In seinem neusten Urteil hat der Europäischer Gerichtshof (EuGH) entschieden, dass Verantwortliche betroffenen Personen grundsätzlich die Identität der Empfänger mitteilen müssen, gegenüber denen sie deren Daten offengelegt haben. Es genügt grundsätzlich nicht nur Kategorien von Empfängern mitzuteilen. Wenn die betroffene Person also die Empfänger wissen möchte, muss sie diese in der Regel auch genau benannt bekommen.
Damit stärkt der EuGH das Auskunftsrecht aus der Datenschutz-Grundverordnung. Das Gericht betont, wie wichtig Transparenz über Datenverarbeitungen ist: Es weist darauf hin, dass betroffene Personen prüfen können müssen, ob Daten zulässig verarbeitet werden. Das Auskunftsrecht ist dabei die Basis für weitere Rechte von der Berichtigung bis zum Schadenersatz.
Worum ging es?
Es behandelt die Frage, ob die betroffene Person Auskunft über die konkreten Empfänger ihrer Daten verlangen kann oder ob es schon ausreicht, nur über die Empfängerkategorien zu informieren. Dem Verfahren lag ein Datenskandal bei der Österreichischen Post AG aus dem Jahr 2019 zugrunde. Eine betroffene Person hatte zunächst den Auskunftsanspruch aus Art. 15 DSGVO geltend gemacht. Die Österreichische Post hatte daraufhin mitgeteilt, dass sie personenbezogene Daten zu Marketingzwecken an Geschäftskunden weitergegeben habe, darunter etwa werbetreibende Händler, IT-Unternehmen, NGOs oder Parteien. Konkrete Empfängerinnen und Empfänger nannte die Post allerdings nicht. Da die Post zu keinen näheren Auskünften bezüglich der Datenempfänger bereit war, zog die betroffene Person vor Gericht, letztendlich bis zum Obersten Gerichtshof Österreichs (OGH). Der OGH legte schliesslich die Frage, ob die Österreichische Post die Empfänger genau benennen muss, dem EuGH vor.
Was hat der EuGH entschieden?
Der EuGH hat nun entschieden, dass Art. 19 Abs. 2 DSGVO zwar vorsehe, dass der Verantwortliche Empfängern die Berichtigung oder Löschung oder eine Einschränkung der Verarbeitung mitzuteilen hat und die betroffene Person auf Anfrage “über diese Empfänger unterrichtet” und der Wortlaut von Art. 15 Abs. 1 Buchstabe c DSGVO eine Auskunft sowohl über die Empfänger als auch nur über Kategorien von Empfängern zulasse. Er hat nun aber klargestellt, dass derjenige darüber entscheidet, der die Auskunft verlangt, und nicht, wer die Auskunft erteilen muss. Die Nennung von Kategorien von Empfängern genügt ausnahmsweise nur dann, wenn es nicht möglich ist, die Empfänger zu identifizieren oder wenn der Auskunftsantrag ansonsten nachgewiesen offenkundig unbegründet oder exzessiv ist.
Was gilt nach revidiertem DSG?
Auch der Wortlaut von Artikel 25 Abs. 2 lit. g revidiertes DSG, sieht hinsichtlich den Empfängern der Daten die Möglichkeit vor, lediglich die Kategorien der Empfänger bekanntzugeben. Im Gegensatz zur DSGVO enthält sowohl das revidierte DSG als auch die entsprechende Verordnung keine Pflicht, die betroffene Person über diese konkreten Empfänger zu informieren, wenn sie diese verlangt. Auch gilt der EuGH nicht per se für die Schweiz. Die Praxis wird sich zeigen, wie mit solchen Anfragen umzugehen ist.
Sehr gerne Unterstützung wir sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.