News
27.01.2023
Datenschutz
Bild: Mauritius Iamges/imageBROKER/H.-D. Feldmann
Vorabentscheidungsersuchen des Obersten Gerichtshofs Österreichs
Gegenstand der Entscheidung des EuGH ist ein Vorabentscheidungsersuchen des Obersten Gerichtshofs Österreichs. Das Ersuchen betrifft die Auslegung von Art. 15 Abs. 1c DSGVO. Nach dieser Vorschrift haben die von einer Datenverarbeitung betroffenen Personen u.a. das Recht auf Auskunft über die Empfänger oder Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder noch offengelegt werden.
Kläger fordert Datenauskunft von der österreichischen Post
Die Auslegung dieser Vorschrift spielt für den Obersten Gerichtshof Österreichs eine entscheidende Rolle bei der Beurteilung einer Klage eines österreichischen Bürgers gegen die österreichische Post. Der Bürger ärgerte sich über eine Häufung von Werbesendungen und wollte von der Post Auskunft darüber erhalten, welche ihn betreffenden personenbezogenen Daten die Post gespeichert hat und gegenüber welchen Empfängern es zu einer Weitergabe dieser Daten gekommen ist.
Post beschränkte Auskunftserteilung auf die Empfängerbranchen
Die österreichische Post beantwortete die Anfrage des Betroffenen zunächst nur allgemein in dem Sinne, sie biete personenbezogene Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern ihren Geschäftskunden für Marketingzwecke an. Nach Einleitung des gerichtlichen Verfahrens ergänzte die Post ihre Auskunft dahingehend, dass die Weitergabe der Daten vor allem an werbetreibende Unternehmen im Versandhandel und im stationären Handel, aber auch an ein IT-Unternehmen, an Adressverlage, Vereine und Spendenorganisationen, an NGOs und an politische Parteien erfolgt sei.
Oberster Gerichtshof bat EuGH um Auslegung der DSGVO
Der Oberste Gerichtshof Österreichs legte dem EuGH die Frage zur Beantwortung vor, ob die von der österreichischen Post genannten Empfängerkategorien dem Auskunftsrecht des Art. 15 Abs. 1c DSGVO genügen oder ob Betroffene nach dieser Vorschrift ein Recht auf Auskunft über die Identität der einzelnen Empfänger haben. Der Wortlaut der Vorschrift lasse insoweit keinen eindeutigen Schluss zu, da Art. 15 Abs. 1c DSGVO die Begriffe „Empfänger“ und „Kategorien von Empfängern“ nebeneinander nenne, ohne hierbei eine Rangfolge oder ein Vorrangverhältnis anzuordnen.
Argumente für Offenlegung der Identität des Datenempfängers
Der EuGH beantwortete die Frage klar im Sinne des Auskunftsberechtigten. Art. 15 Abs. 1c DSGVO gewähre dem Auskunftsberechtigten grundsätzlich das Recht auf Offenlegung der Identität des einzelnen Datenempfängers. Hierfür sprechen nach der Auslegung des EuGH folgende Argumente:
- Der 63. Erwägungsgrund zur DSGVO postuliere ein Anrecht der betroffenen Person darauf, eine möglichst genaue Kenntnis über den Empfänger seiner persönlichen Daten ist.
- Art. 5 Abs. 1a DSGVO (nachvollziehbare Datenverarbeitung nach Treu und Glauben) setze eine transparente Information der betroffenen Person über die Verarbeitung seiner personenbezogenen Daten voraus.
- Nur die Kenntnis der Identität des Datenempfängers ermögliche dem Auskunftsberechtigten die Überprüfung der Rechtmäßigkeit der Datenweitergabe.
- Die nach der DSGVO bestehenden Rechte auf Berichtigung oder auf Löschung könne der Betroffene nur durchsetzen, wenn er exakte Kenntnis darüber erhalte, wer im Besitz seiner Daten ist.
- Schließlich verfolge die DSGVO insgesamt das Ziel eines effektiven, leicht umsetzbaren Datenschutzes.
Der Zielsetzung der DSGVO werde im Ergebnis nur ein umfassendes Auskunftsrecht gerecht, das die Auskunft über die Identität des jeweiligen Datenempfängers umfasst.
1. Ausnahme: Identifizierung des Empfängers ist unmöglich
Der EuGH betonte gleichzeitig, dass auch das Recht auf Schutz personenbezogener Daten kein uneingeschränktes Recht ist, sondern im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Grundsatzes der Verhältnismäßigkeit gegen andere Grundrechte abgewogen werden müsse. Hieraus folgert das Gericht u.a., dass in Fällen, in denen die Identifizierung des Empfängers praktisch nicht möglich ist, die Nennung der Branchenzugehörigkeit ausreicht. Die Voraussetzungen für eine solche Unmöglichkeit spezifiziert das Gericht allerdings nicht näher.
2. Ausnahme: Exzessives oder offensichtlich unbegründetes Auskunftsverlangen
Schließlich ist nach der Entscheidung des EuGH eine Nennung der Identität der Datenempfänger dann entbehrlich, wenn die Anträge auf Auskunft exzessiv im Sinne von Art. 12 Abs. 5 DSGVO oder offenkundig unbegründet sind. Auch in diesen Fällen genügt die Nennung der Empfängerkategorien. Allerdings stellte der EuGH insoweit klar, dass der Auskunftsverpflichtete die Darlegungs- und Beweislast für die Exzessivität eines Auskunftsverlangens trägt.
Der Oberste Gerichtshof in Wien muss Ausgangsfall entscheiden
Nach den Vorgaben des EuGH hat nun der Oberste Gerichtshof in Wien über die Klage des österreichischen Bürgers gegen die österreichische Post entscheiden.
EuGH-Urteil mit erheblichen praktischen Auswirkungen
Die Bedeutung der jetzigen Entscheidung des EuGH dürfte erhebliche praktische Auswirkungen für datenverarbeitende Unternehmen haben. Die nach dem Urteil des EuGH regelmäßig bestehende Verpflichtung der Auskunftserteilung über die Identität der jeweiligen Datenempfänger wird für die betroffenen Unternehmen je nach Einzelfall mit einem erheblichen Verwaltungsaufwand verbunden sein. Sollten Unternehmen dieser Auskunftspflicht nicht nachkommen, so drohen nicht nur Bußgelder der Aufsichtsbehörden, sondern auch Schadensersatzklagen von betroffenen Personen. Ein detailliertes Verarbeitungsverzeichnis kann bei entsprechenden Auskunftsersuchen, die innerhalb von 4 Wochen beantwortet sein müssen, eine große Hilfe darstellen.
(EuGH, Urteil v. 12.1.2023, C-154/21)
Schlagworte zum Thema:
Datenschutz, EuGH, Auskunftsanspruch, Auskunftspflicht, Werbung, Datenschutz-Grundverordnung, Bußgeld
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.172
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.7342
-
Gerichtliche Ladungen richtig lesen und verstehen
1.635
-
Klagerücknahme oder Erledigungserklärung?
1.613
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.471
-
Wie kann die Verjährung verhindert werden?
1.400
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.368
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.305
-
Verdacht der Befangenheit auf Grund des Verhaltens des Richters
1.136
-
Formwirksamkeit von Dokumenten mit eingescannter Unterschrift
1.0461
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024
-
Handelsregistervollmachten – Anforderungen und Umgang bei Rückfragen des Handelsregisters
12.11.2024
-
Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
07.11.2024
-
Typisch stille Beteiligung an Kapitalgesellschaften – Unterschiede zwischen GmbH und AG
06.11.2024
-
Bundesnetzagentur wird nationale Marktüberwachungsbehörde bei der KI-Aufsicht
05.11.2024
-
Neue Bundesverordnung zur „Cookie-Einwilligung“
31.10.2024
-
Zahl der Datenschutz-Bußgeldverfahren steigt
24.10.2024
-
Untersuchungs- und Rügeobliegenheit im B2B-Bereich
23.10.2024
-
Fernmeldegeheimnis gilt nicht für private E-Mails und Telefonate am Arbeitsplatz
17.10.2024
-
Wirecard: Geschädigte Aktionäre sind keine nachrangigen Gläubiger!
16.10.2024
Bild: Haufe Online Redaktion
Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:
- Handels- und Gesellschaftsrecht
- Gewerblicher Rechtsschutz
- Vertriebsrecht