EuGH: Auskunftsrecht nach DSGVO umfasst konkrete Empfängerdaten
Werden personenbezogene Daten verarbeitet, so hat die betroffene Person gem. Art. 15 DSGVO einen Anspruch auf Auskunft. Dieser Auskunftsanspruch umfasst u.a. Informationen über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Der EuGH stellte nun klar (Urt. v. 12.1.2023 – C-154/21), dass der Verantwortliche verpflichtet sei, der betroffenen Person auch die Identität des Empfängers mitzuteilen, es sei denn, die Identifizierung des Empfängers sei nicht möglich oder das Auskunftsverlangen sei rechtsmissbräuchlich. Bei Vorliegen dieser Ausnahmen müsse lediglich die Kategorie der Empfänger beauskunftet werden.
Darum ging es in dem Verfahren
Am 15. Januar 2019 wandte sich ein Bürger an die Österreichische Post, um Auskunft zu erhalten, welche ihn betreffenden personenbezogenen Daten die Österreichische Post speichere oder in der Vergangenheit gespeichert habe und, wenn es zu einer Offenlegung der Daten gegenüber Dritten gekommen sei, wer diese Empfänger gewesen seien. Bei der Beantwortung dieser Anfrage beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese personenbezogenen Daten Geschäftskunden für Marketingzwecke an. Sie teilte jedoch nicht mit, wer die konkreten Empfänger dieser Daten sind.
Daraufhin erhob der Bürger Klage gegen die Österreichische Post und beantragte, ihr aufzugeben, ihm u. a. mitzuteilen, wer der oder die Empfänger seiner offengelegten personenbezogenen Daten waren. Im Lauf dieses angestrengten gerichtlichen Verfahrens teilte die Österreichische Post dem Kläger mit, seine personenbezogenen Daten seien zu Marketingzwecken verarbeitet und an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.
Das erstinstanzliche Gericht und das Berufungsgericht wiesen die Klage ab, weil Art. 15 Abs. 1 lit. c DSGVO durch den Verweis auf die „Empfänger oder Kategorien von Empfängern“ dem Verantwortlichen die Wahlmöglichkeit einräume, der betroffenen Person lediglich die Kategorien von Empfängern mitzuteilen, ohne die konkreten Empfänger der personenbezogenen Daten namentlich nennen zu müssen.
Der Kläger legte beim Obersten Gerichtshof Revision ein. Das vorlegende Gericht legte daraufhin dem EuGH die Frage vor, wie Art. 15 Abs. 1 Buchst. c DSGVO auszulegen sei. Der Wortlaut dieser Bestimmung lasse nicht eindeutig erkennen, ob sie der betroffenen Person ein Auskunftsrecht hinsichtlich der konkreten Empfänger der offengelegten Daten einräume oder ob es im Ermessen des Verantwortlichen liege, wie er einem Ersuchen um Auskunft über die Empfänger nachkommen wolle.
Die Entscheidung des EuGH
Der EuGH hat entschieden, dass die betroffene Person nach Art. 15 Abs. 1 lit. c DSGVO ein Wahlrecht zwischen der Angabe von bloßen Empfängerkategorien oder der Nennung konkreter Empfänger habe. Etwas anderes gelte nur, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind. In diesem Fall könne der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.
Die Argumentation des EuGH
Für seine Entscheidung führte er im Wesentlichen fünf Argumente an. Erstens sei Erwägungsgrund 63 zu berücksichtigen. Dieser lege fest, dass die betroffene Person ein Anrecht darauf habe, zu erfahren, wer die Empfänger ihrer personenbezogenen Daten seien. Es sei gerade nicht vorgesehen, die Auskunft auf Empfängerkategorien zu beschränken.
Was sodann den Zusammenhang betrifft, in dem Art. 15 Abs. 1 Buchst. c DSGVO steht, ist erstens darauf hinzuweisen, dass nach dem 63. Erwägungsgrund dieser Verordnung die betroffene Person ein Anrecht darauf haben muss, insbesondere zu wissen und zu erfahren, wer die Empfänger dieser personenbezogenen Daten sind, und dass, wie der Generalanwalt in Nr. 23 seiner Schlussanträge ausgeführt hat, dieser Erwägungsgrund nicht erwähnt, dass dieses Recht lediglich auf die Kategorien von Empfängern beschränkt werden könnte.
Zweitens gebiete es der Grundsatz der Transparenz (Art. 5 Abs. 1 lit. a DSGVO), dass die Identität des Empfängers offengelegt werde.
Zu diesen Grundsätzen gehört der Grundsatz der Transparenz gemäß Art. 5 Abs. 1 Buchst. a DSGVO, der, wie aus dem 39. Erwägungsgrund dieser Verordnung hervorgeht, voraussetzt, dass die betroffene Person darüber informiert wird, wie ihre personenbezogenen Daten verarbeitet werden, und dass diese Informationen leicht zugänglich und verständlich sind.
Drittens sehe Art. 15 Abs. 1 DSGVO im Unterschied zu Art. 13 und 14 DSGVO ein Auskunftsrecht zugunsten der betroffenen Person vor und adressiere mit dem Wahlrecht („oder“) daher auch die betroffene Person.
Möglichkeit der Überprüfung der Datenverarbeitung
Viertens sei der Sinn und Zweck vorliegender Norm heranzuziehen. Der betroffenen Person müsse die Überprüfung der richtigen und zulässigen Datenverarbeitung und Geltendmachung weiterer Betroffenenrechte ermöglicht werden.
Viertens hat der Gerichtshof bereits entschieden, dass es der betroffenen Person durch die Ausübung dieses Auskunftsrechts nicht nur ermöglicht werden muss, zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden […], insbesondere ob sie gegenüber Empfängern offengelegt wurden, die zu ihrer Verarbeitung befugt sind (vgl. entsprechend Urteil vom 7. Mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, Rn. 49).
Dieses Auskunftsrecht ist insbesondere erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung („Recht auf Vergessenwerden“), ihr Recht auf Einschränkung der Verarbeitung, die ihr nach den Art. 16, 17 bzw. 18 DSGVO zukommen […], sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten auszuüben oder im Schadensfall den in den Art. 79 und 82 DSGVO vorgesehenen gerichtlichen Rechtsbehelf einzulegen (vgl. entsprechend Urteil vom 7. Mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, Rn. 52).
Fünftens werde diese Auslegung durch Art. 19 DSGVO bestätigt, der in Satz 1 vorsieht, dass der Verantwortliche grundsätzlich allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mitteilt.
Transparenz gegenüber der betroffenen Person
Aus vorstehender Argumentation ergebe sich, dass jene Informationen, die im Rahmen des Auskunftsanspruchs aus Art. 15 Abs. 1 lit. c DSGVO gegenüber der betroffenen Person mitzuteilen seien, möglichst genau sein müssten. Insbesondere umfasse das Auskunftsrecht des Betroffenen auch das Recht, zu entscheiden, Informationen über bestimmte Empfänger zu erhalten oder Informationen nur über die Kategorien der Empfänger anzufordern.
Aus der vorstehenden kontextbezogenen Analyse ergibt sich, dass es sich bei Art. 15 Abs. 1 Buchst. c DSGVO um eine der Bestimmungen handelt, die die Transparenz der Art und Weise der Verarbeitung der personenbezogenen Daten gegenüber der betroffenen Person gewährleisten sollen, und dass es dieser Artikel der betroffenen Person, wie der Generalanwalt in Nr. 33 seiner Schlussanträge ausgeführt hat, ermöglicht, die u. a. in den Art. 16 bis 19, 21, 79 und 82 DSGVO vorgesehenen Befugnisse auszuüben. Folglich ist davon auszugehen, dass die Informationen, die der betroffenen Person gemäß dem in Art. 15 Abs. 1 Buchst. c DSGVO vorgesehenen Auskunftsrecht erteilt werden, möglichst genau sein müssen. Insbesondere umfasst dieses Auskunftsrecht die Möglichkeit für die betroffene Person, von dem Verantwortlichen Informationen über bestimmte Empfänger zu erhalten, gegenüber denen Daten offengelegt worden sind oder noch offengelegt werden, oder alternativ zu entscheiden, nur Informationen über die Kategorien von Empfängern anzufordern.
Beschränkung der Auskunftspflicht
Anschließend führte der EuGH aus, dass das Auskunftsrecht auf Informationen über die Kategorien zu beschränken sei, wenn es nicht möglich sei, die Identität der konkreten Empfänger mitzuteilen oder rechtsmissbräuchliches Handeln der betroffenen Person vorliege.
Folglich ist denkbar, dass es unter bestimmten Umständen nicht möglich ist, Informationen über konkrete Empfänger zu erteilen. Daher kann das Auskunftsrecht auf Informationen über die Kategorien von Empfängern beschränkt werden, wenn es nicht möglich ist, die Identität der konkreten Empfänger mitzuteilen, insbesondere wenn diese noch nicht bekannt sind. Außerdem ist darauf hinzuweisen, dass sich der Verantwortliche gemäß Art. 12 Abs. 5 Buchst. b DSGVO im Einklang mit dem in Art. 5 Abs. 2 sowie im 74. Erwägungsgrund dieser Verordnung niedergelegten Grundsatz der Rechenschaftspflicht weigern kann, aufgrund von Anträgen der betroffenen Person tätig zu werden, wenn es sich um offenkundig unbegründete oder exzessive Anträge handelt; hierbei hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter der Anträge zu erbringen.
Fazit
Für Online-Händler bedeutet dieses Urteil einen erheblichen Mehraufwand bei Auskunftsersuchen. Dabei ist insbesondere zu berücksichtigen, dass Auskunftsersuchen grundsätzlich innerhalb eines Monats gem. Art. 12 Abs. 3 S. 2 DSGVO beantwortet werden müssen. Es empfiehlt sich daher, entsprechende Empfängerdaten nicht erst bei Vorliegen eines Auskunftsersuchens zu beschaffen, sondern im Vorfeld entsprechende Vorkehrungen treffen, die sicherstellen, dass konkrete und strukturierte Empfängerdaten einer betroffenen Person zugeordnet werden können.
Unser Tipp: Im Rahmen unserer Legal Products stehen Ihnen umfangreiche Checklisten und Anleitungen rund um das Thema DSGVO zur Verfügung und Sie erhalten Muster-AV-Verträge und Muster-Antwortschreiben. Zudem bietet der Trusted Shops Consent-Manager eine Lösung, um die Einwilligung wirksam einzuholen. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten. In unserem Legal Enterprise und Legal Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung).
Marian Weyo/Shutterstock.com